菜鸟安全手册：实战捕捉局域网 ARP病毒

核心提示：小果判定是病毒在捣乱！根据局域网内计算机频繁掉线的现象，小武以为单位的某台电脑可能中了“ARP”的病毒，这类病毒有些杀毒软件很难根除，因而小武便在局域网内展开了ARP病毒捕杀进程....

最近，小武单位的局域网总是不稳定，连连出现断网的现象。给同事们网络办公带来很多不便。起初小武还以为局内信息中心故障呢？可是小武发现掉线越来越频繁。与信息中心联系后，才发现其他单位电脑正常，没有产生过掉线现象。小武这下才认定题目出现在自己单位。经过对硬件检测后，小果判定是病毒在捣乱！根据局域网内计算机频繁掉线的现象，小武以为单位的某台电脑可能中了“ARP”的病毒，这类病毒有些杀毒软件很难根除，因而小武便在局域网内展开了ARP病毒捕杀进程。

找出病毒的根源首先小武打开局域网内所有电脑，随后下载了1款名为“AntiArpSniffer ”的工具，这是1款ARP防火墙软件，该软件通过在系统内核层拦截虚假ARP数据包来获得中毒电脑的IP地址和MAC地址。另外，该软件能有效拦截ARP病毒的攻击，保障该电脑数据流向正确。

使用“AntiArpSniffer”查找感染毒电脑时，启动该程序，随后小武在右侧的“网关地址”项中输进该局域网内的网关IP，随后单击“枚取MAC”，这时候该软件会自动获得到网关电脑网卡的MAC地址。MAC获得后单击“自动保护”按钮，这样“AntiArpSniffer”便开始监视通过该网关上网的所有电脑了。

片刻工夫，小武看到系统的任务栏中的“AntiArpSniffer”图标上弹出1个“ARP 欺骗数据包”提示信息。这就说明该软件已侦测到ARP病毒。因而小武打开“AntiArpSniffer ”程序的主窗口，在程序的“欺骗数据具体记录”列表中看到1条信息，这就是“AntiArpSniffer”程序捕捉的ARP病毒信息。

其中“网关IP地址”和“网关MAC地址”两项中是网关电脑的真实地址，后面的欺骗机MAC地址就是中ARP病毒的MAC地址。ARP病毒将该局域网的网关指向了这个IP地址，导致其他电脑没法上网。

小提示：ARP病毒病毒发作时的特点中该病毒的电脑会捏造某台电脑的MAC 地址，如该捏造地址为网关服务器的地址，那末对全部网络均会造成影响，用户表现为上网常常瞬断。

获得欺骗机IP“AntiArpSniffer ”固然能拦截ARP病毒，但是不能有效地根除病毒。要想清除病毒，小武决定还要找到感染ARP病毒的电脑才行。通过“AntiArpSniffer”程序，小武已获得了欺骗机的MAC，这样只要找到该MAC对应的IP地址即可。

评论加载中... 内容： 评论者： 验证码：