antiarpsniffer?arp病毒清除?扫描arp?菜鸟学院 电脑爱好者论坛

电脑

1个回答

写回答

33424040

2024-08-23 10:25

+ 关注

美的
美的

你是否正在寻找关于antiarpsniffer的内容?让我把最完美的东西奉献给你:查杀ARP病毒是ARP防火墙特用的功能,它能准确查杀正在对外攻击的ARP病毒,无需升级病毒库特征。

查杀ARP病毒的使用方法如下:

1。

ARP防火墙拦截到本机外对的ARP攻击时,点击进入显示详细数据的页面,如下图所示:

PID即发送攻击数据的进程的ID号,双击此数据即可查看进程的详细信息。或者选中数据后点右键,选择“查看进程详细信息”

2。

显示的进程信息如下所示:

3。最新版本的ARP防火墙发现病毒对外攻击时会自动提示并帮助用户清除病毒。

如果发现内部ARP攻击,直接处理本机就行了;如果发现外部ARP攻击,则根据实际情况通过攻击者的IP地址和/或MAC地址查找该攻击者电脑

电脑
电脑

下面就以实例介绍一下该软件的详细使用方法:

1、在同一网段的电脑上下载ARP防火墙、安装、运行。第一天,一切正常,没发现攻击行为。第二天,开机不到半小时就发现了ARP攻击,如图1

图1ARP防火墙发现外部ARP攻击

2、为了不冤枉好人,进一步确认攻击者的MAC地址。

进入核心交换机,查看该网段的MAC地址表。我们的核心交换机是华为的,键入命令“Displayarpvlanxx”(xx为所要查找ARP攻击网段的VLAN号),回车。显示如图2所示结果。

图2核心交换机上显示的MAC地址表

为了方便查看,我们将该数据拷贝到word中并按MAC地址排序。

word中,选中该数据,从“表格”菜单中选择“排序”菜单项,弹出“排序文字”窗口,“主要关键字”选“域3”即MAC地址,如图3

图3排序MAC地址表

排序后很容易就可以看到有四个IP地址对应于同一个MAC地址(如表1)!我们知道MAC地址是全球唯一的,这与ARP防火墙检测到的结果相吻合,现在MAC地址0011-5b2d-5c03所对应的电脑肯定有问题了。

这些IP中应该只有xxx。xxx。xx。92是真实的,其余的都是伪造的。由于我们的电脑一直在监测,该攻击者电脑刚对外攻击,就被检测到了,所以它伪造的IP地址还不多,我曾经发现过伪造了近10个IP地址的情形,而该网段总共有二十多台电脑

表1伪造的IP地址

xxx。

xxx。xx。1780011-5b9d-7246

xxx。xxx。xx。1880011-5b9d-7246

xxx。xxx。xx。1970011-5b9d-7246

xxx。

xxx。xx。920011-5b9d-7246

3、查找ARP攻击者

如果是静态IP,找出IP地址登记表,很容易就可找到发送ARP攻击的电脑。由于我们用的是动态IP,又没有每台电脑的MAC地址,所以虽然知道了攻击者的IP地址和MAC地址,但是万里长征还只迈出了第一步。

我们的DHCP服务器是基于MicrosoftWindows2003的,打开DHCP管理器,从地址租约里查看IP地址xxx。xxx。xx。92对应的计算机名,是随机的,没什么意义。

登录到有所要查找网段VLAN的各接入层交换机上,逐一查看该交换机上的MAC地址表。

我们用的是安奈特的交换机,在Web界面下按VLAN查询MAC地址表,看是否有MAC地址为0011-5b9d-7246的记录。一直查到第15台交换机,才终于找到罪魁祸首,结果如图4,可以看出该MAC地址对应于交换机的第16口。别的厂家的可网管交换机也都有查看MAC地址的功能。

图4接入层交换机上的MAC地址表

4、剩下工作的就简单了,先将该交换机的第16口Disable,然后查找用户上网登记信息,通知该用户处理自己的电脑

最后,推荐几点防范ARP攻击的措施:

1、在交换机上划分VLAN,这样即使网络中存在ARP攻击,也仅影响该VLAN的用户,缩小受影响范围和查找范围。

2、要求用户安装ARP防火墙。既可防止来自外部的ARP攻击,也可防止本机向外发送ARP攻击。一旦发现攻击及时与网管联系。

(截至本文完稿,ARP防火墙的最新版本是v4。3。1,下载地址为。)。

举报有用(17分享收藏

Copyright © 2025 IZhiDa.com All Rights Reserved.

知答 版权所有 粤ICP备2023042255号