本文介绍了一种局域网内的ARP欺骗现象及其处理方法。当出现多台电脑无法上网的情况时,可以通过检查ARP表来判断是否存在ARP欺骗行为。文中详细介绍了如何使用命令行工具进行排查并绑定正确的网关MAC地址。
单位很多电脑突然无法上网,这个情况在多台电脑上出现,并且很多电脑都是XP
SP2的系统,而且开启了防火墙。但仔细观察发现大部分电脑都是开启了文件和打印机共享服务,由于这个服务开放的137、138、139、445端口正是
病毒常用的入侵端口,因此特别需要注意,如果没必要的话,还是建议别开放,或者在防火墙的设置上关闭这个服务的端口。
今天出现的部分用户无法上网现象和以前经常遇到的集体瘫痪有所不同,用sniffer观察一段时间后症状并不明显,联想到现在比较流行的arp欺骗木马就
找了一台无法上网的电脑,运行cmd,输入arp -a发现出现多个地址,并且出现不同的IP地址对应的MAC是一样的,因此基本确定是中了arp欺骗。
以下说明下处理这种情况的方法:
1、首先进入命令行模式
2、然后运行arp -a命令,该命令是查看当前arp表,可以确认网关和对应的mac地址
正常情况下会出现类似如下的提示:
Interface:192.168.1.5 --- 0x2 Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 dynamic
如果192.168.1.1为网关,那么00-01-02-03-04-05就是网关服务器网卡的MAC地址,比对这个MAC是否和真的服务器网卡MAC一致,如果不一致就是被欺骗,会造成用户无法上网。
而被欺骗的电脑可能会出现多个IP出现同样的MAC,出现错乱。这个时候记住要记下那个网关IP对应的错误MAC地址,这个地址很可能是中了木马的电脑,这个可以方便接下来的查杀。
3、确认之后,可以输入arp -d命令,以删除当前计算机的arp表,方便重新建立arp表。
4、接下来可以绑定正确的arp网关,输入:
arp -s 192.168.1.1 00-0e-18-34-0d-56
5、再用arp -a查看
Interface: 192.168.1.5 --- 0x2 Internet Address Physical Address Type
192.168.1.1 00-0e-18-34-0d-56 static
这时,类型变为静态(static),就不会再受攻击影响了。
至此这台电脑便可以上网了,不过要彻底解决问题就需要找到那台中木马的电脑(一般就是那台伪造了网关MAC的对应电脑),对其杀毒之后才可以解
决问题,推荐使用奇虎安全卫士配合木马克星一类的杀木马软件查杀木马,因为很多杀毒软件都无法发现现在的木马。具体查杀过程还涉及一切系统知识和处理经
验,在此不再详表。
最后介绍一下ARP欺骗类的木马,一般为比较热门游戏的盗号木马;
原理是:
当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。
切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。
扫一扫
9592
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
