本文介绍ARP欺骗病毒的工作原理及防御措施。重点讲述了如何通过静态映射等方法防止ARP欺骗,并提供了一种查找病毒主机的有效方法。
在safe.youkuaiyun.com上看到了关于ARP欺骗病毒的网文。我来分享一下经验
从原理上说在路由上做IP-MAC绑定是 完全无效的~~
三层交换对端口进行MAC绑定的可完全杜绝外,其它形式的攻击都是有效的。
所以要防犯此类病毒就要知道原理,ARP病毒是拦截客户到路由的数据包,如果访问的是80端口就在返回数据前加入传播脚本,让浏览网页的客户也感染。从这上说,那么封锁脚本指向的域名或IP就可以了,但此类病毒会通过一些方法更新下载病毒的网址,所以经常久封不断。
要有效地解决它就要知道ARP欺骗原理,这样的网文比较多,在搜索引擎上可以找到非常多。防范的方法也是早有现成的,就是静态映射,使用 arp -s 网络地址 硬件地址,针对arp 病毒,你要做的是 arp -s 路由地址 路由的硬件地址。 备份全网的IP-MAC地址是完全没必要的事。
接下来看看怎么找到病毒主机。
如果网内有这台主机
1.你按下[win] +r 输入cmd 来打开一个控制台
2.ipconfig 回车,记下Default Gateway的地址
3.ping 这个默认网关
4.arp -a 看与默认网关关联的MAC
这个MAC就是病毒主机的MAC
如果你的网络使用DHCP你可以在路由的记录中看到是哪台主机
如果你为客户预留IP的,你可以在找到对映的项以找到哪台主机
如果非常不幸你的网络每台机都使用了固定IP,那也有很方便的方法,下载一个IPscanner,使用最快的ping 全子网
然后在控制台里输入 arp -a 就可以看到当前的映射情况,你可以很快地找到目标主机。
找到杀毒,这里就不说了。
如果你认为我说的都太繁杂,那你可以直接连路由登录进去,看路由的LAN口MAC,复制下来,使用 arp -s 为你自己添加静态映射,如果需要的话,你可以把它放入启动项,这样每次开机都会自动设置
扫一扫
9811
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
