快速找出局域网中毒瘤

《快速找出局域网中毒瘤》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

1、快速找出局域网中毒瘤～教育资源库　　在局域网环境中上网的朋友会经常碰到无故断线的情况，并且检查电脑也检查不出什么原因。其实出现这种情况，大部分情况下都是局域网中的某一台电脑感染了ARP类型的病毒所至。感染病毒，电脑一一杀毒，电脑过多的情况下显然很费时费力。现在就告诉你这三招两式，快速找出局域网中的毒瘤。　　小提示：ARP：AddressResolutionProtocol的缩写，即地址解析协议。ARP负责将电脑的IP地址转换为对应的物理地址，即网卡的MAC地址。当发生ARP欺骗时，相关主机会收到错误的数据，从而造成断网的情况发生。　　一、查看防火墙日志

2、　　局域网中有电脑感染ARP类型病毒后，一般从防火墙的日志中可以初步判断出感染病毒的主机。　　感染病毒的机器的典型特征便是会不断的发出大量数据包，如果在日志中能看到来自同一IP的大量数据包，多半情况下是这台机器感染病毒了。　　这里以NokiaIP40防火墙为例，进入防火墙管理界面后，查看日志项，在EventLog标签下可以明显看到内网中有一台机器不断的有数据包被防火墙拦截，并且间隔的时间都很短。目标地址为公司AC地址，才能查到病毒源。我们可以利用NBTSCAN来查找IP所对应的MAC地址。如果是知道MAC地址，同样可以使用NBBSCAN来得到IP地址(

3、图2)。　　　　图2　　由此可见，防火墙日志，有些时候还是可以帮上点忙的。　　小提示：如果没有专业的防火墙，那么直接在一台客户机上安装天网防火墙之类的软件产品，同样能够看到类似的提醒。　　二、利用现有工具　　如果觉得上面的方法有点麻烦，且效率低下的话，那么使用专业的ARP检测工具是最容易不过的事了。这里就请出简单易用，但功能一点也不含糊的ARP防火墙。　　ARP防火墙可以快速的找出局域网中ARP攻击源，并且保护本机与网关之间的通信，保护本机的网络连接，避免因ARP攻击而造成掉线的情况发生。　　ARP防火墙下载viel　　软件运行后会自动检测网关IP及M

4、AC地址并自动保护电脑。如果软件自动获取的地址有错误，可单击停止保护按钮，填入正确的IP地址后，单击枚取MAC按钮，成功获取MAC地址后，单击自动保护按钮开始保护电脑。　　当本机接收到ARP欺骗数据包时，软件便会弹出气泡提示，并且指出机器的MAC地址(图3)。　　　　图3　　单击停止保护按钮，选中欺骗数据详细记录中的条目，再单击追捕攻击者按钮，在弹出的对话框中单击确定按钮。　　软件便开始追捕攻击源，稍等之后，软件会提示追捕到的攻击者的IP地址(图4)。　　　　图4　　其实大多数时候，不用手工追捕，软件会自动捕获到攻击源的MAC地址及IP地址。　　还等什

5、么?找到那颗毒瘤，将其断网，杀毒。局域网总算清静了!　　三、有效防守　　俗话说，进攻才是最好的防守。虽然通过上面的方法可以找到病毒源，并最终解决问题，不过长期有人打抱怨又断线了。总是这样擦屁股，似乎不是长久之际，因此有效保护每一台机器不被ARP欺骗攻击才是上策。　　比较有效的方法之一便是在每一台机器上安装ARP防火墙，设置开机自启动，并且在拦截本机发送的攻击包项打勾(图5)，这样不仅可以保护不受攻击，还可以防止本机已感染病毒的情况下，发送欺骗数据攻击别的机器的情况发生。　　　　图5　　另外，如果你只是在一个较小的局域网环境中，并且也不想安装ARP防火墙

6、增加系统开销，可以手工绑定自己的MAC地址及IP地址，这样就也可以避免被ARP欺骗数据攻击。　　首先使用IPCONFIG命令查看本机网卡的MAC地址及IP地址。然后输入arp-d将缓存数据清空，再执行arp–sIP地址Mac地址绑定MAC地址及IP地址(图6)。　　　　图6　　使用这12下一页友情提醒：，特别！种方法绑定的弱点便是，机器重新启动之后，绑定便会失效，需要重新绑定。因此可将上面的命令行做成一个批处理文件，并将快捷方式拖放到开始菜单的启动项目中，这样就可以实现每次开机自动绑定了。　　所谓道高一尺，魔高一丈，技术总是在不断更新，病毒

7、也在不断的发展。使用可防御ARP攻击的三层交换机，绑定端口MAC-IP，合理划分VLAN，彻底阻止盗用IP、MAC地址，杜绝ARP的攻击，才是最佳的防范策略。对于经常爆发病毒的网络，可以进行Inter访问控制，限制用户对网络的访问。因为大部分ARP攻击程序网络下载到客户端，如果能够加强用户上网的访问控制，就能很好的阻止这类问题的发生。上一页12友情提醒：，特别！