教你三招快速找到ARP病毒源

教你三招快速找到 ARP 病毒源 第一招：使用 Sniffer 抓包 在网络内任意一台主机上运行抓包软件，捕获所有到达本机的数据包。如果发现有某个 IP 不断发送请求包，那么这台电脑一般就是病毒源。原理：无论何种 ARP 病毒变种，行为方式有两种，一是欺骗网关，二是欺骗网内的所有主机。最终的结果是，在网关的 ARP 缓存表中，网内所有活动主机的 MAC 地址均为中毒主机的 MAC地址；网内所有主机的 ARP 缓存表中，网关的 MAC 地址也成为中毒主机的 MAC 地址。前者保证了从网关到网内主机的数据包被发到中毒主机，后者相反，使得主机发往网关的数据包均发送到中毒主机。 第二招：使用 arp -a 命令 任意选两台不能上网的主机，在 DOS 命令窗口下运行 arp -a 命令。例如在结果中，两台电脑除了网关的 IP，MAC 地址对应项，都包含了 192.168.0.186的这个 IP，则可以断定 192.168.0.186 这台主机就是病毒源。原理：一般情况下，网内的主机只和网关通信。正常情况下，一台主机的 ARP 缓存中应该只有网关的 MAC 地址。如果有其他主机的 MAC 地址，说明本地主机和这台主机最后有过数据通信发生。如果某台主机（例如上面的 192.168.0.186）既不是网关也不是服务器，但和网内的其他主机都有通信活动，且此时又是 ARP 病毒发作时期，那么，病毒源也就是它了。 第三招：使用 tracert命令 在任意一台受影响的主机上，在 DOS 命令窗口下运行如下命令：tracert 61.135.179.148。 假定设置的缺省网关为 10.8.6.1，在跟踪一个外网地址时，第一跳却是 10.8.6.186，那么，10.8.6.186 就是病毒源。原理：中毒主机在受影响主机和网关之间，扮演了“中间人” 的角色。所有本应该到达网关的数据包，由于错误的 MAC 地址，均被发到了中毒主机。此时，中毒主机越俎代庖，起了缺省网关的作用。 实战攻略：ARP 病毒发起欺骗攻击解决方法 故障现象：机器以前可正常上网的，突然出现可认证，不能上网的现象（无法ping 通网关），重启机器或在 MSDOS 窗口下运行命令 ARP -d 后，又可恢复上网一段时间。 故障原因：这是 APR 病毒欺骗攻击造成的。 引起问题的原因一般是由传奇外挂携带的 ARP 木马攻击。当在局域网内使用上述外挂时，外挂携带的病毒会将该机器的 MAC 地址映射到网关的 IP 地址上，向局域网内大量发送 ARP包，从而致使同一网段地址内的其它机器误将其作为网关，这就是为什么掉线时内网是互...