教你三招快速找到 ARP 病毒源 第一招:使用 Sniffer 抓包 在网络内任意一台主机上运行抓包软件,捕获所有到达本机的数据包。如果发现有某个 IP 不断发送请求包,那么这台电脑一般就是病毒源。原理:无论何种 ARP 病毒变种,行为方式有两种,一是欺骗网关,二是欺骗网内的所有主机。最终的结果是,在网关的 ARP 缓存表中,网内所有活动主机的 MAC 地址均为中毒主机的 MAC地址;网内所有主机的 ARP 缓存表中,网关的 MAC 地址也成为中毒主机的 MAC 地址。前者保证了从网关到网内主机的数据包被发到中毒主机,后者相反,使得主机发往网关的数据包均发送到中毒主机。 第二招:使用 arp -a 命令 任意选两台不能上网的主机,在 DOS 命令窗口下运行 arp -a 命令。例如在结果中,两台电脑除了网关的 IP,MAC 地址对应项,都包含了 192.168.0.186的这个 IP,则可以断定 192.168.0.186 这台主机就是病毒源。原理:一般情况下,网内的主机只和网关通信。正常情况下,一台主机的 ARP 缓存中应该只有网关的 MAC 地址。如果有其他主机的 MAC 地址,说明本地主机和这台主机最后有过数据通信发生。如果某台主机(例如上面的 192.168.0.186)既不是网关也不是服务器,但和网内的其他主机都有通信活动,且此时又是 ARP 病毒发作时期,那么,病毒源也就是它了。 第三招:使用 tracert命令 在任意一台受影响的主机上,在 DOS 命令窗口下运行如下命令:tracert 61.135.179.148。 假定设置的缺省网关为 10.8.6.1,在跟踪一个外网地址时,第一跳却是 10.8.6.186,那么,10.8.6.186 就是病毒源。原理:中毒主机在受影响主机和网关之间,扮演了“中间人” 的角色。所有本应该到达网关的数据包,由于错误的 MAC 地址,均被发到了中毒主机。此时,中毒主机越俎代庖,起了缺省网关的作用。 实战攻略:ARP 病毒发起欺骗攻击解决方法 故障现象:机器以前可正常上网的,突然出现可认证,不能上网的现象(无法ping 通网关),重启机器或在 MSDOS 窗口下运行命令 ARP -d 后,又可恢复上网一段时间。 故障原因:这是 APR 病毒欺骗攻击造成的。 引起问题的原因一般是由传奇外挂携带的 ARP 木马攻击。当在局域网内使用上述外挂时,外挂携带的病毒会将该机器的 MAC 地址映射到网关的 IP 地址上,向局域网内大量发送 ARP包,从而致使同一网段地址内的其它机器误将其作为网关,这就是为什么掉线时内网是互...
