有图小站

关注电脑网络,记录健康生活。有图小站,价值分享。

当前位置: 首页 > 软件 > arp防火墙

arp防火墙

arp病毒这两天在网络上很爆发,我这边的机器只要有大规模的开启就会有。很快找到病毒,解决,但是还是要不了一个小时就会重新出现,下面我们看一下如何快速找到arp的主机。

如果是高手可以到交换机上去拦截数据包来看或者监视交换机的通信状态马上就会发现可疑的机器,但是,对于我们普通用户来说或者只是一个段内(一个C段)的机器出问题,我们犯不着非要去中心机房看交换机。

有一个工具叫做antiarp(早期名字叫sniffer)可以帮我们快速的找到arp攻击的主机。

antiarp下载 (此软件杀毒软件有风险提示,暂停下载)

我们详细看下图:

arp病毒

开启这个arp病毒拦截软件,就会看到和本图比较相似的界面。如果你的网段内是正常的,那么“1”处只会出现两个标签(“统计数据”和“分析收到的ARP”),好长时间“1”处还是这两栏,那么你应该没有受到arp攻击。如果像本图一样出现了中间这个标签“外部arp攻击”,那么恭喜你,正在抵御病毒的侵袭。那么我们就要向下接着看了。“2”处显示的是攻击者的IP地址,如果你知道这个IP是哪一台计算机或者是谁的计算机,马上通知他,将他的计算机断网杀毒(建议在安全模式下用卡巴斯基或者其他比较严格的杀毒软件杀)。如果你的IP不是静态分配的,那么看“2”前面的Mac地址,通过这个找到主机(如果你登记有Mac地址那么太好办了,如果没有登记Mac地址,只好麻烦你一台台的去CMD,然后 ipconfig /all 了,里面的物理地址就是mac地址)。我们还可以看“4”处的攻击数据包来看arp攻击的活跃情况,如果这里的包不增加,那么基本可以说不再攻击了,如果某个IP后面的arp攻击包还在增加,那么说明那台计算机还处于活跃状态(建议你把攻击者的网线拔掉)。如果“2”处显示“未知位置”,那么可以主动去追踪一下,点击“5”处的“追踪”,本软件会给段内的各个地址发送一个应答的数据包,马上,伪装者的真面孔将被揭开,在2处将会显示真实的攻击者的IP。

arp攻击是局域网攻击病毒,它爆发的明显标志是,被攻击者网速很慢。arp攻击者伪装成网关,并对段内的各个IP地址发送数据,并欺骗被攻击者,将其自己设为网关。之后所有的被攻击者都通过攻击者的计算机来上网,并为每一个网页加载可疑代码(如果你注意状态栏你会发现)。如果一个网段内的有一台计算机感染了arp病毒,这个网段的计算机马上会都无法上网或者速度很慢。危害之大令人生畏。

那么arp攻击在什么情况下感染的?目前很多网站被莫名奇妙的挂上了恶意代码(最近听说那个realplayer安装病毒很火),很多是在网站所有者不知情的情况下(当然也有的网站是故意的)被挂上的,如果我们不小心访问了这些网站(而这些站往往是我们自认为藏宝多多的网页),如果没有安装杀毒软件就会中招。

所以建议大家以后多上大站,有朋友说,什么是大站?百度是不是大站?Google是不是大站?是的,作为网站这些网站是大网站,但是它们搜出来的网页和百度、Google无关,就难保证安全。有很多朋友抱怨:我只上百度啊,为什么会感染病毒呢?是啊你认为的“百度”和实际上的百度网站是有差别的。问题的实质在于你访问的域名是什么。如果是个小站(不再解释了,就像本站就是小的不能再小的站),那就很难说了。

举个例子,有朋友去上网下个QQ居然不到腾讯的官网或者华军、天空、霏凡这样的大站上下载,而去了一个我从来没有听说过的网站上下。心里想,难怪你中毒。像QQ这样的流行软件,一定要到知名的大站下载,即使小站再好,也很难说他会不会在上面绑定木马什么的,更别说网站的安全了。当然了有些不知名的小软件没办法,只有到小站下载,那么去小站就要做好防护,下载下来后要“扫”一边。

本文只是说明如何寻找Arp病毒主机,如果想Arp病毒的处理实践过程,请参照早期出现的 851733.cn病毒处理方法 ,该文详细说明了处理的方法,如果你需要,可以看一下。

本文是 有图小站 原创,原地址 http://www.utosee.com/post/080107.html 转载请保留。





上一篇:硬盘检测工具
下一篇:磁盘检测命令chkdsk




版权所有 有图小站 关注 电脑 网络 软件 健康 豫ICP备12023314号