princeton 发表于 2007-4-11 06:45

ARP 木马病毒

呵.
arp木马病毒怎么样

[ Last edited by princeton on 2007-4-14 at 18:49 ]

空子 发表于 2007-4-11 07:28

该病毒的发作表现为:网络中所有电脑上网均通通断断,断几分钟再通几分钟不等;中毒主机不断向网络中的其他正常电脑广播一种ARP欺骗包,伪造网关,使得其他电脑识别到的网关地址被指向到中毒主机。

比如:
局域网网关IP为:192.168.1.1,网关MAC地址为:AA-BB-CC-DD-00-00;
中该病毒的主机A,IP为:192.168.1.5,主机MAC地址为:AA-BB-CC-DD-11-11;
另有一台局域网络中正常使用的主机B,IP为:192.168.1.9。
则:
当病毒发作时,在主机B即192.168.1.9这台电脑上,运行“CMD”进入命令提示符,再使用“ARP -a”命令,将会看到两条记录:

192.168.1.1 AA-BB-CC-DD-11-11
192.168.1.5 AA-BB-CC-DD-11-11

此时我们看到,局域网的网关IP地址与MAC地址,被病毒主机A发出的欺骗包给篡改了,因为正常情况下我们看到的记录应该是如下一条:

192.168.1.1 AA-BB-CC-DD-00-00

因此,通过此办法,应该能够顺利的找出主机A,并将其从网络上隔离开来,杀毒或重装系统后再接到网络上,可恢复正常。

当然,如果公司里面电脑较多,或早期网络管理方面比较杂乱,不好确定该IP对应哪台主机时,可以从交换机上先拔掉部分电脑的网线,拔掉这些后其他电脑还会中断,那说明拔掉的这些网线对应的电脑应该是没问题的;通过这样分批次的手工排查,直到确定中毒主机为止,也不失为一种办法^_^。

最后,当病毒发作时,“PING”局域网网关是不通的。

skyhood 发表于 2007-4-11 09:33

楼上强啊,倍明白。

princeton 发表于 2007-4-11 11:30

解释得够清楚啊.谢

小黑 发表于 2007-4-11 16:16

要中过后才会去了解。没中过才不会去了解呢

白松 发表于 2007-5-9 09:21

xingbo老大这么内行是不是中过ARP病毒啊:lol:
页: [1]
查看完整版本: ARP 木马病毒