找回密码
 新用户注册
搜索

ARP 木马病毒

[复制链接]
princeton 发表于 2007-4-11 06:45 | 显示全部楼层 |阅读模式
呵.
arp木马病毒怎么样

[ Last edited by princeton on 2007-4-14 at 18:49 ]
空子 发表于 2007-4-11 07:28 | 显示全部楼层
该病毒的发作表现为:网络中所有电脑上网均通通断断,断几分钟再通几分钟不等;中毒主机不断向网络中的其他正常电脑广播一种ARP欺骗包,伪造网关,使得其他电脑识别到的网关地址被指向到中毒主机。

比如:
局域网网关IP为:192.168.1.1,网关MAC地址为:AA-BB-CC-DD-00-00;
中该病毒的主机A,IP为:192.168.1.5,主机MAC地址为:AA-BB-CC-DD-11-11;
另有一台局域网络中正常使用的主机B,IP为:192.168.1.9。
则:
当病毒发作时,在主机B即192.168.1.9这台电脑上,运行“CMD”进入命令提示符,再使用“ARP -a”命令,将会看到两条记录:

192.168.1.1 AA-BB-CC-DD-11-11
192.168.1.5 AA-BB-CC-DD-11-11

此时我们看到,局域网的网关IP地址与MAC地址,被病毒主机A发出的欺骗包给篡改了,因为正常情况下我们看到的记录应该是如下一条:

192.168.1.1 AA-BB-CC-DD-00-00

因此,通过此办法,应该能够顺利的找出主机A,并将其从网络上隔离开来,杀毒或重装系统后再接到网络上,可恢复正常。

当然,如果公司里面电脑较多,或早期网络管理方面比较杂乱,不好确定该IP对应哪台主机时,可以从交换机上先拔掉部分电脑的网线,拔掉这些后其他电脑还会中断,那说明拔掉的这些网线对应的电脑应该是没问题的;通过这样分批次的手工排查,直到确定中毒主机为止,也不失为一种办法^_^。

最后,当病毒发作时,“PING”局域网网关是不通的。
skyhood 发表于 2007-4-11 09:33 | 显示全部楼层
楼上强啊,倍明白。
 楼主| princeton 发表于 2007-4-11 11:30 | 显示全部楼层
解释得够清楚啊.谢
小黑 发表于 2007-4-11 16:16 | 显示全部楼层
要中过后才会去了解。没中过才不会去了解呢
白松 发表于 2007-5-9 09:21 | 显示全部楼层
xingbo老大这么内行是不是中过ARP病毒啊:
您需要登录后才可以回帖 登录 | 新用户注册

本版积分规则

象山同乡网 ( 京ICP备10005750号 )

GMT+8, 2024-12-23 14:58

Powered by Discuz! X3.5

copyright by 54xsr.com

快速回复 返回顶部 返回列表