第一招:使用Sniffer抓包 在网络内任意一台主机上运行抓包软件,捕获所有到达本机的数据包。如果发现有某个IP不断发送请求包,那么这台电脑一般就是病毒源。原理:无论何种ARP病毒变种,行为方式有两种,一是欺骗网关,二是欺骗网内的所有主机。最终的结果是,在网关的ARP缓存表中,网内所有活动主机的MAC地址均为中毒主机的MAC地址;网内所有主机的ARP缓存表中,网关的MAC地址也成为中毒主机的MAC地址。前者保证了从网关到网内主机的数据包被发到中毒主机,后者相反,使得主机发往网关的数据包均发送到中毒主机。
第二招:使用arp -a命令 任意选两台不能上网的主机,在DOS命令窗口下运行arp -a命令。例如在结果中,两台电脑除了网关的IP,MAC地址对应项,都包含了192.168.0.186的这个IP,则可以断定192.168.0.186这台主机就是病毒源。原理:一般情况下,网内的主机只和网关通信。正常情况下,一台主机的ARP缓存中应该只有网关的MAC地址。如果有其他主机的MAC地址,说明本地主机和这台主机最后有过数据通信发生。如果某台主机(例如上面的192.168.0.186)既不是网关也不是服务器,但和网内的其他主机都有通信活动,且此时又是ARP病毒发作时期,那么,病毒源也就是它了。
第三招:使用tracert命令 在任意一台受影响的主机上,在DOS命令窗口下运行如下命令:tracert 61.135.179.148。 假定设置的缺省网关为10.8.6.1,在跟踪一个外网地址时,第一跳却是10.8.6.186,那么,10.8.6.186就是病毒源。原理:中毒主机在受影响主机和网关之间,扮演了“中间人”的角色。所有本应该到达网关的数据包,由于错误的MAC地址,均被发到了中毒主机。此时,中毒主机越俎代庖,起了缺省网关的作用。
你好:
你可以访问腾讯电脑管家官网,下载安装一个电脑管家
打开ARP防火墙
如果有ARP攻击,这里就会提示攻击的MAC地址
你根据这个地址,就可以准确的找到病毒源了
如果以后有什么问题,欢迎再来电脑管家企业平台询问,我们会尽心为您解答
本回答被网友采纳
ARP 攻击的原理
ARP 欺骗攻击的包一般有以下两个特点,满足之一可视为攻击包报 警:第一以太网数据包头的源地址、目标地址和 ARP 数据包的协议地址不匹配。或者,ARP 数据包的发送和目标地址不在自己网络网卡 MAC 数据库内,或者与自己网络 MAC 数据库 MAC/IP 不匹配。这些统统第一时间报警,查这些数据包 (以太网数据包)的源地址(也有可能 伪造),就大致知道那台机器在发起攻击了。现在有网络管理工具比如网络执法官、 P2P 终结者也会使用同样的方式来伪装成网关,欺骗客户端对网关的访问,也就是会获取发到网关的流量,从而实现网络流量管理和网络监控等功能,同时也会对网络管理带来潜在的危害,就是可以很容易的获取用户的密码等相关信息。
处理办法
通用的处理流程:
1 .先保证网络正常运行
方法一:编辑个***.bat 文件内容如下:
arp.exe ?s **.**.**.**(网关 ip) **?**?**?**?**?**(网关 mac 地址)
end
让网络用户点击就可以了!
办法二:编辑一个注册表问题,键值如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mac"="arp ?s 网关 IP 地址 网关 Mac 地址"
然后保存成 Reg 文件以后在每个客户端上点击导入注册表。
2 找到感染 ARP 病毒的机器。
在电脑上 ping 一下网关的 IP 地址,然后使用 ARP -a 的命令看得到的网关对应的 MAC 地址是否与实际情况相符,如不符,可去查找与该 MAC 地址对应的电脑。
使用抓包工具,分析所得到的 ARP 数据报。有些 ARP 病毒是会把通往网关的路径指向自己,有些是发出虚假 ARP 回应包来混淆网络通信。第一种处理比较容易,第二种处理比较困难,如果杀毒软件不能正确识别病毒的话,往往需要手工查找感染病毒的电脑和手工处理病毒,比较困难。
使用 mac 地址扫描工具, nbtscan 扫描全网段 IP 地址和 MAC 地址对应表,有助于判断感染 ARP 病毒对应 MAC 地址和 IP 地址
怎样快速查找ARP病毒源
快速查找ARP病毒源技巧三则 第一招:使用Sniffer抓包在网络内任意一台主机上运行抓包软件,捕获所有到达本机的数据包。如果发现有某个IP不断发送请求包,那么这台电脑一般就是病毒源。原理:无论何种ARP病毒变种,行为方式有两种,一是欺骗网关,二是欺骗网内的所有主机。最终的结果是,在网关的ARP缓存表...
路由器如何查找arp攻击源
2、使用arp -a命令 任意选两台不能上网的主机,在DOS命令窗口下运行arp -a命令。例如在结果中,两台电脑除了网关的IP,MAC地址对应项,都包含了192.168.0.186的这个IP,则可以断定192.168.0.186这台主机就是arp攻击源。原理:一般情况下,网内的主机只和网关通信。正常情况下,一台主机的ARP缓存...
怎么才能找到ARP攻击的源头
1.定位ARP攻击源头 主动定位方式:因为所有的ARP攻击源都会有其特征——网卡会处于混杂模式,可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的,从而判断这台机器有可能就是“元凶”。定位好机器后,再做病毒信息收集,提交给趋势科技做分析处理。标注:网卡可以置于一种模式叫混杂模式...
怎么追踪arp攻击源
一、找出病毒的根源 首先打开局域网内所有电脑,随后下载了一款名为“Anti Arp Sniffer”的工具,这是一款ARP防火墙软件,该软件通过在系统内核层拦截虚假ARP数据包来获取中毒电脑的IP地址和MAC地址。此外,该软件能有效拦截ARP病毒的攻击,保障该电脑数据流向正确。使用“Anti Arp Sniffer”查找感染毒电脑时...
怎么查看局域网arp攻击
2、利用彩影ARP防火墙软件查看。如果网卡是处于混杂模式或者ARP请求包发送的速度大或者ARP请求包总量非常大,判断这台机器有可能就是“元凶”。定位好机器后,再做病毒信息收集工作。3、通过路由器的“系统历史记录”查看。由于ARP攻击的木马程序发作的时候会发出大量的数据包导致局域网通讯阻塞以及其自身处理...
我们公司的网络遭到了ARP病毒的袭击,如何查询病毒源。
一、查网络设备。用telnet或超级终端进入核心交换机或路由器,用“show arp”或之类的命令列出arp表,会发现有很多IP对应的MAC地址是一样的,这些相同的MAC地址就是病毒主机网卡的MAC地址(如果主机很多则可复制MAC地址到EXCEL里按MAC地址排序就一目了然了),然后对应“用户—IP—MAC”对应表(网管一般...
如果网吧电脑中arp病毒,怎么查出攻击源
查看ARP病毒攻击源很多种方法。我自己是手动+命令查找,精准定位,谁敢攻击,我立马就知道是哪台电脑,我怕和你在这里说,你看不懂。给你介绍个比较简单的用软件来查找,没有分算 ,就当帮下你。第一:使用360ARP防火墙,这个能查找到时谁对你进行攻击。不过只适合保护单台电脑,且如果没被攻击也无法...
如何快速找到局域网中 中ARP病毒的电脑 在线等
方法一、在收到ARP欺骗的本机,在开始--运行中,输入“cmd”,进入ms-dos,通过命令行窗口输入“arp -a”命令,查看ARP列表。会发现该MAC已经被替换成攻击机器的MAC,将该MAC记录(以备查找),然后根据此MAC找出中病毒的计算机。方法二、借助第三方抓包工具(如sniffer或antiarp)查找局域网中发arp包...
arp病毒查找的最快办法
可以用360打开ARP防火墙来跟踪攻击源,根据实际地址来查,如果不行只能一台一台安装ARP防火墙,找到以后杀毒或重装
电脑被局域网ARP攻击,怎么追踪攻击者的MAR和IP地址
1、打开“运行”窗口,输入“CMD”进入MSDOS窗口。2、在命令提示符窗口中,输入“arp -a”即可查看计算机的ARP攻击列表。3、从中如何发现多条MAC地址与网关IP(通常为192.168.0.1)对应关系,则表明电脑受到ARP攻击,对应的MAC地址即为攻击源计算机。据此可以追踪到目标计算机。4、此外,我们还可以借助...
