局域網(wǎng)arp病毒機(jī)排查

最近局域網(wǎng)內(nèi)arp病毒肆虐， 只要一打開抓包工具， 滿屏都是arp包。 就想查一下， 看看哪些電腦中毒了。

試了一下金山防火墻， 發(fā)現(xiàn)這個(gè)東東和很多它的同類產(chǎn)品一樣， 只能在有網(wǎng)關(guān)的網(wǎng)絡(luò)內(nèi)有效， 而對(duì)于我們這樣不用網(wǎng)關(guān)的網(wǎng)絡(luò)， 就算網(wǎng)內(nèi)arp流量大上天去， 它也無動(dòng)于衷， 根本無法用于我們的中毒機(jī)器排查。

在網(wǎng)上找了一下， 發(fā)現(xiàn)國(guó)外一個(gè)共享軟件XArp比較有用， 它是一個(gè)專業(yè)的Arp攻擊檢測(cè)軟件， 可以不同的策略對(duì)局域網(wǎng)內(nèi)的Arp流量進(jìn)行檢測(cè)分析， 并標(biāo)記出可疑計(jì)算機(jī)Mac和IP等信息。

它有兩個(gè)工作顯示視圖， 一個(gè)普通視圖可以顯示局域網(wǎng)內(nèi)所有計(jì)算機(jī)ARP相關(guān)流量， 計(jì)算機(jī)MAC， IP， 主機(jī)名等信息， 當(dāng)IP地址對(duì)應(yīng)的MAC地址發(fā)生變化時(shí)， 會(huì)做出標(biāo)記和提示， 如果你提高安全等級(jí)的設(shè)置， 還可以看到子網(wǎng)過濾的告警信息提示（由于我們的內(nèi)網(wǎng)是無網(wǎng)關(guān)+固定ip的形式， 凡是在子網(wǎng)內(nèi)發(fā)這種不存在的子網(wǎng)廣播包的計(jì)算機(jī)， 都應(yīng)是病毒計(jì)算機(jī)）。

另一個(gè)高級(jí)視圖， 可以顯示本機(jī)網(wǎng)絡(luò)信息， 檢測(cè)到的arp告警等。

在高級(jí)視圖點(diǎn)擊"copy to clipboard"按鈕， 可以將下面的告警信息拷貝到text,excel等文件便于處理， 比如拷貝到excel文件之后， 刪除掉無關(guān)的行和列， 再另存為csv文件， 以數(shù)據(jù)庫文件的方式在access中打開這個(gè)csv文件， 轉(zhuǎn)換成數(shù)據(jù)表， 再利用sql語句查詢一下， 可以輕易得到可疑計(jì)算機(jī)的mac地址， 或者mac地址使用過的ip地址列表：

有了這些信息以后， 你就可以有根有據(jù)， 有商有量地和各個(gè)機(jī)主交涉了：）

另外， 最近發(fā)現(xiàn)， 我的抓包工具wireshark（就是以前的ethreal， .......什么？沒聽過， 當(dāng)我沒說...）在抓住本機(jī)發(fā)出的包時(shí)， 總是兩個(gè)兩個(gè)一起的重復(fù)顯示（接收方那邊并沒有什么問題）， 就連arp包也是如此， 最初以為中毒或系統(tǒng)問題， 后來wireshark論壇發(fā)現(xiàn)也有人有這個(gè)現(xiàn)象， 開發(fā)組說可能是系統(tǒng)或網(wǎng)卡鏡像等原因造成， 不過以前沒有這個(gè)問題啊， 所以肯定還是有什么原因?qū)е拢?暫時(shí)這個(gè)問題還沒有解決， 如果有達(dá)人知道原因， 請(qǐng)不吝賜教。