你怎么判斷是哪兒臺電腦中了ARP病毒

局域網(wǎng)中有上百臺電腦， 如何能夠快速檢測定位出局域網(wǎng)中的ARP病毒電腦？ 一個一個地檢測顯然不是好辦法。 其實我們只要利用ARP病毒的基本原理：發(fā)送偽造的ARP欺騙廣播， 中毒電腦自身偽裝成網(wǎng)關(guān)的特性， 就可以快速鎖定中毒電腦。 可以設(shè)想用程序來實現(xiàn)以下功能：在網(wǎng)絡(luò)正常的時候， 牢牢記住正確網(wǎng)關(guān)的IP地址和MAC地址， 并且實時監(jiān)控著來自全網(wǎng)的ARP數(shù)據(jù)包， 當(dāng)發(fā)現(xiàn)有某個ARP數(shù)據(jù)包廣播， 其IP地址是正確網(wǎng)關(guān)的IP地址， 但是其MAC地址竟然是其它電腦的MAC地址的時候， 這時， 無疑是發(fā)生了ARP欺騙。 對此可疑MAC地址報警， 在根據(jù)網(wǎng)絡(luò)正常時候的IP－MAC地址對照表查詢該電腦， 定位出其IP地址， 這樣就定位出中毒電腦了。 下面詳細說一下幾種不同的檢測ARP中毒電腦的方法。

 命令行法

這種方法比較簡便， 不利用第三方工具， 利用系統(tǒng)自帶的ARP命令即可完成。 上文已經(jīng)說過， 當(dāng)局域網(wǎng)中發(fā)生ARP欺騙的時候， ARP病毒電腦會向全網(wǎng)不停地發(fā)送ARP欺騙廣播， 這時局域網(wǎng)中的其它電腦就會動態(tài)更新自身的ARP緩存表， 將網(wǎng)關(guān)的MAC地址記錄成ARP病毒電腦的MAC地址， 這時候我們只要在其它受影響的電腦中查詢一下當(dāng)前網(wǎng)關(guān)的MAC地址， 就知道中毒電腦的MAC地址了， 查詢命令為 ARP －a， 需要在cmd命令提示行下輸入。 輸入后的返回信息如下：

Internet Address      Physical Address        Type192.168.0.1          00-50-56-e6-49-56      dynamic

這時， 由于這個電腦的ARP表是錯誤的記錄， 因此， 該MAC地址不是真正網(wǎng)關(guān)的MAC地址， 而是中毒電腦的MAC地址！這時， 再根據(jù)網(wǎng)絡(luò)正常時， 全網(wǎng)的IP—MAC地址對照表， 查找中毒電腦的IP地址就可以了。 由此可見， 在網(wǎng)絡(luò)正常的時候， 保存一個全網(wǎng)電腦的IP—MAC地址對照表是多么的重要。 可以使用nbtscan 工具掃描全網(wǎng)段的IP地址和MAC地址， 保存下來， 以備后用。

工具軟件法

現(xiàn)在網(wǎng)上有很多ARP病毒定位工具， 其中做得較好的是Anti ARP Sniffer（現(xiàn)在已更名為ARP防火墻）， 下面我就演示一下使用Anti ARP Sniffer這個工具軟件來定位ARP中毒電腦。

首先打開Anti ARP Sniffer 軟件， 輸入網(wǎng)關(guān)的IP地址之后， 再點擊紅色框內(nèi)的“枚舉MAC”按鈕， 即可獲得正確網(wǎng)關(guān)的MAC地址， 如圖5。

接著點擊“自動保護”按鈕， 即可保護當(dāng)前網(wǎng)卡與網(wǎng)關(guān)的正常通信。 如圖6。

當(dāng)局域網(wǎng)中存在ARP欺騙時， 該數(shù)據(jù)包會被Anti ARP Sniffer記錄， 該軟件會以氣泡的形式報警。 如圖7。

這時， 我們再根據(jù)欺騙機的MAC地址， 對比查找全網(wǎng)的IP－MAC地址對照表， 即可快速定位出中毒電腦。

Sniffer 抓包嗅探法

當(dāng)局域網(wǎng)中有ARP病毒欺騙時， 往往伴隨著大量的ARP欺騙廣播數(shù)據(jù)包， 這時， 流量檢測機制應(yīng)該能夠很好的檢測出網(wǎng)絡(luò)的異常舉動， 此時Ethereal 這樣的抓包工具就能派上用場。 如圖8。

從圖8中的紅色框內(nèi)的信息可以看出， 192.168.0.109 這臺電腦正向全網(wǎng)發(fā)送大量的ARP廣播包， 一般的講， 局域網(wǎng)中有電腦發(fā)送ARP廣播包的情況是存在的， 但是如果不停的大量發(fā)送， 就很可疑了。 而這臺192.168.0.109 電腦正是一個ARP中毒電腦。

以上三種方法有時需要結(jié)合使用， 互相印證， 這樣可以快速準(zhǔn)確的將ARP中毒電腦定位出來