遇上arp汗。
谢谢多谢 指教!!
:sleepy:
ddddddddddddddddddddddddddd
怎么清除怎么清除
我看看你的回答吧
恩。。。这个很有兴趣。。。看下。。
arp攻击是由于TCP/IP协议的漏洞。。。所以无法彻底修补。
找arp攻击源,手动查找虽然精确度较高,但是比较麻烦,在讲求效率的情况下,还是使用抓包软件进行分析,然后使用sniffer、彩影防火墙查看哪个MAC的网卡处于混杂模式。找到攻击源主机后应立即断开网络,继续监测网络情况,看看是否有大量的非正常arp包(一般是IP地址枚举,有些比较恶心的病毒会在网段内取随机IP来生成arp包广播)在流通。同时,在已经找到的攻击源主机上做杀毒处理。根据本人少得可怜的经验来判断,arp病毒一般不会单独中奖。首先怀疑该主机上是否正在或曾经运行网管软件例如网络剪刀手、长角牛网络监控机(原名网络执法官)、p2p终结者、聚生网管等软件。这些软件在技术上不断革新,使用了arp广播网关欺骗、arp泛洪、IP地址冲突、DNS欺骗等手段进行攻击,有时候是多种手段一起使用,对网络安全危害较大,应该尽量杜绝,除非用在必要的时候。。。。(其中长角牛网络监控机攻击效率较大,聚生网管和p2p终结者的功能较强悍)。排除是这些软件的原因,就是病毒了。前面说过,arp病毒单独中奖的概率不大,一般是木马下载器、反弹式木马、捆绑型木马和arp病毒一起中的。如果杀毒软件查出来有很多病毒和木马的情况下,估计就是这种情况了,2009年曾经第一次碰到过这样一起案例,当时是磁碟机、AV终结者风行的时候。。。。整个学校高中部网络都瘫痪。。。。经过查找发现是校长办公室的主机大量发送非正常arp包,断网后学校网络恢复正常。(由于是中学,网络规模不大,用的三层交换。)像这种情况。。。做一下重要数据备份。。。然后果断重装。。。要手动修复这个系统很麻烦。。。如果使用杀毒软件没有查杀到病毒,那可以使用icesword查看非正常的进程和消息钩子来判定(这个有点难度。。。),找到pid号,强制结束进程。找到进程和pe文件关联,删除文件即可。
补充一个。。。使用sniffer等软件的时候。。。由于需要接收所有的数据包。。因此网卡会被设置为混杂模式。。。也就是说,当你使用sniffer的软件的时候,你自己的网卡也是处于混杂模式的。。。不排除处于混杂模式的网卡不一定是攻击源,可能处在sniffer状态。。。
----------
