教你快速查找ARP病毒源技巧三則

教你快速查找ARP病毒源技巧三則

　　第一招：使用Sniffer抓包　　在網絡內任意一臺主機上運行抓包軟件，捕獲全部到達本機的數據包。若是發現有某個IP不斷髮送請求包，那麼這臺電腦通常就是病毒源。原理：不管何種ARP病毒變種，行爲方式有兩種，一是欺騙網關，二是欺騙網內的全部主機。最終的結果是，在網關的ARP緩存表中，網內全部活動主機的MAC地址均爲中毒主機的MAC地址；網內全部主機的ARP緩存表中，網關的MAC地址也成爲中毒主機的MAC地址。前者保證了從網關到網內主機的數據包被髮到中毒主機，後者相反，使得主機發往網關的數據包均發送到中毒主機。

 

　　第二招：使用arp -a命令　任意選兩臺不能上網的主機，在DOS命令窗口下運行arp -a命令。例如在結果中，兩臺電腦除了網關的IP，MAC地址對應項，都包含了192.168.0.186的這個IP，則能夠判定192.168.0.186這臺主機就是病毒源。原理：通常狀況下，網內的主機只和網關通訊。正常狀況下，一臺主機的ARP緩存中應該只有網關的MAC地址。若是有其餘主機的MAC地址，說明本地主機和這臺主機最後有過數據通訊發生。若是某臺主機（例如上面的192.168.0.186）既不是網關也不是服務器，但和網內的其餘主機都有通訊活動，且此時又是ARP病毒發做時期，那麼，病毒源也就是它了。　

 

　　第三招：使用tracert命令　　在任意一臺受影響的主機上，在DOS命令窗口下運行以下命令：tracert 61.135.179.148。　假定設置的缺省網關爲10.8.6.1，在跟蹤一個外網地址時，第一跳倒是10.8.6.186，那麼，10.8.6.186就是病毒源。原理：中毒主機在受影響主機和網關之間，扮演了「中間人」的角色。全部本應該到達網關的數據包，因爲錯誤的MAC地址，均被髮到了中毒主機。此時，中毒主機越俎代庖，起了缺省網關的做用。