消除病毒对网内其他主机的影响,最后再去清楚病毒(当然我这里就不用了,重启之后病毒就全消失了)。
这里我主要讲述一下如何找到ARP病毒源,我介绍三种方法,当然大家也可以采用其他的方法,只要能找到病毒源即可。
方法一:使用Sniffer抓包
在网络中的任意一台主机上运行抓包软件,捕获所有到达本主机的数据包。如果发现某个IP不断发送ARP Request请求包,这台主机一定就是病毒源。
原理:无论是何种ARP病毒变种,行为方式主要有两种:一是欺骗网关,二是欺骗网内的所有主机。最终的结果是在网关的ARP缓存表中,网内所有活动主机的MAC地址均为中病毒主机的MAC地址;网内所有主机的ARP缓存表中,网关的MAC地址也都是中病毒主机的MAC地址。前者保证了从网关到网内主机的数据报被发送到中毒主机,后者则相反,使得主机发往网关的数据报均被发送到中毒主机。
方法二:使用arp -a命令
任意选择两台不能上网的主机,在命令提示符状态下运行arp -a命令,如果在结果中,两台电脑除了网关的IP,MAC地址对应项外,都包含了另外一个IP,这可以断定这个IP就是病毒源。
原理:一般情况下,网内的主机只和网关通信。正常情况下,一台主机的ARP缓存中应该只有网关的MAC地址。如果有了其他主机的MAC地址,说明本地主机和这台主机最近有过数据通信发生。如果某台主机既不是网关也不是服务器,但和网内的其他主机都有数据通信活动,且此时又是ARP病毒的发作时期,那么病毒源就是他了。
方法三:使用tracert命令
在任意一台受影响的主机上,在命令提示符状态下运行tracert命令,具体的命令行为:tracert IP(该IP为外网地址),在跟踪一个外网地址时,第一跳却是另一个IP(不是网关地址),则这个IP就是病毒源。
原理:中毒主机在受影响的主机和网关之间,扮演着“中间人”的角色。所有本应该到达网关的数据包,由于错误的MAC地址,均被发送到了中毒主机上,此时中毒主机在该网络中充当缺省网关的作用。
虽然给大家介绍的是三种查找ARP病毒源方法,但是其基本原理都是一样的,这里我给大家介绍一款检测ARP病毒源的软件,具体点说就是检测网卡的工作模式(网卡工作在混杂模式很有可能就是中了ARP病毒)。这里我只给出软件下载地址,具体的使用方法请大家自行摸索。
SnifferDetector软件介绍:
通过检测对方网卡是否处于混杂模式(来检测是否对方正在使用Sniffer嗅谈) 运行需要WinpCap支持,如果没有安装,请先安装Winpcap