菜鳥安全手冊：實戰捕獲局域網 ARP病毒

【賽迪網-IT技術報道】最近，小武單位的局域網總是不穩定，連連出現斷網的現象。給同事們網絡辦公帶來很多不便。起初小武還以為局內信息中心故障呢？可是小武發現掉線越來越頻繁。與信息中心聯繫後，才發現其他單位電腦正常，沒有發生過掉線現象。小武這下才認定問題出現在自己單位。經過對硬體檢測後，小武斷定是病毒在搗鬼！根據局域網內計算機頻繁掉線的現象，小武認為單位的某台電腦可能中了「ARP」的病毒，這種病毒有些殺毒軟體很難根除，於是小武便在局域網內展開了ARP病毒捕殺過程。

找出病毒的根源首先小武打開局域網內所有電腦，隨後下載了一款名為「AntiArpSniffer 」的工具，這是一款ARP防火牆軟體，該軟體通過在系統內核層攔截虛假ARP資料包來獲取中毒電腦的IP地址和MAC地址。此外，該軟體能有效攔截ARP病毒的攻擊，保障該電腦資料流向正確。

使用「AntiArpSniffer」查找感染毒電腦時，啟動該程序，隨後小武在右側的「網關地址」項中輸入該局域網內的網關IP，隨後單擊「枚取MAC」，這時該軟體會自動獲取到網關電腦網卡的MAC地址。MAC獲取後單擊「自動保護」按鈕，這樣「AntiArpSniffer」便開始監視通過該網關上網的所有電腦了。

片刻工夫，小武看到系統的任務欄中的「AntiArpSniffer」圖標上彈出一個「ARP 欺騙資料包」提示信息。這就說明該軟體已經偵測到ARP病毒。於是小武打開「AntiArpSniffer 」程序的主窗口，在程序的「欺騙資料詳細記錄」列表中看到一條信息，這就是「AntiArpSniffer」程序捕獲的ARP病毒信息。

其中「網關IP地址」和「網關MAC地址」兩項中是網關電腦的真實地址，後面的欺騙機MAC地址就是中ARP病毒的MAC地址。ARP病毒將該局域網的網關指向了這個IP地址，導致其他電腦無法上網。

小提示：ARP病毒病毒發作時的特徵中該病毒的電腦會偽造某台電腦的MAC 地址，如該偽造地址為網關伺服器的地址，那麼對整個網絡均會造成影響，用戶表現為上網經常瞬斷。

獲取欺騙機IP「AntiArpSniffer 」雖然能攔截ARP病毒，但是不能有效地根除病毒。要想清除病毒，小武決定還要找到感染ARP病毒的電腦才行。通過「AntiArpSniffer」程序，小武已經獲取了欺騙機的MAC，這樣只要找到該MAC對應的IP地址即可。

繼續觀看精彩內容……

(