仙剑传奇-局域网产生ARP进击时，查看交换机的动态ARP表中的内容

时间：2015/2/26 23:23:04 作者：我本沉默来源：www.pkmir2.com 查看：405 评论：0

内容摘要：1．定位ARP攻击源头主动定位方式：因为所有的ARP攻击源都会有其特征——网卡会处于混杂模式，可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的，从而判断这台机器有可能就是“元凶”。定位好机器后，再做病毒信息收集，提交给趋势科技做分析处理。标注：网卡可以置于一种模式叫混杂模式（pr...

1．定位ARP进击来源

主动定位方法：因为所有的ARP进击源都邑有其特点——网卡会处于混淆模式，可以经由过程ARPKiller如许的对象扫描网内有哪台机械的网卡是处于混淆模式的，从而断定这台机械有可能就是“元凶”。定位好机械后，再做病毒信息收集，提交给趋势科技做分析处理。

标注：网卡可以置于一种模式叫混淆模式（promiscuous），在这种模式下工作的网卡可以或许收到一切经由过程它的数据，而不管实际上数据的目标地址是不是它。这实际就是Sniffer工作的基来源基本理：让网卡接收一切它所能接收的数据。

被动定位方法：在局域网产生ARP进击时，查看交换机的动态ARP表中的内容，肯定进击源的MAC地址；也可以在局域居于网中安排Sniffer对象，定位ARP进击源的MAC。

也可以直接Ping网关IP，完成Ping后，用ARP –a查看网关IP对应的MAC地址，此MAC地址应当为欺骗的MAC。

应用NBTSCAN可以取到PC的真实IP地址、机械名和MAC地址，假如有”ARP进击”在做怪，可以找到装有ARP进击的PC的IP、机械名和MAC地址。

敕令：“nbtscan -r 192.168.16.0/24”（搜刮全部192.168.16.0/24网段, 即192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜刮192.168.16.25-137 网段，即192.168.16.25-192.168.16.137。输出成果第一列是IP地址，最后一列是MAC地址。

NBTSCAN的应用典范：

假设查找一台MAC地址为“000d870d585f”的病毒主机。

1）将紧缩包中的nbtscan.exe 和cygwin1.dll解紧缩放到c:下。

2）在Windows开端—运行—打开，输入cmd（windows98输入“command”），在出现的DOS窗口中输入：C: btscan -r 192.168.16.1/24（这里须要根据用户实际网段输入），回车。

3）经由过程查询IP--MAC对应表，查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。

经由过程上述办法，我们就可以或许快速的找到病毒源，确认其MAC——〉机械名和IP地址。

2．防御办法

a.应用可防御ARP进击的三层交换机，绑定端口-MAC-IP，限制ARP流量，及时发明并主动阻断ARP进击端口，合理划分VLAN，彻底阻拦盗用IP、MAC地址，杜绝ARP的进击。

b.对于经常爆发病毒的收集，进行Internet拜访控制，限制用户对收集的拜访。此类ARP进击法度榜样一般都是从Internet下载到用户终端，假如可以或许加强用户上彀的拜访控制，就能极除夜的削减该问题的产生。

c.在产生ARP进击时，及时找到病毒进击来源，并收集病毒信息，可以应用趋势科技的SIC2.0，同时收集可疑的病毒样本文件，一路提交到趋势科技的TrendLabs进行分析，TrendLabs将以最快的速度供给病毒码文件，从而可以进行ARP病毒的防御。

标签：病毒信息趋势科技局域网交换机传奇

上一篇：HTTP 缺点 403，HTTP 缺点404
下一篇：按下CTRL+ALT+DEL让Windows XP刹时关机

相关文章

新开我本沉默发布站多站同步	新开嘟嘟传奇发布站多站同步	新开仙剑传奇发布站多站同步	新开仙剑版本发布站多站同步	新开迷失传奇发布站多站同步

仙剑传奇-局域网产生ARP进击时，查看交换机的动态ARP表中的内容

本类更新

本类推荐

本类排行