怎么样切肯定位ARP攻击并找到病毒攻击的源头[网络技术]
本文“怎么样切肯定位ARP攻击并找到病毒攻击的源头[网络技术]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:
很多人都被曾经ARP过得吧?很麻烦,这个,开始认为是自己网站问题呢,后果细心查抄了一下,不是自身程序问题,这个就是所谓的ARP攻击啦.
1.定位ARP攻击源头
主动定位方法:因为全部的ARP攻击源城市有其特点——网卡会处于稠浊情势,可以通过ARPKiller这样的工具扫描网内有哪台机械的网卡是处于稠浊情势的,从而判断这台机械有大概就是“元凶”.定位好机械后,再做病毒信息汇集,提交给趋向科技做解析处理.
标注:网卡可以置于一种情势叫稠浊情势(promiscuous),在这种情势下工作的网卡可以收到一切通过它的数据,而不管实际上数据的目的地址是不是它.这实际就是Sniffer工作的基本原理:让网卡接纳一切它所能接纳的数据.
被动定位方法:在局域网发生ARP攻击时,查看交换机的动态ARP表中的内容,肯定攻击源的MAC地址;也可以在局域居于网中布置Sniffer工具,定位ARP攻击源的MAC.
也可以直接Ping网关IP,完成Ping后,用ARP –a查看网关IP对应的MAC地址,此MAC地址应当为拐骗的,利用NBTSCAN可以取到PC的真实IP地址、机械名和MAC地址,假若有”ARP攻 击”在做怪,可以找到装有ARP攻击的PC的IP、机械名和MAC地址.
号令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段,即192.168.16.25-192.168.16.137.输出后果第一列是IP地址,最后一列是MAC地址.NBTSCAN的利用典范:
假定查找一台MAC地址为“000d870d585f”的病毒主机.
1)将紧缩包中的nbtscan.exe 和cygwin1.dll解紧缩放到c:下.
2)在Windows开始—运行—翻开,输入cmd(windows98输入“command”),在呈现的DOS窗口中输入:C: btscan -r 192.168.16.1/24(这里需求按照用户实际网段输入),回车.
3)通过查询IP–MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”.
通过上述办法,我们就可以够快速的找到病毒源,确认其MAC——〉机械名和IP地址.
2.防备办法
a.利用可防备ARP攻击的三层交换机,绑定端口-MAC-IP,限制ARP流量,及时发现并自动阻断ARP攻击端口,公道划分VLAN,完好禁止盗用IP、MAC地址,根绝ARP的攻击.
b.关于常常爆发病毒的网络,举行Internet拜候掌握,限制用户对网络的拜候.此类ARP攻击程序普通都是从Internet下载到用户终端,假如可以加强用户上网的拜候掌握,就可以极大的削减该问题的发生.
c.在发生ARP攻击时,及时找到病毒攻击源头,并汇集病毒信息,可以利用趋向科技的SIC2.0,同时汇集可疑的病毒样本文件,一同提交到趋向科技的TrendLabs举行解析,TrendLabs将以最快的速度供应病毒码文件,从而可以举行ARP病毒的防备.
以上是“怎么样切肯定位ARP攻击并找到病毒攻击的源头[网络技术]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
本文地址: | 与您的QQ/BBS好友分享! |