怎么样切肯定位ARP攻击并找到病毒攻击的源头[网络技术]

很多人都被曾经ARP过得吧?很麻烦,这个,开始认为是自己网站问题呢,后果细心查抄了一下,不是自身程序问题,这个就是所谓的ARP攻击啦.

1．定位ARP攻击源头
 
主动定位方法:因为全部的ARP攻击源城市有其特点——网卡会处于稠浊情势,可以通过ARPKiller这样的工具扫描网内有哪台机械的网卡是处于稠浊情势的,从而判断这台机械有大概就是“元凶”.定位好机械后,再做病毒信息汇集,提交给趋向科技做解析处理.
 
标注:网卡可以置于一种情势叫稠浊情势（promiscuous）,在这种情势下工作的网卡可以收到一切通过它的数据,而不管实际上数据的目的地址是不是它.这实际就是Sniffer工作的基本原理:让网卡接纳一切它所能接纳的数据.
被动定位方法:在局域网发生ARP攻击时,查看交换机的动态ARP表中的内容,肯定攻击源的MAC地址;也可以在局域居于网中布置Sniffer工具,定位ARP攻击源的MAC.
 
也可以直接Ping网关IP,完成Ping后,用ARP –a查看网关IP对应的MAC地址,此MAC地址应当为拐骗的,利用NBTSCAN可以取到PC的真实IP地址、机械名和MAC地址,假若有”ARP攻 击”在做怪,可以找到装有ARP攻击的PC的IP、机械名和MAC地址.
 
号令:“nbtscan -r 192.168.16.0/24”（搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254）;或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段,即192.168.16.25-192.168.16.137.输出后果第一列是IP地址,最后一列是MAC地址.NBTSCAN的利用典范:
 
假定查找一台MAC地址为“000d870d585f”的病毒主机.
 
1）将紧缩包中的nbtscan.exe 和cygwin1.dll解紧缩放到c:下.
 
2）在Windows开始—运行—翻开,输入cmd（windows98输入“command”）,在呈现的DOS窗口中输入:C: btscan -r 192.168.16.1/24（这里需求按照用户实际网段输入）,回车.
 
3）通过查询IP–MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”.
 
通过上述办法,我们就可以够快速的找到病毒源,确认其MAC——〉机械名和IP地址.
 
2．防备办法
 
a.利用可防备ARP攻击的三层交换机,绑定端口-MAC-IP,限制ARP流量,及时发现并自动阻断ARP攻击端口,公道划分VLAN,完好禁止盗用IP、MAC地址,根绝ARP的攻击.
 
b.关于常常爆发病毒的网络,举行Internet拜候掌握,限制用户对网络的拜候.此类ARP攻击程序普通都是从Internet下载到用户终端,假如可以加强用户上网的拜候掌握,就可以极大的削减该问题的发生.
 
c.在发生ARP攻击时,及时找到病毒攻击源头,并汇集病毒信息,可以利用趋向科技的SIC2.0,同时汇集可疑的病毒样本文件,一同提交到趋向科技的TrendLabs举行解析,TrendLabs将以最快的速度供应病毒码文件,从而可以举行ARP病毒的防备.