如何用命令行查找并快速定位ARP病毒母机

安全 黑客攻防
如何能够快速检测定位出局域网中的ARP病毒电脑? 面对着局域网中成百台电脑,一个一个地检测显然不是好办法。其实我们只要利用ARP病毒的基本原理:发送伪造 ...

ARP病毒攻击是一个令人头痛的问题,但是,如何能够快速检测定位出局域网中的ARP病毒电脑呢?

面对着局域网中成百台电脑,一个一个地检测显然不是好办法。其实我们只要利用ARP病毒的基本原理:发送伪造的ARP欺骗广播,中毒电脑自身伪装成网关的特性,就可以快速锁定中毒电脑。可以设想用程序来实现以下功能:在网络正常的时候,牢牢记住正确网关的IP地址和MAC地址,并且实时监控着来自全网的ARP数据包,当发现有某个ARP数据包广播,其IP地址是正确网关的IP地址,但是其MAC地址竟然是其它电脑的MAC地址的时候,这时,无疑是发生了ARP欺骗。对此可疑MAC地址报警,在根据网络正常时候的IP-MAC地址对照表查询该电脑,定位出其IP地址,这样就定位出中毒电脑了。下面详细说一下如何利用命令行方式检测ARP中毒电脑的方法.  

这种方法比较简便,不利用第三方工具,利用系统自带的ARP命令即可完成。当局域网中发生ARP欺骗的时候,ARP病毒电脑会向全网不停地发送ARP欺骗广播,这时局域网中的其它电脑就会动态更新自身的ARP缓存表,将网关的MAC地址记录成ARP病毒电脑的MAC地址,这时候我们只要在其它受影响的电脑中查询一下当前网关的MAC地址,就知道中毒电脑的MAC地址了,查询命令为 ARP -a,需要在cmd命令提示行下输入。输入后的返回信息如下:   

Internet Address Physical Address Type 

192.168.0.1 00-50-56-e6-49-56 dynamic   

这时,由于这个电脑的ARP表是错误的记录,因此,该MAC地址不是真正网关的MAC地址,而是中毒电脑的MAC地址!这时,再根据网络正常时,全网的IP—MAC地址对照表,查找中毒电脑的IP地址就可以了。由此可见,在网络正常的时候,保存一个全网电脑的IP—MAC地址对照表是多么的重要。可以使用nbtscan工具扫描全网段的IP地址和MAC地址,保存下来,以备后用。 方法是:
arp -a   查看MAC【注:对于是用arp -a 命令来查看mac地址表,此时出现的mac地址并不一定是网关的mac地址,随着arp的不断变种,出现的mac地址表很有可能是内网中其他计算机的mac地址。】
arp -d  清空ARP缓存 
arp -s   绑定网关,格式为   arp -s ip mac   :ARP -S 网关IP 网关MAC

【编辑推荐】

  1. 专题:ARP攻击防范与解决方案
  2. ARP Sinffer攻防实例讲解
  3. 教你使用Anti ARP Sniffer查找ARP攻击者
  4. ARP欺骗攻击原理也可以这样理解
责任编辑:老杨 来源: 黑客基地
相关推荐

2010-08-25 21:03:38

命令行DHCP

2011-09-06 16:17:50

Ubuntu

2018-11-21 09:57:44

命令行Linux文件

2020-12-11 06:44:16

命令行工具开发

2020-12-10 16:16:08

工具代码开发

2021-11-16 14:25:38

JavaScript前端

2011-11-08 09:46:10

2019-07-23 13:45:38

LinuxFedora权限

2019-06-26 18:30:30

Linux命令行电子邮件

2013-12-03 09:23:06

命令行网速

2022-10-14 19:30:29

Linux

2012-03-08 10:03:11

JavaClass

2019-08-05 12:20:30

命令行Linux权限进阶

2015-09-02 15:47:05

命令行fdupesLinux

2019-07-15 05:50:19

Linux命令行VirtualBox版

2010-05-17 15:41:26

2014-02-12 10:11:08

扫描病毒扫描Clam Antivi

2012-11-20 16:16:05

Windows

2010-09-29 12:15:40

2022-08-14 19:19:14

Linux
点赞
收藏

51CTO技术栈公众号