论坛风格切换
正版合作和侵权请联系 sd173@foxmail.com
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
会声会影2023旗舰版 Parallels 19破解    
发帖 回复
返回列表
  • 1922阅读
  • 1回复

[求助-网络问题]三招找出局域网中病毒源头 [复制链接]

 上一主题 下一主题
离线zhb_3448
闪电元勋
 

发帖
59686
今日发帖
最后登录
2016-12-13
只看楼主 倒序阅读 使用道具 楼主  发表于: 2009-05-25 12:00:16
在局域网环境中上网的朋友会经常碰到无故断线的情况,并且检查电脑也检查不出什么原因。其实出现这种情况,大部分情况下都是局域网中的某一台电脑感染了ARP类型的病毒所至。感染病毒,电脑一一杀毒,电脑过多的情况下显然很费时费力。现在就告诉你这三招两式,快速找出局域网中的“毒瘤”。
 
  小提示: ARP:Address Resolution Protocol的缩写,即地址解析协议。ARP负责将电脑的IP地址转换为对应的物理地址,即网卡的MAC地址。当发生ARP欺骗时,相关主机会收到错误的数据,从而造成断网的情况发生。
 
  一、查看防火墙
    日志局域网中有电脑感染ARP类型病毒后,一般从防火墙的日志中可以初步判断出感染病毒的主机。
 
  感染病毒的机器的典型特征便是会不断的发出大量数据包,如果在日志中能看到来自同一IP的大量数据包,多半情况下是这台机器感染病毒了。
 
  这里以Nokia IP40防火墙为例,进入防火墙管理界面后,查看日志项,在“Event Log”标签下可以明显看到内网中有一台机器不断的有数据包被防火墙拦截,并且间隔的时间都很短。目标地址为公司WEB服务器的外网IP地址,设置过滤策略时对WEB服务器特意加强保护,所以可以看到这些项目全部是红色标示出来的(图1)。
  

  到WEB服务器的数据包被拦截了,那些没有拦截的数据包呢?自然是到达了目的地,而“目的”主机自然会不间断的掉线了。
 
  由于内网采用的DHCP服务器的方法,所以只知道IP地址还没有用,必须知道对应的MAC地址,才能查到病毒源。我们可以利用NBTSCAN来查找IP所对应的MAC地址。如果是知道MAC地址,同样可以使用NBBSCAN来得到IP地址(图2)。 
  

图2
由此可见,防火墙日志,有些时候还是可以帮上点忙的。
 
  小提示:如果没有专业的防火墙,那么直接在一台客户机上安装天网防火墙之类的软件产品,同样能够看到类似的提醒。
  二、利用现有工具
    如果觉得上面的方法有点麻烦,且效率低下的话,那么使用专业的ARP检测工具是最容易不过的事了。这里就请出简单易用,但功能一点也不含糊的ARP 防火墙。
 
  ARP防火墙可以快速的找出局域网中ARP攻击源,并且保护本机与网关之间的通信,保护本机的网络连接,避免因ARP攻击而造成掉线的情况发生。
 
  软件运行后会自动检测网关IP及MAC地址并自动保护电脑。如果软件自动获取的地址有错误,可单击“停止保护”按钮,填入正确的IP地址后,单击“枚取MAC”按钮,成功获取MAC地址后,单击“自动保护”按钮开始保护电脑。
 
  当本机接收到ARP欺骗数据包时,软件便会弹出气泡提示,并且指出机器的MAC地址(图3)。
  

图3 
  单击“停止保护”按钮,选中“欺骗数据详细记录”中的条目,再单击“追捕攻击者”按钮,在弹出的对话框中单击确定按钮。
 
  软件便开始追捕攻击源,稍等之后,软件会提示追捕到的攻击者的IP地址(图4)。
  

图4
实大多数时候,不用手工追捕,软件会自动捕获到攻击源的MAC地址及IP地址。
 
  还等什么?找到那颗“毒瘤”,将其断网,杀毒。局域网总算清静了!

  三、有效防守
       俗话说,进攻才是最好的防守。虽然通过上面的方法可以找到病毒源,并最终解决问题,不过长期有人打电话抱怨“又断线了……”。总是这样擦屁股,似乎不是长久之际,因此有效保护每一台机器不被ARP欺骗攻击才是上策。
 
  比较有效的方法之一便是在每一台机器上安装ARP防火墙,设置开机自启动,并且在“拦截本机发送的攻击包”项打勾(图5),这样不仅可以保护不受攻击,还可以防止本机已感染病毒的情况下,发送欺骗数据攻击别的机器的情况发生。
 
图6

 
  使用这种方法绑定的弱点便是,机器重新启动之后,绑定便会失效,需要重新绑定。因此可将上面的命令行做成一个批处理文件,并将快捷方式拖放到开始菜单的“启动”项目中,这样就可以实现每次开机自动绑定了。
 
  所谓“道高一尺,魔高一丈”,技术总是在不断更新,病毒也在不断的发展。使用可防御ARP攻击的三层交换机,绑定端口MAC-IP,合理划分VLAN,彻底阻止盗用IP、MAC地址,杜绝ARP的攻击,才是最佳的防范策略。对于经常爆发病毒的网络,可以进行Internet访问控制,限制用户对网络的访问。因为大部分ARP攻击程序网络下载到客户端,如果能够加强用户上网的访问控制,就能很好的阻止这类问题的发生。
1条评分
惊鸿一剑 电魂 +3 闪电有你更精彩,期待你的下一帖 2009-05-25

主队让半球高水,一般不能要主队!
凡是开半一的盘,一般不能要下盘!
凡是开一球或一球球半的盘,一般不能要上盘!
凡是开一球半以上的盘,一般不能要下盘!
回复
举报
离线yjs0202
闪电元勋

发帖
16457
今日发帖
最后登录
2016-05-24
只看该作者 沙发  发表于: 2009-05-26 11:13:45
通常就是杀毒,或者重装系统
回复
举报
发帖 回复
返回列表