ARP病毒主机的查找方法

haidong

一、查网络设备。用telnet或超级终端进入核心交换机或路由器，用“show arp”或之类的命令列出arp表，会发现有很多IP对应的MAC地址是一样的，这些相同的MAC地址就是病毒主机网卡的MAC地址（如果主机很多则可复制MAC地址到EXCEL里按MAC地址排序就一目了然了），然后对应“用户—IP—MAC”对应表（网管一般都备有）就知道是谁的机子中毒了，如果没有对应表，则跟据路由器里的ARP表对应的IP逐个排查。

二、用抓包分析软件（如ethereal、sniffer Pro等）分析。有病毒的机子在很短的时间内会广播大量的ARP包，由于是广播的，不必在交换机上设端口镜像或把网卡设成混杂模式，直接在网络上的任一台机子上，抓半分钟内的数据包就基本可以找到有问题的机子了。在网络内任意一台主机上运行抓包软件，捕获所有到达本机的数据包。如果发现有某个IP不断发送ARP　Request请求包，那么这台电脑一般就是病毒源。
　　原理：无论何种ARP病毒变种，行为方式有两种，一是欺骗网关，二是欺骗网内的所有主机。最终的结果是，在网关的ARP缓存表中，网内所有活动主机的MAC地址均为中毒主机的MAC地址；网内所有主机的ARP缓存表中，网关的MAC地址也成为中毒主机的MAC地址。前者保证了从网关到网内主机的数据包被发到中毒主机，后者相反，使得主机发往网关的数据包均发送到中毒主机不过要是病毒主机是跨网段，那么ARP包是由网关转发，这就得确定是哪个网关发送的，然后再到该网关的网段内查找病毒主机。

三、使用tracert命令
　　在任意一台受影响的主机上，在DOS命令窗口下运行如下命令：tracert 220.181.38.84 。
　　假定设置的缺省网关为192.168.1.1，在跟踪一个外网地址时，第一跳却是192.168.1.88，那么，192.168.1.88就是病毒源。
　　原理：中毒主机在受影响主机和网关之间，扮演了“中间人”的角色。所有本应该到达网关的数据包，由于错误的MAC地址，均被发到了中毒主机。此时，中毒主机越俎代庖，起了缺省网关的作用。

四、如果是DHCP动态获得IP的网络，又没有MAC地址对应表，可在交换机上用ALC或shutdown端口的方式阻止其访问网络，那谁反映上不了网就是谁的机子有病毒，若交机没有网管功能的。。。拨网线吧，拔一跟线就抓一会包，拔到哪根正常了，就是这根网线另一端的机子有病毒了。

上面四种方法提供的是几种处理的思路，针对不用的网络可能会用到一种或几种方法

陈茵茵

我的啦嘿嘿

陈茵茵

真的假的 下了看看说

梅鱼韶

牛牛牛牛

ltqmp

晕  !