|
在局域网环境中上网的朋友会经常碰到无故断线的情况,并且检查电脑也检查不出什么原因。其实出现这种情况,大部分情况下都是局域网中的某一台电脑感染了ARP类型的病毒所至。感染病毒,电脑一一杀毒,电脑过多的情况下显然很费时费力。现在就告诉你这三招两式,快速找出局域网中的“毒瘤”。 本文来自泠云天天在线 小提示: ARP:Address Resolution Protocol的缩写,即地址解析协议。ARP负责将电脑的IP地址转换为对应的物理地址,即网卡的MAC地址。当发生ARP欺骗时,相关主机会收到错误的数据,从而造成断网的情况发生。 泠云工作室 一、查看防火墙 本文来自泠云天天在线 日志局域网中有电脑感染ARP类型病毒后,一般从防火墙的日志中可以初步判断出感染病毒的主机。 lyttzx.com 感染病毒的机器的典型特征便是会不断的发出大量数据包,如果在日志中能看到来自同一IP的大量数据包,多半情况下是这台机器感染病毒了。 本文来自泠云天天在线 这里以Nokia IP40防火墙为例,进入防火墙管理界面后,查看日志项,在“Event Log”标签下可以明显看到内网中有一台机器不断的有数据包被防火墙拦截,并且间隔的时间都很短。目标地址为公司WEB服务器的外网IP地址,设置过滤策略时对WEB服务器特意加强保护,所以可以看到这些项目全部是红色标示出来的(图1)。 本文来自泠云天天在线 图1 内容来自泠云天天在线
到WEB服务器的数据包被拦截了,那些没有拦截的数据包呢?自然是到达了目的地,而“目的”主机自然会不间断的掉线了。 lyttzx.com 由于内网采用的DHCP服务器的方法,所以只知道IP地址还没有用,必须知道对应的MAC地址,才能查到病毒源。我们可以利用NBTSCAN来查找IP所对应的MAC地址。如果是知道MAC地址,同样可以使用NBBSCAN来得到IP地址(图2)。 lyttzx.com 图2 copyright lyttzx.com
由此可见,防火墙日志,有些时候还是可以帮上点忙的。 泠云工作室 小提示:如果没有专业的防火墙,那么直接在一台客户机上安装天网防火墙之类的软件产品,同样能够看到类似的提醒。二、利用现有工具 本文来自泠云天天在线 如果觉得上面的方法有点麻烦,且效率低下的话,那么使用专业的ARP检测工具是最容易不过的事了。这里就请出简单易用,但功能一点也不含糊的ARP 防火墙。 内容来自泠云天天在线 ARP防火墙可以快速的找出局域网中ARP攻击源,并且保护本机与网关之间的通信,保护本机的网络连接,避免因ARP攻击而造成掉线的情况发生。 lyttzx.com
软件运行后会自动检测网关IP及MAC地址并自动保护电脑。如果软件自动获取的地址有错误,可单击“停止保护”按钮,填入正确的IP地址后,单击“枚取MAC”按钮,成功获取MAC地址后,单击“自动保护”按钮开始保护电脑。 内容来自泠云天天在线 当本机接收到ARP欺骗数据包时,软件便会弹出气泡提示,并且指出机器的MAC地址(图3)。 copyright lyttzx.com 图3 泠云工作室 单击“停止保护”按钮,选中“欺骗数据详细记录”中的条目,再单击“追捕攻击者”按钮,在弹出的对话框中单击确定按钮。 泠云工作室 软件便开始追捕攻击源,稍等之后,(责任编辑:泠云) |
