快速找出局域網中毒瘤——ARP病毒
在局域網環境中上網的朋友會經常碰到無故斷線的情況,并且檢查電腦也檢查不出什么原因。其實出現這種情況,大部分情況下都是局域網中的某一臺電腦感染了ARP類型的病毒所至。感染病毒,電腦一一殺毒,電腦過多的情況下顯然很費時費力。現在就告訴你這三招兩式,快速找出局域網中的“毒瘤”。
小提示: ARP:Address Resolution Protocol的縮寫,即地址解析協議。ARP負責將電腦的IP地址轉換為對應的物理地址,即網卡的MAC地址。當發生ARP欺騙時,相關主機會收到錯誤的數據,從而造成斷網的情況發生。
一、查看防火墻日志
局域網中有電腦感染ARP類型病毒后,一般從防火墻的日志中可以初步判斷出感染病毒的主機。
感染病毒的機器的典型特征便是會不斷的發出大量數據包,如果在日志中能看到來自同一IP的大量數據包,多半情況下是這臺機器感染病毒了。
這里以Nokia IP40防火墻為例,進入防火墻管理界面后,查看日志項,在“Event Log”標簽下可以明顯看到內網中有一臺機器不斷的有數據包被防火墻攔截,并且間隔的時間都很短。目標地址為公司WEB服務器的外網IP地址,設置過濾策略時對WEB服務器特意加強保護,所以可以看到這些項目全部是紅色標示出來的(圖1)。
圖1
到WEB服務器的數據包被攔截了,那些沒有攔截的數據包呢?自然是到達了目的地,而“目的”主機自然會不間斷的掉線了。
由于內網采用的DHCP服務器的方法,所以只知道IP地址還沒有用,必須知道對應的MAC地址,才能查到病毒源。我們可以利用NBTSCAN來查找IP所對應的MAC地址。如果是知道MAC地址,同樣可以使用NBBSCAN來得到IP地址(圖2)。
圖2
由此可見,防火墻日志,有些時候還是可以幫上點忙的。
小提示:如果沒有專業的防火墻,那么直接在一臺客戶機上安裝天網防火墻之類的軟件產品,同樣能夠看到類似的提醒。 #p#
二、利用現有工具
如果覺得上面的方法有點麻煩,且效率低下的話,那么使用專業的ARP檢測工具是最容易不過的事了。這里就請出簡單易用,但功能一點也不含糊的ARP 防火墻。
ARP防火墻可以快速的找出局域網中ARP攻擊源,并且保護本機與網關之間的通信,保護本機的網絡連接,避免因ARP攻擊而造成掉線的情況發生。
軟件運行后會自動檢測網關IP及MAC地址并自動保護電腦。如果軟件自動獲取的地址有錯誤,可單擊“停止保護”按鈕,填入正確的IP地址后,單擊“枚取MAC”按鈕,成功獲取MAC地址后,單擊“自動保護”按鈕開始保護電腦。
當本機接收到ARP欺騙數據包時,軟件便會彈出氣泡提示,并且指出機器的MAC地址(圖3)。
圖3
單擊“停止保護”按鈕,選中“欺騙數據詳細記錄”中的條目,再單擊“追捕攻擊者”按鈕,在彈出的對話框中單擊確定按鈕。
軟件便開始追捕攻擊源,稍等之后,軟件會提示追捕到的攻擊者的IP地址(圖4)。
圖4
其實大多數時候,不用手工追捕,軟件會自動捕獲到攻擊源的MAC地址及IP地址。
還等什么?找到那顆“毒瘤”,將其斷網,殺毒。局域網總算清靜了! #p#
三、有效防守
俗話說,進攻才是最好的防守。雖然通過上面的方法可以找到病毒源,并最終解決問題,不過長期有人打電話抱怨“又斷線了……”。總是這樣擦屁股,似乎不是長久之際,因此有效保護每一臺機器不被ARP欺騙攻擊才是上策。
比較有效的方法之一便是在每一臺機器上安裝ARP防火墻,設置開機自啟動,并且在“攔截本機發送的攻擊包”項打勾(圖5),這樣不僅可以保護不受攻擊,還可以防止本機已感染病毒的情況下,發送欺騙數據攻擊別的機器的情況發生。
圖5
另外,如果你只是在一個較小的局域網環境中,并且也不想安裝ARP防火墻增加系統開銷,可以手工綁定自己的MAC地址及IP地址,這樣就也可以避免被ARP欺騙數據攻擊。
首先使用IPCONFIG命令查看本機網卡的MAC地址及IP地址。然后輸入“arp -d”將緩存數據清空,再執行“arp –s IP地址 Mac地址”綁定MAC地址及IP地址(圖6)。
圖6
使用這種方法綁定的弱點便是,機器重新啟動之后,綁定便會失效,需要重新綁定。因此可將上面的命令行做成一個批處理文件,并將快捷方式拖放到開始菜單的“啟動”項目中,這樣就可以實現每次開機自動綁定了。
所謂“道高一尺,魔高一丈”,技術總是在不斷更新,病毒也在不斷的發展。使用可防御ARP攻擊的三層交換機,綁定端口MAC-IP,合理劃分VLAN,徹底阻止盜用IP、MAC地址,杜絕ARP的攻擊,才是最佳的防范策略。對于經常爆發病毒的網絡,可以進行Internet訪問控制,限制用戶對網絡的訪問。因為大部分ARP攻擊程序網絡下載到客戶端,如果能夠加強用戶上網的訪問控制,就能很好的阻止這類問題的發生。
【編輯推薦】
