Posted on 2006-07-13 08:01
David Zou 阅读(418)
评论(0) 编辑 收藏 所属分类:
生活点滴
前一段时间我们公司的网络出现了下面的状况
- 频繁有人的机器出现“您的网络地址和网络上的其他地址冲突…………”。
- 服务器经常吊线,一会可以上网,一会不能上网。
- 用工具扫描发现局域网内有一些mac地址相同,但是ip地址和主机名不同的机器。
- 用snaffer抓包发现,有一个mac地址在向其他的mac地址发包。
如果出现上面的类似状况,则有很大可能是因为ARP病毒!
这种病毒的特点是在通过与局域网内其他机器的交换数据包中,获取对方mac地址,然后把自己伪装成那个地址,从而造成对方因为ip冲突而无法上网,如果他获取了网关的mac地址,则和网关冲突,则会出现集体吊线的情况。
面对这样的问题,需要做一些事先的统计工作:统计局域网内所有机器的mac地址,以及该机器所处的物理位置。
然后可以按如下方法展开排查:
- 用snaffer对网络进行监视,发现有可疑的mac地址和ip地址则迅速记录下来。
- 根据记录的mac地址找到机器的物理地址,查找病毒源头。
如果路由器允许,也可以利用如下方法:
ARP病毒攻击防制ARP病毒攻击导致的网吧瞬间掉线的最佳解决办法ARP病毒入侵原理和解决方案ARP病毒入侵原理和解决方案--反病毒社区