實(shí)戰(zhàn)捕獲局域網(wǎng) ARP病毒

最近， 小武單位的局域網(wǎng)總是不穩(wěn)定， 連連出現(xiàn)斷網(wǎng)的現(xiàn)象。 給同事們網(wǎng)絡(luò)辦公帶來很多不便。 起初小武還以為局內(nèi)信息中心故障呢？可是小武發(fā)現(xiàn)掉線越來越頻繁。 與信息中心聯(lián)系后， 才發(fā)現(xiàn)其他單位電腦正常， 沒有發(fā)生過掉線現(xiàn)象。 小武這下才認(rèn)定問題出現(xiàn)在自己單位。 經(jīng)過對硬件檢測后， 小武斷定是病毒在搗鬼！根據(jù)局域網(wǎng)內(nèi)計(jì)算機(jī)頻繁掉線的現(xiàn)象， 小武認(rèn)為單位的某臺電腦可能中了“ARP”的病毒， 這種病毒有些殺毒軟件很難根除， 于是小武便在局域網(wǎng)內(nèi)展開了ARP病毒捕殺過程。

找出病毒的根源首先小武打開局域網(wǎng)內(nèi)所有電腦， 隨后下載了一款名為“AntiArpSniffer ”的工具， 這是一款A(yù)RP防火墻軟件， 該軟件通過在系統(tǒng)內(nèi)核層攔截虛假ARP數(shù)據(jù)包來獲取中毒電腦的IP地址和MAC地址。 此外， 該軟件能有效攔截ARP病毒的攻擊， 保障該電腦數(shù)據(jù)流向正確。

使用“AntiArpSniffer”查找感染毒電腦時(shí)， 啟動該程序， 隨后小武在右側(cè)的“網(wǎng)關(guān)地址”項(xiàng)中輸入該局域網(wǎng)內(nèi)的網(wǎng)關(guān)IP， 隨后單擊“枚取MAC”， 這時(shí)該軟件會自動獲取到網(wǎng)關(guān)電腦網(wǎng)卡的MAC地址。 MAC獲取后單擊“自動保護(hù)”按鈕， 這樣“AntiArpSniffer”便開始監(jiān)視通過該網(wǎng)關(guān)上網(wǎng)的所有電腦了。

片刻工夫， 小武看到系統(tǒng)的任務(wù)欄中的“AntiArpSniffer”圖標(biāo)上彈出一個(gè)“ARP 欺騙數(shù)據(jù)包”提示信息。 這就說明該軟件已經(jīng)偵測到ARP病毒。 于是小武打開“AntiArpSniffer ”程序的主窗口， 在程序的“欺騙數(shù)據(jù)詳細(xì)記錄”列表中看到一條信息， 這就是“AntiArpSniffer”程序捕獲的ARP病毒信息。

其中“網(wǎng)關(guān)IP地址”和“網(wǎng)關(guān)MAC地址”兩項(xiàng)中是網(wǎng)關(guān)電腦的真實(shí)地址， 后面的欺騙機(jī)MAC地址就是中ARP病毒的MAC地址。 ARP病毒將該局域網(wǎng)的網(wǎng)關(guān)指向了這個(gè)IP地址， 導(dǎo)致其他電腦無法上網(wǎng)。

小提示：ARP病毒病毒發(fā)作時(shí)的特征中該病毒的電腦會偽造某臺電腦的MAC 地址， 如該偽造地址為網(wǎng)關(guān)服務(wù)器的地址， 那么對整個(gè)網(wǎng)絡(luò)均會造成影響， 用戶表現(xiàn)為上網(wǎng)經(jīng)常瞬斷。

獲取欺騙機(jī)IP“AntiArpSniffer ”雖然能攔截ARP病毒， 但是不能有效地根除病毒。 要想清除病毒， 小武決定還要找到感染ARP病毒的電腦才行。 通過“AntiArpSniffer”程序， 小武已經(jīng)獲取了欺騙機(jī)的MAC， 這樣只要找到該MAC對應(yīng)的IP地址即可。