用這個測試、跟蹤中毒主機
http://www.antiarp.com/download.htm
http://www.antiarp.com/download.htm
用 NBTSCAN(下載地址:http://www.utt.com.cn/upload/nbtscan.rar)工具來快速查找它的機器名。命令格式如下:
nbtscan -r 192.168.100.0/24
或者
nbtscan -r 192.168.100.0-254
在中毒主機可用
Icesword檢查隱藏進程
這個時候你有兩種方法來快速恢復網絡。如果你的二層交換機支持單個端口的配置,那麼封鎖此網卡連接的交換機的端口。
否則,你需要通過資產管理資料,找到這臺機器的物理位置,拔調此機器的網線。某些網絡可能難以通過MAC地址找到機器的物理位置,這個時候需要用一些迂迴的方式,比如大家都不能聯網的時候,有一臺機器可以,那麼一般來說這個機器就是***源了。
通過以上兩種方式隔離此機器後,等ARP緩存更新後,其他機器即可正常聯網。一般來說MS Windows高速緩存中的每一條記錄包括ARP的生存時間一般爲60秒。
否則,你需要通過資產管理資料,找到這臺機器的物理位置,拔調此機器的網線。某些網絡可能難以通過MAC地址找到機器的物理位置,這個時候需要用一些迂迴的方式,比如大家都不能聯網的時候,有一臺機器可以,那麼一般來說這個機器就是***源了。
通過以上兩種方式隔離此機器後,等ARP緩存更新後,其他機器即可正常聯網。一般來說MS Windows高速緩存中的每一條記錄包括ARP的生存時間一般爲60秒。
採用雙向綁定的方法解決並且防止ARP欺騙。
1、在PC上綁定安全網關的IP和MAC地址:
1)首先,獲得安全網關的內網的MAC地址(例如HiPER網關地址192.168.16.254的MAC地址爲0022aa0022aa)。
2)編寫一個批處理文件rarp.bat內容如下:
@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa
將文件中的網關IP地址和MAC地址更改爲實際使用的網關IP地址和MAC地址即可。
將這個批處理軟件拖到“windows 開始-程序-啓動”中。
3)如果是網吧,可以利用收費軟件服務端程序(pubwin或者萬象都可以)發送批處理文件rarp.bat到所有客戶機的啓動目錄。 Windows2000的默認啓動目錄爲“C:\Documents and Settings\All Users「開始」菜單程序啓動”。
2、在安全網關上綁定用戶主機的IP和MAC地址
1、在PC上綁定安全網關的IP和MAC地址:
1)首先,獲得安全網關的內網的MAC地址(例如HiPER網關地址192.168.16.254的MAC地址爲0022aa0022aa)。
2)編寫一個批處理文件rarp.bat內容如下:
@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa
將文件中的網關IP地址和MAC地址更改爲實際使用的網關IP地址和MAC地址即可。
將這個批處理軟件拖到“windows 開始-程序-啓動”中。
3)如果是網吧,可以利用收費軟件服務端程序(pubwin或者萬象都可以)發送批處理文件rarp.bat到所有客戶機的啓動目錄。 Windows2000的默認啓動目錄爲“C:\Documents and Settings\All Users「開始」菜單程序啓動”。
2、在安全網關上綁定用戶主機的IP和MAC地址
由於ARP欺騙的***程序發作的時候會發出大量的數據包導致局域網通訊擁塞以及其自身處理能力的限制,用戶會感覺上網速度越來越慢。當ARP欺騙的***程序停止運行時,用戶會恢復從路由器上網,切換過程中用戶會再斷一次線。
預防
開始 運行 把 網關和mac 地址綁定
arp -s 192.168.100.254 00-c0-4c-38-77-0b
資料:
arp -d
刪除某主機. arp -d * 刪除所有主機紀錄