求助,遇到arp欺骗怎么处理
公司这两天好像有人中了木马,内网都很正常,但是外网有人能上,有人不能上,有人偶尔能上,初步判断是ARP欺骗引起的,可是我查看了arp表,即使是不能上网的机器的网关的mac地址和IP地址也是正确的.有没有哥们知道怎么处理的?或者有好的建议.
公司几十台机器,配置年代从01年到07年,性能,配置差异很大,操作系统,杀毒软件也是五花八门.
原本打算看看arp缓存,找到出问题的机器,可是看起来好像都很正常.
我现在就想有什么办法可以比较简单的找到出问题的机器 这不是ARP欺骗~ 抓包分析一下,我觉得你的故障象是有病毒发作引起的 试下ARP防火墙单机版 通常不能上网的机器,换个IP就能上去了:( 提供几份文件
抓包分析 http://ftp.qno.cn/Doc/Technical/Ethereal_ARP_SYN.pdf
PC做绑定 http://ftp.qno.cn/Doc/Technical/ARP_PC_Binding.pdf
双向绑定 http://ftp.qno.cn/Doc/Technical/ARP_Router%26PC_Binding.pdf 1、如果当时计算机已经断线,先运行arp -d(“开始”->“运行”->cmd,然后再输入这个命令),清除ARP入口地址,然后用ping命令看能否ping通网关,如果能ping通,则说明这台计算机是受到arp欺骗的攻击(并不是计算机中毒!)。最后用arp -a显示能联通时的MAC地址,记下!
2、如果当时计算机还能联接,则用arp -a显示能联通时的MAC地址,记下!
3、新建一个批处理文件(内容见后面),网关IP(用实际的网关IP替换) 网关MAC(用实际的网关MAC替换),把1或2中记下的MAC地址与网关IP地址绑定,然后设置开机时自动运行(将该文件放在“开始”->“启动”目录下),实现网关IP和网关MAC的静态绑定,这样就不会让别的计算机修改你的ARP表了!
批处理内容
:
内容如@echo off
arp -d
arp -s 网关IP(用实际的网关IP替换) 网关MAC(用实际的网关MAC替换) 这个我知道,试过是不行的,断线情况下,网关的MAC地址仍然是正确的,这个就是俺疑惑的地方. 同问,单位里也是这种情况。换个ip就能上!烦恼中! 我们单位也是,系统集成商给每台电脑装了这个:
http://www.antiarp.com/download.htm 可能是DHCP自动配置IP地址与手工配置的IP冲突,网管应该统一用手工给每台电脑进行配置!
[ 本帖最后由 jsb2008 于 2007-5-17 10:13 编辑 ] 下载一个欣向巡路_免疫墙..大多可以防范....我这是上路由..现在都没试过.. 楼主说下载不了文件
我有把三份文件寄给楼主
希望对他有用 看到楼主的要求,我编了一个小软件对付当前的ARP病毒和ARP欺骗,希望楼主用用,多提建议利于我修改,www.arpip.cn
这个上面有原理和破解软件,如果能正常上网了,请回复一下
页:
[1]