找回密码
 注册
快捷导航
查看: 2831|回复: 13

求助,遇到arp欺骗怎么处理

[复制链接] |自动提醒
阅读字号:

449

回帖

38

积分

2355

资产值

钻石会员 Rank: 3Rank: 3Rank: 3

注册时间
2005-4-15
发表于 2007-5-14 20:42:19| 字数 224| - 中国–江苏–扬州 联通 | 显示全部楼层 |阅读模式
公司这两天好像有人中了木马,内网都很正常,但是外网有人能上,有人不能上,有人偶尔能上,初步判断是ARP欺骗引起的,可是我查看了arp表,即使是不能上网的机器的网关的mac地址和IP地址也是正确的.
有没有哥们知道怎么处理的?或者有好的建议.
公司几十台机器,配置年代从01年到07年,性能,配置差异很大,操作系统,杀毒软件也是五花八门.
原本打算看看arp缓存,找到出问题的机器,可是看起来好像都很正常.
我现在就想有什么办法可以比较简单的找到出问题的机器

1477

回帖

0

积分

712

资产值

入门会员 Rank: 1

注册时间
2006-4-8
发表于 2007-5-14 20:44:40| 字数 9| - 中国–广东–广州 CNNIC会员电信节点 | 显示全部楼层
这不是ARP欺骗~
回复 支持 反对

使用道具 举报

5496

回帖

10

积分

2万

资产值

中级会员 Rank: 2Rank: 2

注册时间
2002-1-19
铜牌荣誉勋章(注册8年以上会员)银牌荣誉勋章(注册10年以上会员)
发表于 2007-5-14 20:55:56| 字数 24| - 中国–辽宁–辽阳 电信 | 显示全部楼层
抓包分析一下,我觉得你的故障象是有病毒发作引起的
回复 支持 反对

使用道具 举报

7259

回帖

129

积分

1万

资产值

至尊会员II Rank: 4Rank: 4Rank: 4Rank: 4

注册时间
2005-3-20
银牌荣誉勋章(注册10年以上会员)
发表于 2007-5-14 21:01:38| 字数 11| - 中国–广东–湛江 电信 | 显示全部楼层
试下ARP防火墙单机版
剩速度
回复 支持 反对

使用道具 举报

449

回帖

38

积分

2355

资产值

钻石会员 Rank: 3Rank: 3Rank: 3

注册时间
2005-4-15
 楼主| 发表于 2007-5-14 21:29:25| 字数 19| - 中国–江苏–扬州 联通 | 显示全部楼层
通常不能上网的机器,换个IP就能上去了
回复 支持 反对

使用道具 举报

411

回帖

1

积分

474

资产值

初级会员 Rank: 1

注册时间
2003-10-11
铜牌荣誉勋章(注册8年以上会员)
发表于 2007-5-14 22:00:37| 字数 180| - 中国–广东–深圳–南山区 电信 | 显示全部楼层
Ubuntu 8.04
原来 263 的邮箱已经不用了喔
回复 支持 反对

使用道具 举报

3604

回帖

33

积分

7963

资产值

钻石会员 Rank: 3Rank: 3Rank: 3

注册时间
2005-3-20
发表于 2007-5-14 22:47:24| 字数 400| - 中国–陕西–西安 电信/西北工业大学(电信出口) | 显示全部楼层
1、如果当时计算机已经断线,先运行arp -d(“开始”->“运行”->cmd,然后再输入这个命令),清除ARP入口地址,然后用ping命令看能否ping通网关,如果能ping通,则说明这台计算机是受到arp欺骗的攻击(并不是计算机中毒!)。最后用arp -a显示能联通时的MAC地址,记下!
2、如果当时计算机还能联接,则用arp -a显示能联通时的MAC地址,记下!
3、新建一个批处理文件(内容见后面),网关IP(用实际的网关IP替换) 网关MAC(用实际的网关MAC替换),把1或2中记下的MAC地址与网关IP地址绑定,然后设置开机时自动运行(将该文件放在“开始”->“启动”目录下),实现网关IP和网关MAC的静态绑定,这样就不会让别的计算机修改你的ARP表了!
批处理内容
:
内容如@echo off
arp -d
arp -s 网关IP(用实际的网关IP替换) 网关MAC(用实际的网关MAC替换)
不是思考,而是一种直觉!
回复 支持 反对

使用道具 举报

449

回帖

38

积分

2355

资产值

钻石会员 Rank: 3Rank: 3Rank: 3

注册时间
2005-4-15
 楼主| 发表于 2007-5-14 23:22:22| 字数 45| - 中国–江苏–扬州 联通 | 显示全部楼层
这个我知道,试过是不行的,断线情况下,网关的MAC地址仍然是正确的,这个就是俺疑惑的地方.
回复 支持 反对

使用道具 举报

107

回帖

0

积分

328

资产值

入门会员 Rank: 1

注册时间
2005-5-13
发表于 2007-5-15 09:02:22| 字数 25| - 中国–江苏–苏州 电信 | 显示全部楼层
同问,单位里也是这种情况。换个ip就能上!烦恼中!
T23
回复 支持 反对

使用道具 举报

1025

回帖

0

积分

1191

资产值

入门会员 Rank: 1

注册时间
2005-5-19
发表于 2007-5-16 22:39:09| 字数 57| - 中国–北京–北京–东城区 联通 | 显示全部楼层
我们单位也是,系统集成商给每台电脑装了这个:
http://www.antiarp.com/download.htm
回复 支持 反对

使用道具 举报

390

回帖

0

积分

786

资产值

入门会员 Rank: 1

注册时间
2006-11-28
发表于 2007-5-17 10:11:20| 字数 76| - 中国–山东–烟台–莱阳市 联通 | 显示全部楼层
可能是DHCP自动配置IP地址与手工配置的IP冲突,网管应该统一用手工给每台电脑进行配置!

[ 本帖最后由 jsb2008 于 2007-5-17 10:13 编辑 ]
回复 支持 反对

使用道具 举报

198

回帖

0

积分

1364

资产值

入门会员 Rank: 1

注册时间
2004-12-24
发表于 2007-5-17 12:40:43| 字数 40| - 中国–广东–湛江 电信 | 显示全部楼层
下载一个欣向巡路_免疫墙..大多可以防范....我这是上路由..现在都没试过..
回复 支持 反对

使用道具 举报

411

回帖

1

积分

474

资产值

初级会员 Rank: 1

注册时间
2003-10-11
铜牌荣誉勋章(注册8年以上会员)
发表于 2007-5-17 23:26:29| 字数 26| - 中国–广东–深圳 电信 | 显示全部楼层
楼主说下载不了文件
我有把三份文件寄给楼主
希望对他有用
Ubuntu 8.04
原来 263 的邮箱已经不用了喔
回复 支持 反对

使用道具 举报

1684

回帖

23

积分

9170

资产值

白金会员 Rank: 3Rank: 3Rank: 3

注册时间
2005-12-20
发表于 2007-5-21 11:59:03| 字数 89| - 中国–北京–北京 | 显示全部楼层
看到楼主的要求,我编了一个小软件对付当前的ARP病毒和ARP欺骗,希望楼主用用,多提建议利于我修改,www.arpip.cn

这个上面有原理和破解软件,如果能正常上网了,请回复一下
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

Powered by Discuz! X3.5 © 2001-2023 Comsenz Inc

GMT+8, 2025-1-10 06:20 , Processed in 0.142835 second(s), 48 queries , Gzip On, OPcache On.

手机版|小黑屋|安卓客户端|iOS客户端|Archiver|备用网址1|备用网址2|在线留言|专门网

返回顶部