ARP攻击仅仅存在于局域网里 用命令行查看ARP攻击一般是网络管理员来做的: 对一个合格的网管来说,起码网络的拓扑他应该很清楚,还有就是他手头必须有一份表:各个部门计算机的计算机名、IP、MAC。 1.进入命令行模式ARP -A显示所有ARP连接,注意查看网关的MAC,如果和真实的MAC地址不同,那肯定是有病毒了 继续观察所有的连接,如果发现列表中有一台跟本机没有实际联系的机器,那么,这台机器应该就是ARP病毒的传播者。也可以通过网关那个假MAC地址找到源机(源机的MAC就是那个MAC) 2.先用扫描器扫描下整个网段,然后用ARP -A命令,可以看到,有一台机器的MAC地址和网关的MAC地址是一样的,这台机器就是中ARP病毒的机器,再根据平时的统计找到这台机器即可。 3.可以到交换机上看,多个重复的MAC地址说明有ARP欺骗现象 4.nbtstat -a/-A IP这个也不错。
1、用LanSee163将网内的电脑IP MAC 扫描出来,已备排除中招机器。
在能上网时,进入MS-DOS窗口,输入命令:arp –a 查看网关IP对应的正确MAC地址,将其记录下来。
2、如果有瑞星或其他防火墙,可以把静态网关删除,看看能不能拦截到。拦到MAC地址就可以用刚才扫面出来的MAC对比了,找到中招机器。
3、如果中招机已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令: arp –s 网关IP 网关MAC
如果中招机已经不能上网,则在MS-DOS下先运行一次命令arp –d将arp缓存中的网关内容删空,计算机可暂时恢复上网,然后杀之。
4、再累一点的方法(局域网内机器少),看哪一台机器有主页篡改、杀软打不开等情况,来判断机器是否中招。
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024