|
一,ARP欺騙的特征:
ARP欺騙的特征就是本機(jī)網(wǎng)關(guān)對(duì)應(yīng)的地址信息被欺騙����,原來(lái)正確的地址被非法欺騙者篡改,非法欺騙者自己充當(dāng)網(wǎng)關(guān)來(lái)達(dá)到ARP欺騙的目的��。在有問(wèn)題計(jì)算機(jī)上通過(guò)arp-a查詢(xún)ARP緩存表會(huì)發(fā)現(xiàn)網(wǎng)關(guān)IP地址對(duì)應(yīng)的MAC地址和正常時(shí)不同����,正確的網(wǎng)關(guān)MAC地址被篡改。
總的來(lái)說(shuō)網(wǎng)關(guān)MAC地址與正常地址不同是ARP欺騙的最大特征���,一旦確認(rèn)此點(diǎn)就可以斷定內(nèi)網(wǎng)中存在ARP欺騙病毒����。
二,巧判斷為ARP欺騙平反:
既然我們知道了ARP欺騙病毒的最大特征是MAC地址的偽造�,那么我們就可以通過(guò)查詢(xún)正確的網(wǎng)關(guān)對(duì)應(yīng)的MAC地址來(lái)判斷內(nèi)網(wǎng)是否感染了ARP欺騙病毒。一般來(lái)說(shuō)對(duì)于中小企業(yè)網(wǎng)關(guān)設(shè)備可以分為路由交換設(shè)備以及服務(wù)器(單機(jī))�����。如果企業(yè)直接通過(guò)路由器轉(zhuǎn)發(fā)數(shù)據(jù)的話(huà)網(wǎng)關(guān)地址應(yīng)該是網(wǎng)絡(luò)連接的接口IP地址�����,如果是通過(guò)代理或單機(jī)防火墻訪問(wèn)外網(wǎng)的話(huà)����,網(wǎng)關(guān)地址應(yīng)該是那臺(tái)網(wǎng)關(guān)服務(wù)器。下面我們依次來(lái)講解如何查詢(xún)這些設(shè)備的正確網(wǎng)關(guān)MAC地址�����。
(1)路由交換設(shè)備上端口MAC地址的查詢(xún):
對(duì)于路由交換設(shè)備來(lái)說(shuō)自身會(huì)有很多個(gè)端口���,每個(gè)端口都對(duì)應(yīng)一個(gè)MAC地址��,因此我們首先要確定的是內(nèi)網(wǎng)設(shè)備連接的是哪個(gè)端口���,確定了具體端口后我們才能夠到路由交換設(shè)備管理界面中去查詢(xún)端口的真實(shí)MAC地址�����。具體命令如下——
首先進(jìn)入路由交換設(shè)備管理界面,然后進(jìn)入相應(yīng)的端口���,執(zhí)行displayinterface�����。例如我們要查詢(xún)ethernet0接口的相關(guān)地址信息�,就要先執(zhí)行intethernet0進(jìn)入以太0接口�����,然后執(zhí)行displayinterface來(lái)查詢(xún)接口信息��,在顯示出來(lái)的列表中我們可以看到hardwareaddressis00-0f-e2-30-6b-84的字樣���,這里的00-0f-e2-30-6b-84就是該端口對(duì)應(yīng)的MAC地址�����。當(dāng)然如果不能確定的話(huà)我們也可以根據(jù)internetaddress后的IP地址信息來(lái)判斷是否就是我們需要的網(wǎng)關(guān)地址���。(如圖1)
(2)服務(wù)器作為網(wǎng)關(guān)MAC地址的查詢(xún):
如果網(wǎng)關(guān)是服務(wù)器或者單獨(dú)主機(jī)設(shè)備的話(huà)查詢(xún)網(wǎng)關(guān)MAC地址要簡(jiǎn)單一些�����,我們只需要在“開(kāi)始”->“運(yùn)行”->“輸入CMD回車(chē)”進(jìn)入命令提示窗口���,然后在命令行窗口中輸入ipconfig/all查看本機(jī)網(wǎng)絡(luò)參數(shù)信息,在顯示的地址信息處有一行physicaladdress���,其后羅列的就是服務(wù)器作為網(wǎng)關(guān)的MAC地址信息�����。(如圖2)
(3)巧判斷為ARP欺騙平反:
確定了網(wǎng)關(guān)的MAC地址后我們就要來(lái)判斷到底內(nèi)網(wǎng)故障是否真的是由ARP欺騙病毒引起的��,在任何一臺(tái)機(jī)器上或者專(zhuān)門(mén)找存在問(wèn)題主機(jī)上通過(guò)“開(kāi)始”->“運(yùn)行”->“輸入CMD回車(chē)”進(jìn)入命令提示窗口���,然后執(zhí)行arp-a命令,在這里我們將看到本機(jī)羅列出的所有ARP緩存表信息�����。查看網(wǎng)關(guān)IP地址對(duì)應(yīng)的MAC地址,確認(rèn)他是否和我們之前查詢(xún)到的網(wǎng)關(guān)MAC地址一致��,如果相同的話(huà)說(shuō)明內(nèi)網(wǎng)沒(méi)有感染ARP欺騙病毒����,如果不同則說(shuō)明虛假M(fèi)AC地址那臺(tái)計(jì)算機(jī)感染了ARP欺騙病毒。(如圖3)
三�����,總結(jié):
并不是所有的內(nèi)網(wǎng)上網(wǎng)故障都是由ARP欺騙病毒引起的��,筆者接觸到很多網(wǎng)絡(luò)管理人員動(dòng)不動(dòng)就拿ARP欺騙病毒說(shuō)事�����,筆者希望本文可以幫助網(wǎng)管快速定位故障�,不要以為ARP欺騙病毒是內(nèi)網(wǎng)故障的締造者��,要知道其他病毒�����,黑客入侵�,驅(qū)動(dòng)故障等問(wèn)題也會(huì)造成內(nèi)網(wǎng)上網(wǎng)故障�����,希望各位管理人員不要反復(fù)從ARP欺騙下手解決所有故障問(wèn)題����,那樣只會(huì)走彎路����,在故障排除時(shí)我們還是要保持一份平常冷靜的心。
本文出自:億恩科技【www.yaz797.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)�����!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商���!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
