加载中...

bob831020 | 我的圈子 我的帖子 短消息论坛任务 | 个人中心 退出

• 免费主页
• 网管百科
• 论坛
• 官网
• 网管软件下载
• 54圈子
• 搜索
• 论坛服务
• 帮助

我是网管论坛 » 【 网络基础 】 » 网管经验：从sniffer下手揪出ARP病毒 管理团队分布图 | 新人报道送MST | 官方QQ群
热门网管软件下载专区 | 网管新闻阅读专区
Win7，你在用吗？[win7使用问题讨论专帖] “等待验证”会员验证处 | 2010年版主招聘启事
欢迎加入【技术精英】组，资料下载畅通无阻！
★★企业网管技术大杂烩精华帖索引★★ 论坛超值黄金广告位——虚位以待！
新版勋章上线，点击申请！ | 在线时间计算方法
★★网吧网管技术大杂烩精华帖索引★★ 返回列表 回复 发帖

• 发新话题

qz2007

• qz2007 在 我是网管论坛 发表了新话题
• qz2007 和 goodlmy 成为了好友
• qz2007 和 lglloshy 成为了好友

• 发短消息
• 加为好友

qz2007 当前在线

UID

556006 

帖子

12905 

精华

4 

积分

1533 

MST币

29520 点 

BST币

1533 点 

阅读权限

150 

在线时间

1399 小时 

注册时间

2007-8-5 

最后登录

2010-6-23 

认证会员

 

帖子

12905 

精华

4 

积分

1533 

MST币

29520 点 

BST币

1533 点 

阅读权限

150 

在线时间

1399 小时 

楼主 打印 字体大小: tT 有新动态发表于 2009-5-27 03:58 | 只看该作者

网管经验：从sniffer下手揪出ARP病毒

sniffer, ARP, 网管, 经验, 揪出 ARP欺骗病毒是目前最让企业网络管理员头疼的病毒，他的特点就是隐蔽性强，一台机器感染后全网段机器都受影响，故障一样。所以很难找出真正的病毒来源。在实际维护过程中笔者发现即使ARP病毒发作后我们也可以通过sniffer工具这个放大镜来找出真凶。下面笔者就以一次个人查杀arp病毒的经历为例向各位IT168的读者介绍如何从sniffer下手揪出ARP病毒。　

　一，ARP欺骗病毒发作迹象：
　　一般来说ARP欺骗病毒发作主要有以下几个特点，首先网络速度变得非常缓慢，部分计算机能够正常上网，但是会出现偶尔丢包的现象。例如ping网关丢包。而其他大部分计算机是不能够正常上网的，掉包现象严重。但是这些不能上网的计算机过一段时间又能够自动连上。ping网关地址会发现延迟波动比较大。另外即使可以正常上网，象诸如邮箱，论坛等功能的使用依然出现无法正常登录的问题。

　　二，确认ARP欺骗病毒发作：
　　当我们企业网络中出现了和上面描述类似的现象时就需要我们在本机通过arp显示指令来确认病毒的发作了。
　　第一步：通过“开始->运行”，输入CMD指令后回车。这样我们将进入命令提示窗口。
　　第二步：在命令提示窗口中我们输入ARP -A命令来查询本地计算机的ARP缓存信息。在显示列表中的physical address列就是某IP对应的MAC地址了。如果企业没有进行任何MAC与IP地址绑定工作的话，ARP模式列显示的都是dynamic动态获得。当我们发现arp -a指令执行后显示信息网关地址对应的MAC地址和正确的不同时就可以百分之百的确定ARP欺骗病毒已经在网络内发作了。例如正常情况下笔者网络内网关地址192.168.2.1对应的MAC地址是00-10-5C-AC-3D-0A，然而执行后却发现192.168.2.1对应的MAC地址为00-10-5c-ac-31-b6。网关地址MAC信息错误或变化确认是ARP病毒造成的。（如图1）

     
   
第三步：我们用笔将错误的MAC地址记录下来，为日后通过sniffer排查做准备。
　　接下来我们就应该利用sniffer这个强大的工具来找出病毒根源了。

   三，从sniffer下手揪出ARP病毒：
　　一般来说最好的办法是找一台没有感染病毒的计算机连接到企业核心路由交换设备的镜像端口来抓取数据包。如果没有镜像端口直接连接到网络中抓取也可以，只是所抓数据会不全，分析问题的周期比较长。
　　第一步：我们按照实际需要将用来分析故障的笔记本连接到交换机的镜像端口上。运行sniffer，在sniffer软件中打开dashboard面板，这个面板主要是扫描当前网络中数据包的宏观信息，即什么样的数据包有多少个。一般来说病毒都是以广播数据包来传播的，所以只需要查看每秒网络内的广播数据包数量就可以判断病毒危害的严重与否。在dashboard面板中我们可以看到broadcasts/s处显示的信息为26个，也就是说对当前网络抓取结果是一秒钟有26个广播数据包。和平常比要多一些。（如图2）

   
    第二步：接下来我们在sniffer软件中切换到hosttable主机列表中，具体查看到底哪个计算机发送的广播数据包最多。一般来说如果网络内有蠕虫病毒，那么这台主机的广播量要远远大于其他主机。例如本例中就会看到有一台计算机的广播数据包为14344个，是其他正常计算机发送包的1000倍还多。这样就可以判断该计算机有问题。（如图3）

   
    第三步：我们在sniffer软件中切换到协议分析标签（protocol distribution，从图中可以看到网络内ARP数据包占用的比例比较大，达到了12%以上，这也是不正常的。一般来说一个正常的网络应该99%以上数据包都是IP数据包，ARP数据包小于1%。（如图4）
   
   

   第四步：接下来就该对嫌疑犯进行监控了，这在以前的文章中也介绍过，针对发送广播量最大的主机进行抓包分析，能够发现他不断的欺骗网关，向外发送的数据包目的地址都是连续的，声称他是192.168.2.0/24网段的主机，从而造成其他主机无法和正确网关进行

正常通讯，都被他欺骗了。（如图5）

   
   
    第五步：了解到出现问题计算机的MAC地址后我们通过查询sniffer监控的数据，特别是查看该MAC和真正网关地址通讯时数据包的内容就可以找到他的IP地址了。当然如果企业有DHCP服务器的话，也可以到DHCP服务器的地址租约池中查看该MAC地址对应的IP地址信息。总之我们可以通过多种方法来通过MAC找到IP地址，从而最终确定病毒的根源。
　　第六步：找到了这个有问题的MAC地址和IP地址后我们就可以针对该计算机进行断网隔离杀毒了。杀毒完毕连接到网络中问题全部解决，网络恢复正常。
　　四，总结：
　　ARP欺骗病毒的排查和清除方法非常单一，基本上按照本文介绍的方法就可以对付所有ARP欺骗病毒。这种查杀病毒的步骤也是最稳妥和全面的，采取步步为营的策略最终定位病毒根源，保证网络恢复正常传输的状态。

1

评分次数

•   MST币 + 8 点

  

  cutyourchicken

收藏 分享 评分 代出售二手电脑，CPU奔腾4 2.8（3.0，3.2，E2140，赛扬2.93和3.33）以上的主机，有须要请联系我。。。 回复 引用

订阅 报告 道具 TOP

惊呼了

• 发短消息
• 加为好友

惊呼了 当前离线

UID

921255 

帖子

13 

精华

0 

积分

6 

MST币

25 点 

BST币

6 点 

阅读权限

20 

在线时间

21 小时 

注册时间

2009-3-26 

最后登录

2009-11-17 

学徒网管

 

帖子

13 

精华

0 

积分

6 

MST币

25 点 

BST币

6 点 

阅读权限

20 

在线时间

21 小时 

沙发 发表于 2009-5-27 21:30 | 只看该作者 不错，学习学习~~~ 回复 引用

报告 道具 TOP

cutyourchicken

• 发短消息
• 加为好友

cutyourchicken 当前离线

UID

849256 

帖子

136 

精华

0 

积分

7 

MST币

1 点 

BST币

7 点 

阅读权限

20 

在线时间

23 小时 

注册时间

2008-12-5 

最后登录

2010-5-17 

学徒网管

 

帖子

136 

精华

0 

积分

7 

MST币

1 点 

BST币

7 点 

阅读权限

20 

在线时间

23 小时 

板凳 发表于 2009-6-4 20:22 | 只看该作者 hen hao 只要锄头舞的好，哪有墙脚挖不倒！ 回复 引用

报告 道具 TOP

ssund

• 发短消息
• 加为好友

ssund 当前离线

UID

966432 

帖子

128 

精华

0 

积分

20 

MST币

192 点 

BST币

20 点 

阅读权限

20 

在线时间

30 小时 

注册时间

2009-5-26 

最后登录

2010-6-23 

学徒网管

 

帖子

128 

精华

0 

积分

20 

MST币

192 点 

BST币

20 点 

阅读权限

20 

在线时间

30 小时 

地板 发表于 2009-6-5 15:28 | 只看该作者 值得学习学习 回复 引用

报告 道具 TOP

冷月品花人

• 发短消息
• 加为好友

冷月品花人 当前离线

UID

616255 

帖子

7 

精华

0 

积分

5 

MST币

7 点 

BST币

5 点 

阅读权限

20 

在线时间

8 小时 

注册时间

2007-11-20 

最后登录

2009-11-25 

学徒网管

 

帖子

7 

精华

0 

积分

5 

MST币

7 点 

BST币

5 点 

阅读权限

20 

在线时间

8 小时 

5^# 发表于 2009-6-17 11:11 | 只看该作者 写的很全面 回复 引用

报告 道具 TOP

落日余晖

• 发短消息
• 加为好友

落日余晖 当前离线

UID

982549 

帖子

17 

精华

0 

积分

5 

MST币

30 点 

BST币

5 点 

阅读权限

20 

在线时间

1 小时 

注册时间

2009-6-29 

最后登录

2010-2-7 

学徒网管

 

帖子

17 

精华

0 

积分

5 

MST币

30 点 

BST币

5 点 

阅读权限

20 

在线时间

1 小时 

6^# 发表于 2009-6-29 17:16 | 只看该作者 写得很好啊,很值得学习 回复 引用

报告 道具 TOP

qz2007

• 发短消息
• 加为好友

qz2007 当前在线

UID

556006 

帖子

12905 

精华

4 

积分

1533 

MST币

29520 点 

BST币

1533 点 

阅读权限

150 

在线时间

1399 小时 

注册时间

2007-8-5 

最后登录

2010-6-23 

认证会员

 

帖子

12905 

精华

4 

积分

1533 

MST币

29520 点 

BST币

1533 点 

阅读权限

150 

在线时间

1399 小时 

7^# 发表于 2009-6-29 23:35 | 只看该作者 谢谢~~ 代出售二手电脑，CPU奔腾4 2.8（3.0，3.2，E2140，赛扬2.93和3.33）以上的主机，有须要请联系我。。。 回复 引用

报告 道具 TOP

返回列表

• 【 网络安全技术 】
• 【 软件应用专区 】
• 【 网管软件 】
• 【 企业网管技术大杂烩 】
• 【 路由交换技术 】

『 企业网管交流区 』

• 【 网管问答专区 】
• 【 企业网管技术大杂烩 】
• 【 服务器技术 】
• 【 路由交换技术 】
• 【 数据库技术 】
• 【 网络安全技术 】
• 【 Linux/Unix 】
• 【 虚拟化技术 】
• 服务器虚拟化
• 工作站虚拟化
• 【 企业网管非技术交流 】

『54master免费网管软件专区』

• 54VLAN：互联网上的局域网
• 54EIM：上网行为管理
• 54DM：桌面终端管理
• 54NNM：网络节点管理

『 网吧网管交流区 』

• 【 网吧网管技术大杂烩 】
• 【 网吧游戏交流 】
• 【 网吧管理系统 】
• 【 网吧网管非技术交流 】

『 技术爱好者交流区 』

• 【 病毒木马专区 】
• 【 Windows操作系统 】
• 【 网络基础 】
• 【 硬件专区 】
• 【 软件应用专区 】
• 【 网站建设 】
• 【54专家会诊厅】

『 网管资源下载区 』

• 【 网管软件 】
• 软件寻求
• 【风行网络电影专区】

『 休闲娱乐区 』

• 【 健康贴图 】
• 【 体坛风暴 】
• 【 心情驿站 】
• 【 爆笑世界 】
• 〖 时尚数码 〗
• 【 超级灌水 】

『 网管信息交流区 』

• 〖 网管培训认证 〗
• 〖 主流厂商认证 〗
• 〖 软考交流 〗
• 〖 网管求职招聘 〗
• 〖 跳蚤市场 〗
• 【网管百科编辑交流】

『 论坛管理区 』

• 【 站务公告 】
• 投诉建议
• 事务处理
• 申请专区
• 每日签到
• 新人报道

• 技术圈子
• 勋章中心
• 道具中心
• 每日签到

• MST说明
• BST说明
• 帮助中心

我是网管 ( 京ICP备06030181号)|联系我们 |广告服务 |Archiver|WAP|站长统计

GMT+8, 2010-6-23 15:27, Processed in 0.059689 second(s), 9 queries, Gzip enabled.

Powered by Discuz! 7.0.0

© 2001-2009 Comsenz Inc.

.xg_dock_spacer {height:55px;clear:both;}.xg_dock {font:11px/23px "Lucida Grande", Tahoma, Verdana, sans-serif;bottom: 0;left:0;position:fixed;width:100%;z-index:998;height:48px;background:transparent url(http://bbs.54master.com/images/54master/dock.png?v=4.0.9%3A20487&xn_version=4.0.9_20487) repeat-x scroll left 26px;}.appContainer {bottom:4px;bottom: -1px\9;right:40px;position:fixed;width:600px;height:22px;z-index:999;background: transparent;overflow: hidden;}@media screen and (-webkit-min-device-pixel-ratio:0) {.appContainer { bottom:0px; }}.xg_dock a {float:right;display:block;background:transparent url(http://bbs.54master.com/images/54master/dock.png?v=4.0.9%3A20487&xn_version=4.0.9_20487) no-repeat 0 0;line-height:22px;height:22px;padding:0px 20px 4px;color:#454545;text-decoration:none;font-weight:bold;margin-top:26px;cursor:pointer;}a.xg_dock-indicator {background:transparent url(http://bbs.54master.com/images/54master/signed-out.png?v=4.0.9%3A20487&xn_version=4.0.9_20487) no-repeat scroll 0 0;text-indent:-9999px;margin-right:41px;width:22px;padding:0;}a.indicator-online {background-position:0 0;}a.indicator-offline {background-position:0 0;}* html .xg_dock {position:absolute;bottom: auto;top: expression(0 - document.getElementById('xgDock').offsetHeight + document.documentElement.clientHeight + (chatIgnore = document.documentElement.scrollTop) + 'px' );background:transparent url(http://bbs.54master.com/images/54master/dock.png?v=4.0.9%3A20487&xn_version=4.0.9_20487) repeat-x left 27px;}* html .appContainer {position:absolute;bottom:-1px;}