ARP劫持攻击

今天下午，莫名其妙的产生。

部分客户的网站产生乱码，但本机访问或是好好的。

外网访问，乱码的原文件是一个<IFRAME>网页。

听说，有时ARP攻击是导致网络中断或时断时续。

安全狗和360都会有提示的。

学到的经验有两个：

一，及时防止的办法是将ARP的网关MAC地址由动态更新改为静态绑定。

二，要学会如何通过IP或MAC地址寻找攻击根源。

http://lnfs.1972.blog.163.com/blog/static/3794014920080169300377/

~~~~~~~~~~~~~

一、找出病毒的根源 , q- B: r0 N8 c1 x- a: `/ t& L4 j
$ E3 P5 Y" _! B+ `8 b
首先打开局域网内所有电脑，随后下载了一款名为“Anti Arp Sniffer”的工具，这是一款ARP防火墙软件，该软件通过在系统内核层拦截虚假ARP数据包来获取中毒电脑的IP地址和MAC地址。此外，该软件能有效拦截ARP病毒的攻击，保障该电脑数据流向正确。 8 q' T7 }7 q9 b

' K7 c+ V2 _0 B使用“Anti Arp Sniffer”查找感染毒电脑时，启动该程序，随后在右侧的“网关地址”项中输入该局域网内的网关IP，随后单击“枚取MAC”这是该出现会自动获取到网关电脑网卡的MAC地址。MAC获取后单击“自动保护”按钮，这样“Anti Arp Sniffer”便开始监视通过该网关上网的所有电脑了。
: K" n( N3 b; c& i# U- g, o! X片刻功夫，看到系统的任务栏中的“Anti Arp Sniffer”图标上弹出一个“ARP欺骗数据包”提示信息。这就说明该软件已经侦测到ARP病毒。于是打开“Anti Arp Sniffer”程序的主窗口，在程序的“欺骗数据详细记录”列表中看到一条信息，这就是“Anti Arp Sniffer”程序捕获的ARP病毒信息。
/ @5 e: ?% q- v3 F4 V其中“网关IP地址”和“网关MAC地址”两项中是网关电脑的的真实地址，后面的欺骗机MAC地址就是中ARP病毒的MAC地址。ARP病毒将该局域网的网关指向了这个IP地址，导致其他电脑无法上网。
# A9 F- n( ^& Q$ C7 U9 C
+ W; q- X. R1 w二、获取欺骗机IP 3 z+ U6 t7 c# C* R" q2 u

- Q! U, d* Z, X0 ~9 a“Anti Arp Sniffer”虽然能拦截ARP病毒，但是不能有效的根除病毒。要想清除病毒,决定还要找到感染ARP病毒的电脑才行。通过“Anti Arp Sniffer”程序已经获取了欺骗机的MAC，这样只要找到该MAC对应的IP地址即可。 / F- Z3 X- m% A7 h! [, o  {! T( N

* c* f8 z) z/ F! H' F0 @获取IP地址，请来了网管工具“网络执法官”，运行该出现后，在“指定监控范围”中输入单位局域网IP地址段，随后单击“添加/修改”按钮，这样刚刚添加的IP地址段将被添加到下面的IP列表中。如果局域网内有多段IP，还可以进行多次添加。添加后，单击“确定”按钮，进入到程序主界面。“网络执法官”开始对局域网内的所有电脑进行扫描，随后显示出所有在线电脑信息，其中包括网卡MAC地址、内网IP地址、用户名、上线时间以及下线时间等。在这样我就可以非常方便地通过MAC查找对应的IP地址了。 ! n7 D4 p6 c  l" ~# W- W

2 w1 K2 W2 g; Y' a: b三、清除ARP病毒 6 W& ~% T" V4 K6 B0 v
' e( e! A3 V- c
顺藤摸瓜，通过IP地址有找到了感染病毒的电脑，第一反应就是将这台电脑断网，随后在该电脑上运行“ARP病毒专杀”包中的“TSC.EXE”程序，该程序运行后，自动扫描电脑中的ARP病毒，功夫不大就将该电脑上的ARP病毒清除了。