檢查和處理“arp欺騙”木馬的方法_第1頁
檢查和處理“arp欺騙”木馬的方法_第2頁
檢查和處理“arp欺騙”木馬的方法_第3頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、檢查和處理“ arp欺騙”木馬的方法檢查和處理“ arp欺騙”木馬的方法 發(fā)表于2011年10月11日市tnt 如果你發(fā)現(xiàn)經(jīng)常網(wǎng)絡(luò)掉線,或者發(fā)現(xiàn)自己的網(wǎng)站所有頁面都被掛馬, 但到服務(wù)器上,查看頁面源代碼,卻找不到掛馬代碼,就要考慮到是 否自己機(jī)器或者同一 ip段中其他機(jī)器是否中了 arp病毒。除了裝arp 防火墻以外,還可以通過綁定網(wǎng)關(guān)的ip和mac來預(yù)防一下。這個(gè)方 法在局域網(wǎng)中比較適用:你所在的局域網(wǎng)里面有一臺(tái)機(jī)器中了 arp病毒,它偽裝成網(wǎng)關(guān), 你上網(wǎng)就會(huì)通過那臺(tái)中毒的機(jī)器,然后它過一會(huì)兒掉一次線來騙取別 的機(jī)器的帳戸密碼什么的東西。下面是手動(dòng)處理方法的簡要說明:如何檢查和處理“ arp

2、欺騙”木馬的方法1. 檢查本機(jī)的“ arp欺騙”木馬染毒進(jìn)程同時(shí)按住鍵盤上的“ ctrl ”和“ alt ”鍵再按“ del ”鍵, 選擇“任務(wù)管理器”,點(diǎn)選“進(jìn)程”標(biāo)簽。察看其中是否有一個(gè)名為 "miro, dat ”的進(jìn)程。如果有,則說明已經(jīng)中毒。右鍵點(diǎn)擊此進(jìn)程 后選擇“結(jié)束進(jìn)程”。2. 檢查網(wǎng)內(nèi)感染“ arp欺騙”木馬染毒的計(jì)算機(jī)在“開始” -“程序”-“附件”菜單下調(diào)出“命令提示符” o輸入并執(zhí)行以下命令:ipconfig記錄網(wǎng)關(guān)ip地址,即“ default gateway ”對(duì)應(yīng)的值,例如 “ 59.66.36.1 " o再輸入并執(zhí)行以下命令:arp 一 a在“

3、internet address ”下找到上步記錄的網(wǎng)關(guān)ip地址,記 錄其對(duì)應(yīng)的物理地址,即“ physical address ”值,例如“ 00-01-e8-if-35-54 ”。在網(wǎng)絡(luò)正常時(shí)這就是網(wǎng)關(guān)的正確物理地 址,在網(wǎng)絡(luò)受“ arp欺騙”木馬影響而不止常時(shí),它就是木馬所在 計(jì)算機(jī)的網(wǎng)卡物理地址。也可以掃描本子網(wǎng)內(nèi)的全部ip地址,然后再查arp表。如果 有一個(gè)ip對(duì)應(yīng)的物理地址與網(wǎng)關(guān)的相同,那么這個(gè)ip地址和物理 地址就是中毒計(jì)算機(jī)的ip地址和網(wǎng)卡物理地址。3. 設(shè)置arp表避免“ arp欺騙”木馬影響的方法本方法可在一定程度上減輕中木馬的其它計(jì)算機(jī)對(duì)本機(jī)的影響。 用上邊介紹的方法確定

4、正確的網(wǎng)關(guān)ip地址和網(wǎng)關(guān)物理地址,然后在“命令提示符”窗口中輸入并執(zhí)行以下命令:arp -s網(wǎng)關(guān)ip網(wǎng)關(guān)物理地址4. 靜態(tài)arp綁定網(wǎng)關(guān)步驟一:在能正常上網(wǎng)時(shí),進(jìn)入ms-dos窗口,輸入命令:arp -a,查看 網(wǎng)關(guān)的ip對(duì)應(yīng)的正確mac地址,并將其記錄下來。注意:如果已經(jīng)不能上網(wǎng),則先運(yùn)行一次命令arp d將arp緩 存中的內(nèi)容刪空,計(jì)算機(jī)可暫吋恢復(fù)上網(wǎng)(攻擊如果不停止的話)。 一旦能上網(wǎng)就立即將網(wǎng)絡(luò)斷掉(禁用網(wǎng)卡或拔掉網(wǎng)線),再運(yùn)行arp ho步驟二如果計(jì)算機(jī)已經(jīng)有網(wǎng)關(guān)的止確mac地址,在不能上網(wǎng)只需手工將 網(wǎng)關(guān)ip和正確的mac地址綁定,即可確保計(jì)算機(jī)不再被欺騙攻擊。要想手工綁定,可在m

5、s-dos窗口下運(yùn)行以下命令:arp -s網(wǎng)關(guān)ip網(wǎng)關(guān)mac例如:假設(shè)計(jì)算機(jī)所處網(wǎng)段的網(wǎng)關(guān)為192. 168. 1. 1,本機(jī)地址為192. 168. 1. 5,在計(jì)算機(jī)上運(yùn)行arp a后輸出如下:cocuments and settings>arp -ainterface: 192. 168. 1. 5 一 0x2internet address physical address type192.168. 1. 1 00-01-02-03-04-05 dynamic其中,00-01-02-03-04-05 就是網(wǎng)關(guān) 192. 168. 1. 1 對(duì)應(yīng)的 mac 地 址,類型是動(dòng)態(tài)(dy

6、namic)的,因此是可被改變的。被攻擊后,再用該命令查看,就會(huì)發(fā)現(xiàn)該mac已經(jīng)被替換成攻擊 機(jī)器的mac。如果希望能找出攻擊機(jī)器,徹底根除攻擊,可以在此吋 將該mac記錄下來,為以后查找該攻擊的機(jī)器做準(zhǔn)備。手工綁定的命令為:arp -s 192. 168. 1. 1 00-01-02-03-04-05綁定完,可再用arp a查看arp緩存:cocuments and settings>arp -ainterface: 192. 16& 1. 5 一 0x2internet address physical address type192.168. 1.1 00-01-02-03-04-05 static這吋,類型變?yōu)殪o態(tài)(static),就不會(huì)再受攻擊影響了。但是,需要說明的是,手工綁定在計(jì)算機(jī)關(guān)機(jī)重啟后就會(huì)失效, 需要再次重新綁定,不過也可以寫個(gè)批處理,拖到啟動(dòng)中。腳木如下:echo off

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論