零距离查杀Downloader恶劣木马

第四步：再次来到出问题计算机的命令提示窗口，通过arp -a命令来查看本机ARP缓存信息表，从图中我们可以看出本机网关对应的IP为10.82.5.254，相应的MAC信息是50-78-4c-68-8e-34。当然这个应该是错误的，否则本机也不会出现网络访问故障。(如图7)

　　图7

第五步：之后笔者又换了另外一个类sniffer工具——大名鼎鼎的wireshark，他是ethreal的后续版本。通过该软件扫描当前网络中出现的所有数据流量，当然监控最好选择交换机对应的镜像端口，如果没有条件用普通计算机的普通端口也行。通过该软件我们可以清晰的看到网络中数据包流量的异常，总是有一个MAC地址是50-78-4c-68-8e-34的计算机在向网络发送无数数据包，告诉每台在线的机器10.82.5.254对应的MAC地址是50-78-4c-68-8e-34。(如图8)

　　图8

第六步：看来ARP欺骗还是非常严重的，所以笔者使用arp -s来绑定MAC地址和IP地址的对应关系，由于网络中还有好的计算机，所以笔者可以知道10.82.5.254对应的正确MAC地址是00-0b-46-53-d0-80。因此执行arp -s 10.82.5.254 00-0b-46-53-d0-80命令进行绑定，执行arp -a查看ARP缓存表也可以看到这种对应不再变化成错误的，问题解决。(如图9)

　　图9

第七步：不过由于带毒机器还会向网络发送多个数据包，影响其他计算机上网，所以还需要将其彻底根除。登录到连接这个网段的交换机上执行MAC地址查看命令，sh mac address。发现这个捣乱的50-78-4c-68-8e-34计算机实际是连接在Fa0/45接口上。(如图10)

　　图10

第八步：将该接口shutdown关闭或者执行MAC过滤访问控制列表ACL后问题解决，执行arp -a不会再发现错误MAC地址的身影。(如图11)

　　图11

四，总结：

ARP欺骗病毒可以说是目前网络特别是企业内部网络最让网络管理员头疼的问题之一了，本文从分析到解决比较全面的介绍了查杀ARP欺骗病毒的全过程，希望可以帮助各位IT168的读者轻松面对同类病毒，让企业网络更加安全顺畅的运行。