科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道零距离查杀Downloader恶劣木马

零距离查杀Downloader恶劣木马

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在企业网络维护过程中,病毒是最让网络管理员头疼的敌人,特别是在现今病毒更趋向于网络化发展的情况下,查杀网络病毒的任务将变得更加艰巨。

2007年9月24日

关键字:

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共2页)

第四步:再次来到出问题计算机的命令提示窗口,通过arp -a命令来查看本机ARP缓存信息表,从图中我们可以看出本机网关对应的IP为10.82.5.254,相应的MAC信息是50-78-4c-68-8e-34。当然这个应该是错误的,否则本机也不会出现网络访问故障。(如图7)

  

  

  图7

第五步:之后笔者又换了另外一个类sniffer工具——大名鼎鼎的wireshark,他是ethreal的后续版本。通过该软件扫描当前网络中出现的所有数据流量,当然监控最好选择交换机对应的镜像端口,如果没有条件用普通计算机的普通端口也行。通过该软件我们可以清晰的看到网络中数据包流量的异常,总是有一个MAC地址是50-78-4c-68-8e-34的计算机在向网络发送无数数据包,告诉每台在线的机器10.82.5.254对应的MAC地址是50-78-4c-68-8e-34。(如图8)

  

  

  图8

第六步:看来ARP欺骗还是非常严重的,所以笔者使用arp -s来绑定MAC地址和IP地址的对应关系,由于网络中还有好的计算机,所以笔者可以知道10.82.5.254对应的正确MAC地址是00-0b-46-53-d0-80。因此执行arp -s 10.82.5.254 00-0b-46-53-d0-80命令进行绑定,执行arp -a查看ARP缓存表也可以看到这种对应不再变化成错误的,问题解决。(如图9)

  

  

  图9

第七步:不过由于带毒机器还会向网络发送多个数据包,影响其他计算机上网,所以还需要将其彻底根除。登录到连接这个网段的交换机上执行MAC地址查看命令,sh mac address。发现这个捣乱的50-78-4c-68-8e-34计算机实际是连接在Fa0/45接口上。(如图10)

  

  

  图10

第八步:将该接口shutdown关闭或者执行MAC过滤访问控制列表ACL后问题解决,执行arp -a不会再发现错误MAC地址的身影。(如图11)

  

  

  图11

四,总结:

ARP欺骗病毒可以说是目前网络特别是企业内部网络最让网络管理员头疼的问题之一了,本文从分析到解决比较全面的介绍了查杀ARP欺骗病毒的全过程,希望可以帮助各位IT168的读者轻松面对同类病毒,让企业网络更加安全顺畅的运行。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章