2023年12月1日发(作者:)

如何测试局域网中某台电脑中毒导致网速变慢

一、首先诊断是否为ARP病毒攻击

1当发现上网明显变慢,或者突然掉线时,我们可以用arp-命令来检查ARP表:

(点击“开始”按钮 - 选择“运行” - 输入“cmd” 点击"确定"按钮,在窗口

中输入“arp -a”命令)如果发现网关的MAC地址发生了改变,或者发现有很多

IP指向同一个物理地址,那么肯定就是ARP欺骗所致。

2、利用Anti ARP Sniffer软件查看(详细使用略)。

二、找出ARP病毒主机

1、用“arp –d”命令,只能临时解决上网问题,要从根本上解决问题,就得找

到病毒主机。通过上面的arp a命令,可以判定改变了的网关MAC地址或多个

IP指向的物理地址,就是病毒机的MAC地址。哪么对应这个MAC地址的主机又

是哪一台呢,windows中有ipconfig/all命令查看每台的信息,但如果电脑数

目多话,一台台查下去不是办法,因此可以下载一个叫“NBTSCAN”的软件,它

可以取到PC的真实IP地址和MAC地址。

命令:“nbtscan -r 192.168.80.0/24”(搜索整个192.168.80.0/24网段,

192.168.80.1-192.168.80.254);或“nbtscan 192.168.80.25-137”搜索

192.168.80.25-137 网段,即192.168.80.25-192.168.80.137。输出结果第一

列是IP地址,最后一列是MAC地址。这样就可找到病毒主机的IP地址。

2如果手头一下没这个软件怎么办呢?这时也可在客户机运行路由跟踪命令如:

tracert d ,马上就发现第一条不是网关机的内网ip,而是本网

段内的另外一台机器的IP,再下一跳才是网关的内网IP;正常情况是路由跟踪

执行后的输出第一条应该是默认网关地址,由此判定第一跳的那个非网关IP

址的主机就是罪魁祸首。

当然找到了IP之后,接下来是要找到这个IP具体所对应的机子了,如果你每台

电脑编了号,并使用固定IPIP的设置也有规律的话,那么就很快找到了。但

如果不是上面这种情况,IP设置又无规律,或者IP是动态获取的那该怎么办呢?

难道还是要一个个去查?非也!你可以这样:把一台机器的IP地址设置成与作

祟机相同的相同,然后造成IP地址冲突,使中毒主机报警然后找到这个主机。

三、处理病毒主机

1、用杀毒软件查毒,杀毒。

2、建议重装系统,一了百了。(当然你应注意除系统盘外其他盘有无病毒)

四、如何防范ARP病毒攻击

1、从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP

表的欺骗;另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获

网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进

行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只

能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理

是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,

而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线

了”。因此很多人建议用户采用双向绑定的方法解决并且防止ARP欺骗,这个确

实是最好解决的办法,但如果电脑数量多的情况下,在路由器上作绑定工作量将

很大,我个人认为主要做好在PC上绑定路由器的IPMAC地址就行了,在PC

上绑定可以按下面方法做:

1)首先,获得路由器的内网的MAC地址(例如网关地址172.16.1.254MAC

地址为0022aa0022ee)。

2)编写一个批处理文件内容如下:

@echo off

arp -d

arp -s 172.16.1.254 00-22-aa-00-22-ee

将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。

将这个批处理软件拖到“windows--开始--程序--启动”中。

这样即减轻了一台台设置的麻烦,也避免了由于电脑重新启动使得数据又要重做

的麻烦。当然最好电脑要有还原卡和保护系统,使得这个批处理不会被随意删除

掉。

2、作为网络管理员,我认为应该充分利用一些工具软件,备一些常用的工具,

ARP而言,推荐在手头准备这样几个软件:

①“Anti ARP Sniffer”(使用Anti ARP Sniffer可以防止利用ARP技术进行

数据包截取以及防止利用ARP技术发送地址冲突数据包,并能查找攻击主机的

IPMAC地址)。

②“NBTSCAN”(NBTSCAN可以取到PC的真实IP地址和MAC地址,利用它可以

知道局域网内每台IP对应的MAC地址)

③“网络执法官” (一款局域网管理辅助软件,采用网络底层协议,能穿透各

客户端防火墙对网络中的每一台主机、交换机等配有IP的网络设备进行监控;

采用网卡号(MAC)识别用户,主要功能是依据管理员为各主机限定的权限,实

时监控整个局域网,并自动对非法用户进行管理,可将非法用户与网络中某些主

机或整个网络隔离,而且无论局域网中的主机运行何种防火墙,都不能逃避监控,

也不会引发防火墙警告,提高了网络安全性)

3、定时检查局域网病毒,对机器进行病毒扫描,平时给系统安装好补丁程序,

最好是局域网内每台电脑保证有杀毒软件(可升级)

4、指导好网络内使用者不要随便点击打开QQMSN等聊天工具上发来的链接信

息,不要随便打开或运行陌生、可疑文件和程序,如邮件中的陌生附件,外挂程

序等。

5建议对局域网的每一台电脑尽量作用固定IP路由器不启用DHCP对给网内

的每一台电脑编一个号,每一个号对应一个唯一的IP,这样有利用以后故障的

查询也方便管理。并利用“NBTSCAN”软件查出每一IP对应的MAC地址,建立一

个“电脑编号-IP地址-MAC地址”一一对应的数据库。

独家特稿】编者导语:很多企业网管人员都痛恨ARP攻击,原因是他们

需要经常奔波在解决问题于排查问题之间,很多时候都无可奈何。本文介绍了一款第三方

ARP防御软件:Anti ARP Sniffer的详细使用方法,希望本文对各位网络管理人员和51CTO

广大网友有所帮助。

最近经常接到用户电话抱怨,上网时断时续,反映有时系统还会提示连接受限、根本就

无法获得IP网关交换机无法ping通,而指示灯状态正常。重启交换机后客户机可以上网,

但很快又涛声依旧!严重影响了企业网络正常使用,还有可能造成经济损失。

根据用户描述的情形和我们多次处理的经验,可以肯定是ARP攻击ARP欺骗)所致。

知道了问题所在,但如何解决呢?

虽然可以采用在交换机绑定MAC地址和端口、在客户机绑定网关IPMAC地址的

办法预防,但由于网管的工作量太大,且不能保证所有的用户都在自己的电脑上绑定网

IPMAC地址,所以我们采取以下措施来预防和查找ARP攻击。

这里推荐用户在自己的电脑上安装第三方工具软件:ColorSoft开发的ARP防火墙(原

Anti ARP Sniffer)。该软件最大的特点是在系统内核层拦截虚假ARP数据包,并且主动

通告网关本机正确的MAC地址,这样可以保障安装该软件的电脑正常上网,并且拦截外部

对本机的ARP攻击。

如果发现内部ARP攻击,直接处理本机就行了;如果发现外部ARP攻击,则根据实际

情况通过攻击者的IP地址和/MAC地址查找该攻击者电脑。下面就以实例介绍一下该软

件的详细使用方法:

1、在同一网段的电脑上下载ARP防火墙、安装、运行。第一天,一切正常,没发现

攻击行为。第二天,开机不到半小时就发现了ARP攻击,如图1

1 ARP防火墙发现外部ARP攻击

2、为了不冤枉好人,进一步确认攻击者的MAC地址。进入核心交换机,查看该网段的

MAC地址表。我们的核心交换机是华为的,键入命令“Display arp vlan xx”xx为所要查找

ARP攻击网段的VLAN号),回车。显示如图2所示结果。

2 核心交换机上显示的MAC地址表

为了方便查看,我们将该数据拷贝到Word中并按MAC地址排序。在Word中,选中

该数据,从表格菜单中选择排序菜单项,弹出排序文字窗口,主要关键字 3”

MAC地址,如图3

3 排序MAC地址表

排序后很容易就可以看到有四个IP地址对应于同一个MAC地址(如表1我们知道

MAC地址是全球唯一的,这与ARP防火墙检测到的结果相吻合,现在MAC地址

0011-5b2d-5c03所对应的电脑肯定有问题了。这些IP中应该只有xxx. xxx. xx.92是真实的,

其余的都是伪造的。由于我们的电脑一直在监测,该攻击者电脑刚对外攻击,就被检测到了,

所以它伪造的IP地址还不多,我曾经发现过伪造了近10IP地址的情形,而该网段总共

有二十多台电脑。

1 伪造的IP地址

xxx. xxx. xx.178 0011-5b9d-7246

xxx. xxx. xx.188 0011-5b9d-7246

xxx. xxx. xx.197 0011-5b9d-7246

xxx. xxx. xx.92 0011-5b9d-7246

3、查找ARP攻击者

如果是静态IP找出IP地址登记表,很容易就可找到发送ARP攻击的电脑。由于我们用的

是动态IP,又没有每台电脑的MAC地址,所以虽然知道了攻击者的IP地址和MAC地址,

但是万里长征还只迈出了第一步。

我们的DHCP服务器是基于Microsoft Windows 2003的,打开DHCP管理器,从地址

租约里查看IP地址xxx. xxx. xx.92对应的计算机名,是随机的,没什么意义。

登录到有所要查找网段VLAN的各接入层交换机上,逐一查看该交换机上的MAC

址表。我们用的是安奈特的交换机,在Web界面下按VLAN查询MAC地址表,看是否有

MAC地址为0011-5b9d-7246的记录。一直查到第15台交换机,才终于找到罪魁祸首,结

果如图4可以看出该MAC地址对应于交换机的第16口。别的厂家的可网管交换机也都有

查看MAC地址的功能。

4 接入层交换机上的MAC地址表

4、剩下工作的就简单了,先将该交换机的第16Disable,然后查找用户上网登记信

息,通知该用户处理自己的电脑。

最后,推荐几点防范ARP攻击的措施:

1、在交换机上划分VLAN,这样即使网络中存在ARP攻击,也仅影响该VLAN的用户,

缩小受影响范围和查找范围。

2要求用户安装ARP防火墙。既可防止来自外部的ARP攻击,也可防止本机向外发送ARP

攻击。一旦发现攻击及时与网管联系。

(截至本文完稿,ARP防火墙的最新版本是v4.3.1,下载地址为

/。)