最近局域网内arp病毒肆虐,只要一打开抓包工具,满屏都是arp包。就想查一下,看看哪些电脑中毒了。
试了一下金山防火墙,发现这个东东和很多它的同类产品一样,只能在有网关的网络内有效,而对于我们这样不用网关的网络,就算网内arp流量大上天去,它也无动于衷,根本无法用于我们的中毒机器排查。
在网上找了一下,发现国外一个共享软件XArp比较有用,它是一个专业的Arp攻击检测软件,可以不同的策略对局域网内的Arp流量进行检测分析,并标记出可疑计算机Mac和IP等信息。
它有两个工作显示视图,一个普通视图可以显示局域网内所有计算机ARP相关流量,计算机MAC,IP,主机名等信息,当IP地址对应的MAC地址发生变化时,会做出标记和提示,如果你提高安全等级的设置,还可以看到子网过滤的告警信息提示(由于我们的内网是无网关+固定ip的形式,凡是在子网内发这种不存在的子网广播包的计算机,都应是病毒计算机)。
另一个高级视图,可以显示本机网络信息,检测到的arp告警等。
在高级视图点击"copy to clipboard"按钮,可以将下面的告警信息拷贝到text,excel等文件便于处理,比如拷贝到excel文件之后,删除掉无关的行和列,再另存为csv文件,以数据库文件的方式在access中打开这个csv文件,转换成数据表,再利用sql语句查询一下,可以轻易得到可疑计算机的mac地址,或者mac地址使用过的ip地址列表:
有了这些信息以后,你就可以有根有据,有商有量地和各个机主交涉了:)
另外,最近发现,我的抓包工具wireshark(就是以前的ethreal,.......什么?没听过,当我没说...)在抓住本机发出的包时,总是两个两个一起的重复显示(接收方那边并没有什么问题),就连arp包也是如此,最初以为中毒或系统问题,后来wireshark论坛发现也有人有这个现象,开发组说可能是系统或网卡镜像等原因造成,不过以前没有这个问题啊,所以肯定还是有什么原因导致,暂时这个问题还没有解决,如果有达人知道原因,请不吝赐教。
