·	没有路由密码权限时的鸽	08-23	·	上网安全 Vista自我防范	10-11
·	让濒临崩溃的Windows XP	10-11	·	有备无患，快速自制救急	10-11
·	要你好看!Windows看图工	10-11	·	空间赞助网提供不同类型	10-11
·	讨论net.exe和net1.exe的	10-10	·	让3389远程桌面传输更通	10-10
·	巧妙入侵渗透赌博站	10-10	·	Aspx空间扫权限工具	10-10
·	Windows2003最新提权工具	10-10	·	易淘乐提供100M免费全能	10-10
·	系统开机密码忘了不着急	10-09	·	中意网络提供免费100M免	10-09
·	与众不同 Windows XP开始	10-08	·	让桌面图标翻跟斗在XP上	10-08
·	上海宽元站长资助计划-提	10-08	·	个性化Windows XP的任务	10-07
·	趣盘提供3G免费网络硬盘	10-07	·	秀山热线提供200MB免费全	10-07
·	一次艰辛的提权过程	10-06	·	成功入侵IT大卖场的渗透	10-06
·	mysqlhack- MYSQL利用工	10-06	·	lanker一句话PHP后门客户	10-06
·	WIXI提供3G免费多媒体网	10-06	·	新人网络提供100M/ftp免	10-06
·	如何利用QQ带来高流量	10-05	·	UuShare提供免费网络文件	10-05

[推荐]ARP病毒入侵原理和解决方案

热荐 ★★★

ARP病毒入侵原理和解决方案

文章整理发布：黑客风云文章来源：www.05112.com 更新时间：2006-9-30 9:15:21

　　【在局域网内查找病毒主机】　

　　在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址，那么我们就可以使用NBTSCAN(下载地址:http://www.utt.com.cn/upload/nbtscan.rar)工具来快速查找它。　

　　NBTSCAN可以取到PC的真实IP地址和MAC地址，如果有”传奇木马”在做怪，可以找到装有木马的PC的IP/和MAC地址。　

　　命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即　

　　192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段，即192.168.16.25-192.168.16.137。输出结果第一列是IP地址，最后一列是MAC地址。　

　　NBTSCAN的使用范例:　

　　假设查找一台MAC地址为“000d870d585f”的病毒主机。　

　　1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。　

　　2)在Windows开始—运行—打开，输入cmd(windows98输入“command”)，在出现的DOS窗口中输入:C:

　　btscan -r 192.168.16.1/24(这里需要根据用户实际网段输入)，回车。　　　

　　C:Documents and SettingsALAN>C:

　　btscan -r 192.168.16.1/24　

　　Warning: -r option not supported under Windows. Running without it.　　　

　　Doing NBT name scan for addresses from 192.168.16.1/24　　　

　　IP address NetBIOS Name Server User MAC address　

　　------------------------------------------------------------------------------　

　　192.168.16.0 Sendto failed: Cannot assign requested address　

　　192.168.16.50 SERVER 00-e0-4c-4d-96-c6　

　　192.168.16.111 LLF ADMINISTRATOR 00-22-55-66-77-88　

　　192.168.16.121 UTT-HIPER 00-0d-87-26-7d-78　

　　192.168.16.175 JC 00-07-95-e0-7c-d7　

　　192.168.16.223 test123 test123 00-0d-87-0d-58-5f　　　

　　3)通过查询IP--MAC对应表，查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。　

　　【解决思路】　

　　1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上，(rarp同样存在欺骗的问题)，理想的关系应该建立在IP+MAC基础上。　

　　2、设置静态的MAC-->IP对应表，不要让主机刷新你设定好的转换表。　

　　3、除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。　

　　4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。　

　　5、使用""proxy""代理IP的传输。　

　　6、使用硬件屏蔽主机。设置好你的路由，确保IP地址能到达合法的路径。(静态配置路由ARP条目)，注意，使用交换集线器和网桥无法阻止ARP欺骗。　

　　7、管理员定期用响应的IP包中获得一个rarp请求，然后检查ARP响应的真实性。　

　　8、管理员定期轮询，检查主机上的ARP缓存。　

　　9、使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丢失。　

　　【HiPER用户的解决方案】　

　　建议用户采用双向绑定的方法解决并且防止ARP欺骗。　

　　1、在PC上绑定路由器的IP和MAC地址:　

　　1)首先，获得路由器的内网的MAC地址(例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa局域网端口MAC地址>)。　

　　2)编写一个批处理文件rarp.bat内容如下:　

　　@echo off　

　　arp -d　

　　arp -s 192.168.16.254 00-22-aa-00-22-aa　

　　将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。　

　　将这个批处理软件拖到“windows--开始--程序--启动”中。

上一页 [1] [2]

文章录入：sygbox 责任编辑：sygbox

上一篇文章：插入式免杀后门,将后门放到对方主页里

下一篇文章：木马Dropper清除方案

【字体：小大】

中介交易区

后门程序知识完全解析	01-14
2007年度网马漏洞不完全总结	01-09
简单修改木马壳头让卡巴斯基哑口	09-22
ASPX一句话木马--终极版&详细分析	08-11
认识使用 Rootkit技术的木马	06-12
分析ANI智能网马挂马	06-08
Flash木马是这样练成的	05-18
XML木马研究	05-18
脚本图片类后门病毒的完美使用方	05-16
两个批量挂马脚本	05-11
黑客技术之打造不死的ASP木马的方	04-20
php后门插在图片里执行回显思路	04-06