Posted on 2007-10-28 15:37
David.Ko 閱讀(301)
評論(0) 編輯 收藏 所屬分類:
安全
今天太點唄了。早晨9點起來,剛打開電腦,就聽見瑞星防火墻發出警報,提示說有ARP欺騙包訪問,被防火墻拒絕。
暈,今天怎么了?什么ARP?不太了解阿!算了,有問題就要解決,特別是這樣的問題啊。。
我們寢室里三臺電腦,用路由器上網。為什么它們的沒有什么反應呢?難道它們已經中了?我查看路由器MAC地址,比對它們電腦里的ARP緩存表,一看。。呵呵 ,全中了。。
還好我的防火墻有ARP防護功能。要不。。。
下一步,查根源。根據瑞星提示,路由的MAC地址被篡改為其他的(實際上不會被改,也不可能被改!),由于ARP攻擊是內網攻擊,所以我先從寢室的三臺電腦查,我把它們的IP及MAC地址,均添加到ARP靜態列表里,把路由的也加過去,忽然發現,呵呵,路由的IP和寢室一哥們的電腦的MAC邦定了。呵呵,肯定是他中了。病毒把路由的IP和他的MAC邦定后,不停的響應我們發出去的數據包,還好不怎么厲害,沒有造成網絡中斷,至于被中馬的那哥們,一問是昨晚剛裝完系統還沒有裝防火墻,暈。。
好了,一次突然的ARP防御,讓我對ARP有了更深刻的了解。
說幾點注意事項:
1。電腦要裝上有ARP防御功能的防火墻,現在挺多的。。
2。我寢室就三臺電腦,比較好查,如果多就麻煩了,所以建議把內網劃分虛擬網絡,那樣一方面比較好找目標;另一方面,別的虛擬網段的用戶中馬后,不會干擾你這個網段的。