Posted on 2007-10-28 15:37
David.Ko 閱讀(302)
評論(0) 編輯 收藏 所屬分類:
安全
今天太點唄了。早晨9點起來,剛打開電腦,就聽見瑞星防火墻發(fā)出警報,提示說有ARP欺騙包訪問,被防火墻拒絕。
暈,今天怎么了?什么ARP?不太了解阿!算了,有問題就要解決,特別是這樣的問題啊。。
我們寢室里三臺電腦,用路由器上網(wǎng)。為什么它們的沒有什么反應(yīng)呢?難道它們已經(jīng)中了?我查看路由器MAC地址,比對它們電腦里的ARP緩存表,一看。。呵呵 ,全中了。。
還好我的防火墻有ARP防護(hù)功能。要不。。。
下一步,查根源。根據(jù)瑞星提示,路由的MAC地址被篡改為其他的(實際上不會被改,也不可能被改!),由于ARP攻擊是內(nèi)網(wǎng)攻擊,所以我先從寢室的三臺電腦查,我把它們的IP及MAC地址,均添加到ARP靜態(tài)列表里,把路由的也加過去,忽然發(fā)現(xiàn),呵呵,路由的IP和寢室一哥們的電腦的MAC邦定了。呵呵,肯定是他中了。病毒把路由的IP和他的MAC邦定后,不停的響應(yīng)我們發(fā)出去的數(shù)據(jù)包,還好不怎么厲害,沒有造成網(wǎng)絡(luò)中斷,至于被中馬的那哥們,一問是昨晚剛裝完系統(tǒng)還沒有裝防火墻,暈。。
好了,一次突然的ARP防御,讓我對ARP有了更深刻的了解。
說幾點注意事項:
1。電腦要裝上有ARP防御功能的防火墻,現(xiàn)在挺多的。。
2。我寢室就三臺電腦,比較好查,如果多就麻煩了,所以建議把內(nèi)網(wǎng)劃分虛擬網(wǎng)絡(luò),那樣一方面比較好找目標(biāo);另一方面,別的虛擬網(wǎng)段的用戶中馬后,不會干擾你這個網(wǎng)段的。