我昨天发帖时就说，我现在在外地出差做网络安全的实施，住的这个宾馆到处时感染ARP欺骗病毒的机器，他们狂发ARP攻击包，导致正常用户无法上网。 {&;\\}S  
uw"Hf
R  
我上次说了，可以使用诸如AntiArpSniffer3.1单机版软件，防御ARP攻击的。但我想问题总的解决呀，我们作为网管或喜欢信息安全的网友们，遇到这样的问题应当如何解决呢，下面我就谈一下自己的一些想法： XnK tfo.x  
~sxx!2  
1、对于类似宾馆或小型网络环境，一般是只有一个VLAN的，在这样的情况下，可以通过一台接入网络的主机，定期查看自己的ARP表，看看在定期删除ARP缓存后，有哪些机器的IP/MAC对应表马上又到你的机器上了。 "32TS.kN  
gv*]k
El  
举例：C:\>arp -a ioZDv
)W+  
)rqnDweH  
Interface: 192.168.1.236 --- 0x10004
'5I\jg<[  
Internet Address     Physical Address     Type ^Tm   
192.168.1.1         00-0a-eb-c1-d8-60   dynamic Kt,%B$uh  
192.168.1.22       00-e0-4c-c2-7e-50   dynamic (xvY/WO  
192.168.1.144     00-e0-4c-f0-e1-33   dynamic }/e)+Z2e  
192.168.1.233     00-e0-4c-a9-35-72   dynamic EeE5yx  
Lg0 =6C:  
这样就可以直接发现感染主机了。 ? +6F]0  
c` @M.F/  
2、对于大型的网络环境，一般是有多个VLAN的，在这样的情况下，可以通过专门的网管系统对交换机的ARP缓存的变化来查看整个网络ARP攻击情况，也可以通过AntiArpSniffer1.2网络版软件来查看攻击者的IP和真实MAC了。 0@]/ 1Zy  
4Fr7Hcw1  
注：对于某些ARP攻击是采取骗取网关的合法MAC或使用其他随意伪造的MAC进行攻击的手段，只能靠管理员手动的进行认真细致的排除了。 B3m'_t{S^P  
21JQ&  
谢谢大家，一点经验和感悟的共享。欢迎跟大家随时交流！！


[ 此贴被sdlin118在2006-09-24 13:47重新编辑 ]

8错8错，是个好办法！！！

晕，这样要是能解决，大家就不用头疼了。你这是碰到最最简单的ARP病毒的解决办法。

我认为ARP欺骗类病毒的传播方式也无非就是这些，楼主如有高见，本人愿闻其详！！ tT?a`I
L~  
o7n(Z<M  
其实不管通过任何技术手段发现感染ARP病毒的主机，都是为了更好的查杀，防止其在网络内再继续大量传播，仅此而已！！

我要收藏~~~~

v
8Dr6.
ND  
谢谢支持！！有关于Symantec产品和技术方面的问题请随时发帖，我一定会尽力尽快回复的！！ yr OW 2x  
c YzN4]C  
同时也可以访问我在赛迪的博客（http://jiaohl.blog.ccidnet.com），那里有我在赛迪技术社区Symantec专区所发的重要帖子，而且是无需积分就能下载附件和图片的喔！！

谢谢楼主~ M>%v ?>W  
}{tUYwFf  
是个不错的方法

谢谢支持。欢迎多多关注赛迪技术社区Symantec专区的动态喔…………

及时雨啊，谢谢顶楼的分享

多谢分享！感谢！