如何快速判断本机是否感染了 ARP 病毒？

申祷无 2012-04-18 05:11:15

用 Wireshark 在我的电脑上查看，803秒内有6582条 ARP。基本可以确定这个局域网中的某台主机中有 ARP 病毒了吧？源IP和 MAC 好像全都是假的，只用我的电脑应该是定位不了中毒的主机。
学校的网管让全班所有人重装系统，很多人都不愿意。有没有什么方法能快速知道本机是否感染了 ARP 病毒？用 Wireshark 可以么？班级是网络专业的，Wireshark 的使用应该不是什么问题。

...全文

440 9 打赏收藏转发到动态举报

写回复

9 条回复

切换为时间正序

请发表友善的回复…

发表回复

jzxsasch 2012-05-03

打赏
举报

回复

arp肯定是伪造的，定位不了只能拔网线，经常发送arp包让其他人断网

yi451497233 2012-04-25

打赏
举报

回复

虽然看不懂，学习来了

ljti2007 2012-04-24

打赏
举报

回复

防止ARP攻击最好的方法是做双向绑定。

maochun007 2012-04-24

打赏
举报

回复

学习，收获很大啊

whiskey_l 2012-04-22

打赏
举报

回复

其实在局域网上网的话，最好把动态的改为静态，这样就比较安全。用360弄吧。简单点。

zara 2012-04-20

打赏
举报

回复

不正常吧，尤其是源 ip/mac 是一样的，即便其为伪造。只有在访问同学间的电脑时，才会有 arp 查询，访问外网是没有的；另外就是查询网关，但是，这个往往只是开始有个，后来就不需要了，因为访问过后，机子上就有缓存的，这个缓存有相当的寿命，不会形成 arp 潮的。
既然是同学，40 来台机子，是可以通过拔网线来确认是哪个或哪些机子有问题吧。要求全部重装系统是夸张了点儿。

申祷无 2012-04-19

打赏
举报

回复

看错了没有那么多，每秒最多就10个。

申祷无 2012-04-18

打赏
举报

回复

局域网内有40台左右的主机，这个 ARP 数量正常么？

申祷无 2012-04-18

打赏
举报

回复

可不可以这样：首先让一部分同学把网线拔了，然后在我的电脑上看是否还有大量的ARP，然后不断缩小范围。

近期，一种新型的“ arp 欺骗”木马病毒正在网中扩散，严重影响了网络的正常运行。感染此木马的计算机试图通过“ arp 欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。具体表现为用户频繁断网、 ie 浏览器频繁出错以及一些常用软件出现故障等问题。目前，已知传奇游戏的“传奇 2 冰橙子 1.14 ”和“及时雨 pk 破解版”两种外挂存在着这种木马。木马的手工查杀比较困难，用户可以通过检查系统进程表和 arp 表进行感染判断和处理，

1．安装抓包工具。目的就是用它分析网络数据包的内容。找一个免费的或者试用版的抓包工具并不难。我使用了一种叫做SpyNet3.12 的抓包工具，非常小巧, 运行的速度也很快。安装完毕后我们就有了一台抓包主机。你可以通过SpyNet设置抓包的类型，比如是要捕获IP包还是ARP包，还可以根据目的地址的不同，设置更详细的过滤参数。 2．配置网络路由。你的路由器有缺省网关吗？如果有，指向了哪里？在病毒爆发的时候把缺省网关指向另外一台路由器是很危险的（除非你想搞瘫这台路由器）。在一些企业网里往往仅指出网内地址段的路由，而不加缺省路由，那么就把缺省路由指到抓包主机上吧（它不下地狱谁下地狱？当然这台主机的性能最好是高一点的，否则很容易被病毒冲击而亡）。这样可以让那些病毒主机发出的绝大部分扫描都自动送上门来。或者把网络的出口映像到抓包主机上，所有对外访问的网络包都会被分析到。 3．开始抓包。抓包主机已经设置好了，网络里的数据包也已经送过来了，那么我们看看网络里传输的到底是些什么。打开SpyNet 点击Capture 你会看到好多的数据显示出来，这些就是被捕获的数据包（如图）。图中的主体窗口里显示了抓包的情况。列出了抓到数据包的序号、时间、源目的MAC地址、源目的IP地址、协议类型、源目的端口号等内容。很容易看出IP地址为10.32.20.71的主机在极短的时间内向大量的不同主机发出了访问请求，并且目的端口都是445。 4.找出染毒主机。从抓包的情况看，主机10.32.20.71值得怀疑。首先我们看一下目的IP地址，这些地址我们网络里存在吗？很可能网络里根本就没有这些网段。其次，正常情况下访问主机有可能在这么短的时间里发起这么多的访问请求吗？在毫秒级的时间内发出几十甚至几百个连接请求，正常吗？显然这台10.32.20.71的主机肯定有问题。再了解一下Microsoft-DS协议，该协议存在拒绝服务攻击的漏洞，连接端口是445，从而进一步证实了我们的判断。这样我们就很容易地找到了染毒主机的IP地址。剩下的工作就是给该主机操作系统打补丁杀病毒了。既然抓到了病毒包，我们看一下这个数据包二进制的解码内容：这些数据包的长度都是62个字节。数据包前12个字节包括了目的MAC和源MAC的地址信息，紧跟着的2字节指出了数据包的类型，0800代表的是IP包格式，0806代表ARP包格式。接着的20个字节是封装的IP包头，包括了源、目的IP地址、IP版本号等信息。剩下的28个字节封装的是TCP包头，包括了源、目的端口，TCP链接的状态信息等。这就构成了一个62字节的包。可以看出除了这些包头数据之外，这个包没有携带其他任何的有效数据负荷，所以这是一个TCP要求445端口同步的空包，也就是病毒主机在扫描445端口。一旦染毒主机同步上没有采取防护措施的主机445端口，便会利用系统漏洞传播感染。

课程内容如下：通信协议的概念ISO、OSI七层参考模型详解TCP、IP模型详解网络接口层详解IP协议详解IP地址和MAC地址特征分析有了IP地址为什么还要使用MAC地址ARP工作过程及工作原理解析ICMP知识解析ping命令使用详解tracert命令使用详解TCP详解UDP协议详解网络通信协议(应用层)协议

一.需求分析目前学校机房无论是资源分配、环境的统一部署、安全防护，还是上机管理、财务统计和报表，耗费了大量的人力、物力、财力和时间。随着机房的不断扩大，机房管理人员少、任务重、工作量大等矛盾更为突出。机房运维和管理模式存在主要问题有：资源没有有效利用安排上机课不方便，管理工作量大软件安装复杂，机房维护量大不方便收费管理，财务漏洞多难于统计查询数据 …… 二、系统设计噢易机房BOSS系统全面的整合与机房相关的各项工作流程，是一套支撑机房业务运行的最完善解决方案。 1.系统网络结构图 http://www.os-easy.com/Files/2009051411153451306.jpg 2.管理架构系统对各种管理使用需要进行了细致分类的拆分与定义，这些严格定义的基本管理职能元素是可以自由组合的，用户完全可以面向各种使用需要灵活配置。 http://www.os-easy.com/Files/2009051411122977652.jpg 3.系统拓展整个系统易于安装、易于维护、易于扩充，并且本系统直接设置了多种校园一卡通接口，易于随意拓展到食堂就餐、图书借阅、洗浴等。三、系统功能介绍噢易机房BOSS系统功能全面满足机房各种需求，下面就来让我们看看它们是如何为您解决问题的：资源分配系统 · 机房课程编排保证上课用机，方便管理噢易机房BOSS系统提供了完备的课表编辑功能，通过课表编辑，可以合理配置机房资源的有效利用，使上课和上机，收费和免费自动切换，互不干扰。课表分为学期课表、单双周课表、每周课表三种，其优先级依次增强，课表的时间段可以自行定义，上课之前的机器锁定时间也可以自行定义，从而保证上课用机。利用课表的编排，每个机房在不同的时间段内可以拥有不同的上机模式，再频繁复杂的上课与上机交换都能有条理的进行。 · 临时调课与预约服务机房的课程安排经常出现临时性的调整，利用临时调课功能，可以调整到空闲时段，也可以和其它上课对调；可以调整到本周，也可以调整到其它周次；可以调整到本机房，也可以调整到其它机房中。遇到其他部门或者其他培训需要使用机房，可以使用团体卡号进行提前预约机器，到了预定上机的时间，在预定机器上使用团体卡号和预约时设置的密码就可以进入系统，不需要重新布置机房。机房环境部署系统 · 便捷的机房环境部署方式在电脑机房的计算机维护工作中，系统的升级以及软件的更新工作是非常繁重的。现在利用差异变量拷贝功能，可以快速将一台机器上安装好的系统部署到整个机房的所有计算机上，不需要逐台安装或拷贝。差异拷贝功能支持大小硬盘互传，提供了全盘、单个操作系统、单个分区或自定义分区组合等多种拷贝模式，并且能够支持512台电脑同时进行差异拷贝；实现断点续传，可以动态显示故障机器，便于单独处理。以前网络拷贝完成后，由于正版软件对于每台机器的序列号是不一样的，因此需要逐台重新注册，而现在你可以利用噢易机房BOSS系统的“软件统一注册”功能，客户端智能记忆注册信息，再次拷贝不需要重新注册，可谓一劳永逸。 · 一间机房多种实验环境噢易机房BOSS系统支持多种操作系统并存且相互隔离，可以在一台机器上同时安装Vista，win2000， win2003，XP，Linux等操作系统，从而达到一间机房多种实验环境。单系统多频道功能可以为不同专业的课堂创造一个最优的系统环境，授权的教师可以在真实操作系统上轻松扩展出多频道（操作系统环境），频道不占用硬盘空间。每个频道可以满足不同专业的应用软件需求，避免在单系统中安装多个软件产生冲突、机器变慢、桌面复杂等问题，让您的专业课堂更加专业化。在比较特殊的情况，比如等级考试、测评、假期培训等，不需要重新做系统，减少了机房管理员维护工作量，使机房无论何时都能够正常运转。 · 快速搭建网络平台机房与Internet相连，需要为每台计算机分配IP地址、计算机名，设置DNS、网关等，这是一项既麻烦又耗时的事情。噢易机房BOSS系统修改IP地址的功能前所未有的方便，可以通过发射端收集所有网卡的 MAC地址，在发射端进行排序，然后将参数传递过去，所有的计算机的IP地址就改过来了。如果安装有多个操作系统，那么每个操作系统可以设置不同的IP。 · 远程管理在电脑机房的计算机维护工作中，利用远程控制功能可以将学生机重启、注销、关机及远程开机，还可以实时监视或直接操作学生机，大大提高工作效率。老师在控制端还可将学生机将硬盘资料还原、硬盘资料备份及硬盘资料的暂存等。授课老师能远程任意切换学生用机的操作系统，也可以使学生机进入指定的操作系统，还可以将一些小软件或者布置的作业文件直接发送到机房的计算机中。上机管理系统 · 刷卡管理噢易机房BOSS系统的卡管理功能，包括发卡、退卡、充值、退款、挂失、注销等。系统支持条码卡、 IC卡、ID卡、射频卡等多种常见卡。根据实际需要，利用刷卡机的管理功能，可以选择不同的管理模式：1.刷卡机自动分配机器给学生上机；B．刷卡机程序设置机房的门禁管理模式；C．学生通过刷卡机查询帐号的相关信息。 · 机时管理系统对学生上机情况进行记录和管理，为学生提供多种自主上机方式，可以为不同的机房不同的时间段设置不同的管理模式，可以设置的模式包括：上课模式、免费开放模式、消费上机模式、禁止预约模式、机时上机模式、禁止上机模式、禁止自主上机模式。学生业余上机除了基础的收费率以外，还可以设置特殊收费，可实现不同机房在不同的上机时间内拥有不同的费率。为了满足特殊用户的需要，系统提供了高级折扣功能，可以为不同的部门进行折扣，还可以为消费积分或者充值积分达到一定等级的用户进行折扣。 · 上机操作控制系统可以根据上机者的自主上机方式、机房、上机人员类型属性执行不同的过滤方式，过滤内容包括：网络访问控制、程序运行控制、文件访问控制、设备使用控制，还能提供端口控制功能。所有这些控制都由系统自动判断和进行控制，非常灵活。可以将学生上机期间的违规行为记录到该用户的信息中，违规累计超过预定次数，可以禁用该卡，等待处理。处理结束，可以清除该学生的违纪记录。 · 辅助教学控制系统拥有强大的课堂行为管理功能，可以对不同的课程设置不同的控制内容，在不需要上网的情况下教学可以设置网络访问黑名单和白名单，限制学生机上网；可以通过教师机将学生机锁定，使学生能专心听讲；限制学生机使用与教学无关的软件。系统提供文件隐藏、读保护和写保护三种文件控制方式。通过禁止使用光驱和USB设备，可以有效防止学生看电影以及游戏，也可以一定程度上避免USB设备带来的病毒感染。系统自动对上课学生进行考勤，对其迟到、缺席的情况记录并可查询。对迟到、缺席的时间可以自行定义，比如设置超过5分钟记录迟到，超过30分钟记录缺席。 · 资产监管使用噢易机房BOSS系统的资产监管功能，通过管理机能够实时对学生机远程进行完整的软件、硬件资产监控及管理，管理员足不出户就能实时了解、监管网络内所有学生机电脑的相关配置与变更等情况，并能快速的进行相关统计、查询、存档等工作，针对不同情况及时做出反应。 · 权限控制，各司其职系统为了更好的配置机房资源，对机房各类人员实行多级权限管理，机房超级管理员可以为机房各类人员（包括值班/技术超级/技术维护管理员、收费/财务管理员、上课教师/上机学生）设置相应的操作和查询权限，使机房管理员各司其职，权责分明。 · 校园一卡通完全支持目前应用比较广泛的多种一卡通系统，如果用户需要，可以很方便的进行扩展支持。还可以与其他图书管理系统等连接，系统还拥有跨院系/校区统一上机管理功能，满足学校统一管理的各种需求。上机服务系统 · 上下机验证学生通过刷卡进入机房，通过帐号登陆验证完相关信息才可使用机器，使用结帐下机功能终止上机，并记录学生此次上机的时间和其他信息，系统为学生提供帐户充值功能，学校可根据实际情况，设置专门的充值点。 · 开放、自由的学习环境授权学生在受保护的真实操作系统上可以自主创建一个虚拟系统。虚拟系统不占用硬盘空间，是可以开放使用的，学生可以在他们创建的虚拟系统内安装软件和保存资料，而不会影响到真实系统的还原和保护，从此他们不仅可以轻松的在机房上机试验，业余时间也可以做课程设计、毕业设计等等，机房管理与学生自主完美结合。 Web查询可以方便管理员、教师和学生上网查询各自需要的相关信息。学生可以查看其充值记录明细、消费记录明细、上机记录、上机课表等，还可以通过管理机或Web实现个人机器的预约功能。 · 更多的功能服务学生系统提供了对于打印机的监控和收费。管理员可以配置打印服务器，设置打印的费率。学生选择打印机进行打印，系统直接从学生卡中扣除打印费用。打印扣费可以区分灰度打印和彩色打印，可以区分单面打印和双面打印，可以区分打印一份或者多份。系统拥有商品销售功能。管理员添加商品名称和价格，学生通过客户端程序中的商品购买功能，选购商品。购买花费可以选择从帐号中扣除，也可以选择现金交易。数据统计与决策系统噢易机房BOSS系统中的数据统计功能可以为各类用户提供详细的机时统计查询和报表打印。运维支持系统 · 系统保护在进行硬盘保护时，噢易机房BOSS系统受保护的硬盘可以像平常一样进行硬盘的读写操作，但关机以后系统又恢复到以前的状态，可以有效的保证系统的安全。 · 主动式防御机器狗最近，开始流行起一种专门针对机房维护产品的病毒“机器狗”，能够轻松穿透各种机房维护产品的防护，将病毒、木马感染进系统。噢易机房BOSS系统采用驱动级防护技术，有效地防御了这一类针对性的恶意病毒，不论机器狗如何变种，不需要通过补丁更新方式防御。 · 动静态暂存区许多用户在使用传统机房维护产品过程中都曾经遇到过蓝屏死机的问题，这是由于暂存区空间不够造成的，噢易机房BOSS系统采用了暂存区智能延展技术，当预先分配的暂存区空间不够时，可以自动使用硬盘的空闲空间作为暂存区，从根本上杜绝了蓝屏死机。 · 防ARP攻击 ARP攻击是导致网络无法正常访问的重要原因，噢易首家内置了防ARP攻击功能，确保网络畅通无阻。 WEB服务系统 · Web远程查询系统拥有WEB查询功能，可以方便管理员、教师和学生远程查询各自需要查询的相关信息。 · Web远程预约和调课系统为学生提供个人预约功能，学生可以远程预约一台机器，保证个人学习上机；教师和管理员可以使用团体预约功能，预约多台机器，方便特殊情况下，比如培训或者外部人员来机房上机，使用团体卡号和设置的密码就可以进入系统，不需要重新部署机房环境。教师可以通过Web页面远程申请调课，管理员可以远程对调课申请进行处理。

SOC 单项选择题120题多选60题判断90题简答30小题合计300题一.单项选择题〔共120小题〕 1.在网页上点击一个是使用哪种方式提交的请求？ A.GET B.POST C.HEAD D.RACE 正确答案：A； 2.对于单次SQL注入最可能会用到下列哪组字符？ A.双引号 B.单引号 C.# D.— 正确答案：B； 3.仅根据扩展名判断,以下哪个文件不是动态页面？正确答案：D； 4.关于XSS的说法以下哪项是正确的？ A.XSS全称为Cascading Style Sheet B.通过XSS无法修改显示的页面内容 C.通过XSS有可能取得被攻击客户端的Cookie D.XSS是一种利用客户端漏洞实施的攻击正确答案：C； 5.在应用程序中接收到如下内容,请选出对其可信任程度描述正确的一项. A.来自设置为不可编辑的输入框的内容可信任 B.来自设置为隐藏域的内容可信任 C.来自客户端提交Cookie的内容可信任 D.来自客户端提交的Agent域的内容可信任 E.以上内容均不可信正确答案：E； 6.中如提交多个参数通过下列哪个符号进行分隔？ A.； B., C.& D.+ 正确答案：C； 7.通过以下哪种方法可最为有效地避免在中括号参数处产生SQL注入？select * from users where age<[18] and male=1; A.过滤输入中的单引号 B.过滤输入中的分号.--与#;过滤输入中的空格.TAB<\t> C.如输入参数非正整数则认为非法,不再进行SQL查询 D.过滤关键字and、or 正确答案：D； 8.端口扫描使用的最常见协议是 A.TCP B.UDP C.ICMP 正确答案：A； 9.判断主机存活最常用协议是 A.TCP B.UDP C.ICMP 正确答案：C； 10.哪种扫描器不能对Web应用的安全性问题进行评估 A.Webinspect B.APPscan C.Nmap 正确答案：C； 11.微软何类产品的漏洞利用方式与挂马相关 A.操作系统 B.浏览器 C.Office 正确答案：B； 12.以下关于僵尸网络的正确答案是 A.拒绝服务攻击 B.垃圾 C.网络钓鱼 D.以上均是正确答案：D； 13.口令安全不取决于 A.口令长度 B.口令复杂度 C.口令的更换周期 D.口令是否合理存放 E.口令是否便于记忆正确答案：E； 14.风险评估应当以什么为核心 A.脆弱性 B.威胁 C.资产正确答案：C； 15.以下哪种攻击手法对终端安全产生的威胁最大 A.挂马 B.黑客利用某系统漏洞〔如MS06-040〕进行远程渗透 C.嗅探 D.黑客攻击某企业门户,造成不可访问正确答案：A； 16.下列内容不属于信息安全的"CIA"属性的是 A.##性 B.不可篡改性 C.完整性 D.可用性正确答案：B； 17.在windows系统中,查看共享情况使用的命令是 A.net use B.net share C.net ping D.arp –a 正确答案：B； 18.国际常见的信息安全管理体系标准是 A.Cobit B.COSO C.SOX D.ISO27001 正确答案：D； 19.显示C盘上所有创建时间的递归式目录清单的命令是 A.dir /t:a /a /s /o:d c:\ B.dir /t:w /a /s /o:d c:\ C.dir /t:c /a /s /o:d c:\ D.dir /a /s /o:d c:\ 正确答案：C； 20.Windows系统的系统日志存放在 A.c:\windows\system32\config B.c:\windows\config C.c:\windows\logs D.c:\windows\system32\logs 正确答案：A； 21.如果/etc/passwd文件中存在多个UID为0的用户,可能是 A.系统被DDOS攻击 B.管理员配置错误 C.系统被入侵并添加了管理员用户 D.计算机被感染病毒正确答案：C； 22.以下哪个命令可以查看ssh服务端软件包是否被修改 A.rpm –v ssh B.rpm –V sshd C.rpm –aq D.rpm –V ssh 正确答案：D； 23.在linux中存放用户信息的文件是 A./etc/passwd B./etc/login.def C./etc/shadow D./etc/group 正确答案：A； 24.发现入侵后,哪些动作是可以马上执行的 A.重启 B.关机 C.切断网络 D.进入单用户模式正确答案：C； 25.删除linux中无用的账号,使用的命令是 A..userdel username B.usermode –L C.chmod –R D.usermode -F 正

安全技术/病毒

9,506

社区成员

28,984

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章