切断ARP攻击源

切断 ARP 攻击源

 

1 查看可疑地址

在开始不能上网的机器上运行 cmd―>arp �Ca , 查看是否有可疑地址 , 如下表 ;

C:\Documents and Settings\rcnits>arp -a

  Interface: 172.25.136.98 --- 0x2
  Internet Address      Physical Address      Type
  172.25.136.1          00-07-b4-00-28-01     dynamic
  172.25.136.6          00-1e-c9-36-f5-2b     dynamic
  172.25.136.9          00-02-55-47-34-a9     dynamic
  172.25.136.11         00-21-5e-54-99-68     dynamic
  172.25.136.18         00-02-55-22-06-c2     dynamic

 

运行 arp �Cd , 清除 ARP 列表 , 重新运行 arp �Ca, 看数据列表的可疑 IP 地址是否仍然存在 .

如果不存在 , 说明此 IP 地址正常 .

如果仍然存在 , 说明此机器肯定有 ARP 病毒。

 

2. 查找和关闭对应接口。

发现上述情况的时候，记录下可疑主机的 MAC 地址，然后登陆到该 VLAN 网段的交换机上查找对应接口。

在交换机上输入命令： show mac-address-table MAC xxxx.xxxx.xxxx

如果显示的结果是交换机的千兆上连接口 , 则说明不在此交换机上 ;

如果显示的结果是交换机的某一个以太口 , 则说明此接口与该 IP 地址相连 .

进入该接口模式将其关闭 . 使用命令如下 :

Switch(config)# show mac-address-table address xxxx.xxxx.xxxx

Switch(config)# interface f0/x

Switch(config-if)# shutdown

 

 

 

3. 启用接口并且验证

 

在这台已经感染的机器上单独杀毒解决病毒问题，确认病毒被完全根除时，再使用 no shutdown 将其对应网络接口激活。

验证客户端是否可以访问网络，运行 cmd-> arp �Ca, 看 ARP 列表是否正常 .

 

 

 

注 : 来源书籍 , 学习札记 .

本文出自 “domybest” 博客，谢绝转载！