【编者按:下来试用了一下,发现某个IP在“劫持其他主机”,进一步检测,发现是路由器的一个端口。而且假如在检测范围里不包括本机IP的话,会提示“不存在的MAC:***,有可能劫持网关……”】
发现利用ARP攻击来进行会话劫持的病毒越来越多,局域网中假如有某台主机被此类病毒入侵,病毒会在网络中发送大量ARP欺骗的数据包,劫持网络中其它主机的会话。
此类病毒入侵后的一个主要特点是网络不稳定,时通时断。访问很多站点时杀毒软件会报告发现病毒,甚至会被误认为正在访问的网站被挂马。
检测和清除ARP欺骗的主机,还是相当麻烦的,大大增加了网管的劳动。这里把珠海毒霸一兄弟的作品拿出来分享给大家,这个工具还非常简陋。请各位网友考察效果,也好让这位兄弟改进。
请将附件中的文件解压到任意位置,执行ARP Detect,选择要检测的网卡,设定检测范围(建议一次不要太多,避免影响网络,并且花时间较长,可以一段一段的来检测),假如检测到不存在的MAC,或几台主机的MAC相同,就可能是危险主机。另外,点击主机信息,假如发现网卡工作在混杂模式,也需要网管重点关注一下。