切換到病毒主機(jī)上網(wǎng)后，如果用戶已經(jīng)登陸了傳奇服務(wù)器，那么病毒主機(jī)就會(huì)經(jīng)常偽造斷線的假像，那么用戶就得重新登錄傳奇服務(wù)器，這樣病毒主機(jī)就可以盜號了 。;;
由于ARP欺騙的木馬程序發(fā)作的時(shí)候會(huì)發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶會(huì)感覺上網(wǎng)速度越來越慢 。當(dāng)ARP欺騙的木馬程序停止運(yùn)行時(shí)，用戶會(huì)恢復(fù)從路由器上網(wǎng)，切換過程中用戶會(huì)再斷一次線 。;;
【HiPER用戶快速發(fā)現(xiàn)ARP欺騙木馬】
在路由器的“系統(tǒng)歷史記錄”中看到大量如下的信息（440以后的路由器軟件版本中才有此提示）：;;
MAC;Chged;10.128.103.124;;
MAC;Old;00:01:6c:36:d1:7f;;
MAC;New;00:05:5d:60:c7:18;;
這個(gè)消息代表了用戶的MAC地址發(fā)生了變化，在ARP欺騙木馬開始運(yùn)行的時(shí)候，局域網(wǎng)所有主機(jī)的MAC地址更新為病毒主機(jī)的MAC地址（即所有信息的MAC;New地址都一致為病毒主機(jī)的MAC地址），同時(shí)在路由器的“用戶統(tǒng)計(jì)”中看到所有用戶的MAC地址信息都一樣 。;;
如果是在路由器的“系統(tǒng)歷史記錄”中看到大量MAC;Old地址都一致，則說明局域網(wǎng)內(nèi)曾經(jīng)出現(xiàn)過ARP欺騙（ARP欺騙的木馬程序停止運(yùn)行時(shí)，主機(jī)在路由器上恢復(fù)其真實(shí)的MAC地址） 。;;
【在局域網(wǎng)內(nèi)查找病毒主機(jī)】
在上面我們已經(jīng)知道了使用ARP欺騙木馬的主機(jī)的MAC地址，那么我們就可以使用NBTSCAN（下載地址：http://www.utt.com.cn/upload/nbtscan.rar）工具來快速查找它 。;;
NBTSCAN可以取到PC的真實(shí)IP地址和MAC地址，如果有”傳奇木馬”在做怪，可以找到裝有木馬的PC的IP/和MAC地址 。;;
命令：“nbtscan;-r;192.168.16.0/24”（搜索整個(gè)192.168.16.0/24網(wǎng)段,;即;;
192.168.16.1-192.168.16.254）；或“nbtscan;192.168.16.25-137”搜索192.168.16.25-137;網(wǎng)段，即192.168.16.25-192.168.16.137 。輸出結(jié)果第一列是IP地址，最后一列是MAC地址 。;;
NBTSCAN的使用范例：;;
假設(shè)查找一臺MAC地址為“000d870d585f”的病毒主機(jī) 。;;
1）將壓縮包中的nbtscan.exe;和cygwin1.dll解壓縮放到c:下 。;;
2）在Windows開始—運(yùn)行—打開，輸入cmd（windows98輸入“command”），在出現(xiàn)的DOS窗口中輸入：C:;
btscan;-r;192.168.16.1/24（這里需要根據(jù)用戶實(shí)際網(wǎng)段輸入），回車 。;;
C:Documents;and;SettingsALAN>C:;
btscan;-r;192.168.16.1/24;;
Warning:;-r;option;not;supported;under;Windows.;Running;without;it.;;
Doing;NBT;name;scan;for;addresses;from;192.168.16.1/24;;
IP;address;NetBIOS;Name;Server;User;MAC;address;;
------------------------------------------------------------------------------;;
192.168.16.0;Sendto;failed:;Cannot;assign;requested;address;;
192.168.16.50;SERVER;00-e0-4c-4d-96-c6;;
192.168.16.111;LLF;ADMINISTRATOR;00-22-55-66-77-88;;
192.168.16.121;UTT-HIPER;00-0d-87-26-7d-78;;
192.168.16.175;JC;00-07-95-e0-7c-d7;;
192.168.16.223;test123;test123;00-0d-87-0d-58-5f;;
3）通過查詢IP--MAC對應(yīng)表，查出“000d870d585f”的病毒主機(jī)的IP地址為“192.168.16.223” 。;;
【解決思路】
1、不要把你的網(wǎng)絡(luò)安全信任關(guān)系建立在IP基礎(chǔ)上或MAC基礎(chǔ)上，（rarp同樣存在欺騙的問題），理想的關(guān)系應(yīng)該建立在IP MAC基礎(chǔ)上 。;;
2、設(shè)置靜態(tài)的MAC-->IP對應(yīng)表，不要讓主機(jī)刷新你設(shè)定好的轉(zhuǎn)換表 。;;
3、除非很有必要，否則停止使用ARP，將ARP做為永久條目保存在對應(yīng)表中 。;;
4、使用ARP服務(wù)器 。通過該服務(wù)器查找自己的ARP轉(zhuǎn)換表來響應(yīng)其他機(jī)器的ARP廣播 。確保這臺ARP服務(wù)器不被黑 。;;
5、使用""proxy""代理IP的傳輸 。;;
6、使用硬件屏蔽主機(jī) 。設(shè)置好你的路由，確保IP地址能到達(dá)合法的路徑 。（靜態(tài)配置路由ARP條目），注意，使用交換集線器和網(wǎng)橋無法阻止ARP欺騙 。;;

推薦閱讀

• 

  如何將西文空格全部刪除 怎么講文檔中的西文空格刪除
• 

  垃圾食品的危害有哪些 常見的垃圾食品有哪些
• 

  蔓越莓奶酥怎么做 蔓越莓奶酥
• 

  冬天洗車最好用什么水 冬天洗車盡量用什么水
• 

  轉(zhuǎn)向系統(tǒng)的組成
• 

  2021年OPPO最新手機(jī)篇：揭秘OPPO超強(qiáng)手機(jī)系統(tǒng)和設(shè)計(jì)理念
• 

  dnf玲瓏徽章怎么升級
• 

  華為nova3i怎么錄制屏幕? 華為nova3i怎么錄制屏幕
• 

  如何搜索種子、種子怎么搜索
• 

  classic是什么牌子 classic是什么檔次的
• 

  鞭炮長什么樣
• 

  嘴凸法令紋深怎么辦
• 

  暴汗服面料是什么材質(zhì)
• 

  開車掛檔，開車二檔進(jìn)三檔離合可以松快點(diǎn)嗎
• 

  胃痛的時(shí)候這些事情一定不能做
• 

  有什么軟件可以看高鐵的時(shí)刻表，高鐵管家時(shí)刻表查詢使用方法有哪些

• 我科學(xué)家發(fā)現(xiàn)人基因組內(nèi)休眠古病毒可促衰老
• 新冠疫苗接種“十問十答”：新冠病毒疫苗有效嗎？ 接種哪種比較好？
• 哪些人容易感染新冠病毒 哪些人容易感染新冠病毒肺炎
• 過期口罩未拆封還能隔離病毒嗎,口罩過期阻斷病毒還有效果嗎
• incaseformat病毒怎么解決 incaseformat病毒解決方法
• 豐田支持carplay嗎
• 感染新冠病毒后可服用哪些西藥呢 感染新冠病毒后可服用哪些西藥
• 新冠病毒陽性感染者只咳嗽發(fā)燒算無癥狀嗎？官方：不算
• 局域網(wǎng)受ARP欺騙攻擊后的解決方法
• ARP靜態(tài)綁定批處理文件腳本詳細(xì)講解