局域网内360显示ARP攻击,追踪攻击源IP总是失败!怎么查到攻击IP

发布网友发布时间：2022-05-23 01:12

共2个回答

热心网友时间：2023-10-09 15:28

【HiPER用户快速发现ARP欺骗木马】　　在路由器的“系统历史记录”中看到大量如下的信息（440以后的路由器软件版本中才有此提示）：　　MAC Chged 10.128.103.124 　　MAC Old 00:01:6c:36:d1:7f 　　MAC New 00:05:5d:60:c7:18 　　这个消息代表了用户的MAC地址发生了变化，在ARP欺骗木马开始运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址（即所有信息的MAC New地址都一致为病毒主机的MAC地址），同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。　　如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致，则说明局域网内曾经出现过ARP欺骗（ARP欺骗的木马程序停止运行时，主机在路由器上恢复其真实的MAC地址）。　　【在局域网内查找病毒主机】　　在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址，那么我们就可以使用NBTSCAN工具来快速查找它。 NBTSCAN可以取到PC的真实IP地址和MAC地址，如果有”传奇木马”在做怪，可以找到装有木马的PC的IP/和MAC地址。　　命令：“nbtscan -r 192.168.16.0/24”（搜索整个192.168.16.0/24网段, 即　　192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段，即192.168.16.25-192.168.16.137。输出结果第一列是IP地址，最后一列是MAC地址。　　NBTSCAN的使用范例：　　假设查找一台MAC地址为“000d870d585f”的病毒主机。　　1）将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。　　2）在Windows开始—运行—打开，输入cmd（windows98输入“command”），在出现的DOS窗口中输入：C: 　　btscan -r 192.168.16.1/24（这里需要根据用户实际网段输入），回车。　　　　C:Documents and SettingsALAN>C: 　　btscan -r 192.168.16.1/24 　　Warning: -r option not supported under Windows. Running without it.　　　　Doing NBT name scan for addresses from 192.168.16.1/24　　　　IP address NetBIOS Name Server User MAC address 　　192.168.16.0 Sendto failed: Cannot assign requested address 　　192.168.16.50 SERVER 00-e0-4c-4d-96-c6 　　192.168.16.111 LLF ADMINISTRATOR 00-22-55-66-77-88 　　192.168.16.121 UTT-HIPER 00-0d-87-26-7d-78 　　192.168.16.175 JC 00-07-95-e0-7c-d7 　　192.168.16.223 test123 test123 00-0d-87-0d-58-5f　　　　3）通过查询IP--MAC对应表，查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。

热心网友时间：2023-10-09 15:29

用彩影ARP防火墙可以找到