国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動(dòng)安全安全管理 應(yīng)用案例 網(wǎng)絡(luò)威脅 系統(tǒng)安全 應(yīng)用安全 數(shù)據(jù)安全 云安全
當(dāng)前位置: 主頁(yè) > 信息安全 > 安全管理 >

切肯定位ARP報(bào)復(fù)打擊與快速找到病毒泉源的方案

時(shí)間:2013-06-17 14:01來(lái)源:TuZhiJiaMi企業(yè)信息安全專(zhuān)家 點(diǎn)擊:
以下的文講述的是切肯定位ARP報(bào)復(fù)打擊,找到病毒泉源的實(shí)際把持步調(diào),假定你對(duì)切肯定位ARP報(bào)復(fù)打擊與找到病毒泉源的實(shí)際把持方案有歡愉愛(ài)好體味的話,以下的文章將會(huì)揭開(kāi)它的神秘面紗
Tags安全管理(325)ARP攻擊(25)混雜模式(1)精確定位(1)  

  以下的文講述的是切肯定位ARP報(bào)復(fù)打擊,找到病毒泉源的實(shí)際把持步調(diào),假定你對(duì)切肯定位ARP報(bào)復(fù)打擊與找到病毒泉源的實(shí)際把持方案有歡愉愛(ài)好體味的話,以下的文章將會(huì)揭開(kāi)它的神秘面紗。

  1.定位ARP報(bào)復(fù)打擊泉源

  主動(dòng)定位編制:因?yàn)樗械腁RP報(bào)復(fù)打擊源城市有其特點(diǎn)——網(wǎng)卡會(huì)處于稠濁模式,可以經(jīng)由過(guò)程ARPKiller如許的東西掃描網(wǎng)內(nèi)有哪臺(tái)機(jī)械的網(wǎng)卡是處于 稠濁模式的,從而鑒定這臺(tái)機(jī)械有可能就是“元兇”。定位好機(jī)械后,再做病毒信息匯集,提交給趨勢(shì)科技做闡發(fā)措置。

  標(biāo)注:網(wǎng)卡可以置于一種模式叫稠濁模式(promiscuous),在這類(lèi)模式下工作的網(wǎng)卡可以或許收到一切經(jīng)由過(guò)程它的數(shù)據(jù),而不管實(shí)際上數(shù)據(jù)的目標(biāo)地址 是不是是它。這實(shí)際就是Sniffer工作的基來(lái)歷根底理:讓網(wǎng)卡領(lǐng)受一切它所能領(lǐng)受的數(shù)據(jù)。

  被動(dòng)定位編制:在局域網(wǎng)產(chǎn)生ARP報(bào)復(fù)打擊時(shí),查看互換機(jī)的動(dòng)態(tài)ARP表中的內(nèi)容,肯定報(bào)復(fù)打擊源的MAC地址;也能夠在局域居于網(wǎng)中擺設(shè)Sniffer工 具,定位ARP報(bào)復(fù)打擊源的MAC。

  也能夠直接Ping網(wǎng)關(guān)IP,完成Ping后,用ARP –a查看網(wǎng)關(guān)IP對(duì)應(yīng)的MAC地址,此MAC地址應(yīng)當(dāng)為棍騙的,利用NBTSCAN可以取到PC的真實(shí)IP地址、機(jī)械名和MAC地址,假定有”ARP攻 擊”在做怪,可以找到裝有ARP報(bào)復(fù)打擊的PC的IP、機(jī)械名和MAC地址。

  號(hào)令:“nbtscan -r 192.168.16.0/24”(搜刮全部192.168.16.0/24網(wǎng)段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜刮192.168.16.25-137 網(wǎng)段,即192.168.16.25-192.168.16.137。輸出成果第一列是IP地址,最后一列是MAC地址?!BTSCAN的利用典范:

  假定查找一臺(tái)MAC地址為“000d870d585f”的病毒主機(jī)。

  1)將緊縮包中的nbtscan.exe 和cygwin1.dll解緊縮放到c:下。

  2)在Windows開(kāi)端—運(yùn)行—打開(kāi),輸進(jìn)cmd(windows98輸進(jìn)“command”),在呈現(xiàn)的DOS窗口中輸進(jìn):C: btscan -r 192.168.16.1/24(這里需要按照用戶實(shí)際網(wǎng)段輸進(jìn)),回車(chē)。

  3)經(jīng)由過(guò)程查詢(xún)IP–MAC對(duì)應(yīng)表,查出“000d870d585f”的病毒主機(jī)的IP地址為“192.168.16.223”。

  經(jīng)由過(guò)程上述編制,我們就可以夠快速的找到病毒源,確認(rèn)其MAC——〉機(jī)械名和IP地址。

  2.防御編制

  a.利用可防御ARP報(bào)復(fù)打擊的三層互換機(jī),綁定端口-MAC-IP,限制ARP流量,及時(shí)發(fā)現(xiàn)并主動(dòng)阻斷ARP報(bào)復(fù)打擊端口,合理劃分VLAN,完全禁止 盜用IP、MAC地址,杜盡ARP的報(bào)復(fù)打擊。

  b.對(duì)常常爆病發(fā)毒的收集,進(jìn)行Internet拜候節(jié)制,限制用戶對(duì)收集的拜候。此類(lèi)ARP報(bào)復(fù)打擊法度一般都是從Internet下載到用戶終 端,假定可以或許加強(qiáng)用戶上彀的拜候節(jié)制,就可以極大年夜的削減該標(biāo)題問(wèn)題標(biāo)產(chǎn)生。

  c.在產(chǎn)生ARP報(bào)復(fù)打擊時(shí),及時(shí)找到病毒報(bào)復(fù)打擊泉源,并匯集病毒信息,可利用趨勢(shì)科技的SIC2.0,同時(shí)匯集可疑的病毒樣本文件,一路提交到趨勢(shì)科 技的TrendLabs進(jìn)行闡發(fā),TrendLabs將以最快的速度供給病毒碼文件,從而可以進(jìn)行ARP病毒的防御。

  以上的相干內(nèi)容就是對(duì)切肯定位ARP報(bào)復(fù)打擊,找到病毒泉源的介紹,看你能有所收成。

------分隔線----------------------------

推薦內(nèi)容