SiS001! Board - [第一会所关闭注册]

标题: [求助] 360防火墙老提示有ARP攻击。。 [打印本页]

作者: shaojiantoldme 时间: 2009-3-17 14:40 标题: 360防火墙老提示有ARP攻击。。

我们是大办公室局域网，上网老提示有ARP攻击，上面给出了对方的IP地址（提示说有可能是伪造的），还有MAC地址，请问什么是MAC地址，能找出元凶是谁吗？

作者: frankhlin 时间: 2009-3-17 14:45

1、已知中毒机器的MAC地址的情况下，可用NBTSCAN（下载地址：http://dd.northtimes.com/download/nbtscan.rar）工具快速查找。 NBTSCAN可以取到PC的真实IP地址和MAC地址，如果有”传奇木马”在做怪，可以找到装有木马的PC的IP/和MAC地址。命令：“nbtscan -r 192.168.2.0/24”（搜索整个192.168.2.0/24网段, 即192.168.2.1-192.168.2.254）；或“nbtscan 192.168.2.25-127”搜索192.168.2.25-127 网段，即192.168.2.25-192.168.2.127。输出结果第一列是IP地址，最后一列是MAC地址。
NBTSCAN的使用范例：
假如查找一台MAC地址为“00-0C-76-93-89-C2”的中毒主机，可以使用如下步骤完成查找：
1）将文件包中的nbtscan.exe 和cygwin1.dll解压缩放到c:\根目录下。
2）运行cmd，在出现的DOS窗口中输入：
C:\nbtscan -r 192.168.2.1/24（这里需要根据用户实际网段输入），回车。
C:\Documents and Settings\me>C:\nbtscan -r 192.168.2.1/24
Warning: -r option not supported under Windows. Running without it.
Doing NBT name scan for addresses from 192.168.2.1/24
IP address NetBIOS Name Server User MAC address
-------------------------------------------
192.168.2.0 Sendto failed: Cannot assign requested address
192.168.2.50 SERVER 00-11-09-EC-92-91
192.168.2.111 LLF
192.168.2.121 UTT-HIPER 00-13-46-E2-78-F9
192.168.2.175 JC 00-0B-2F-07-D5-AE
192.168.2.223 test123
3）通过查询IP--MAC对应表，查出“00-0C-76-93-89-C2”的病毒主机的IP地址为“192.168.2.223”。
2、MSS用户查找法：
在MSS服务器管理内，“安全设置”－>“MAC-IP地址安全”，使用“全网扫描”功能可得到当前MSS服务器上ARP地址的缓存表，在ARP欺骗病毒（或木马）开始运行的时候，局域网内所有或部分主机的MAC地址更新为病毒主机的MAC地址（也就是扫描出的列表中，所有或部分主机的的MAC地址与病毒主机的MAC地址相同）

作者: iq314 时间: 2009-3-17 16:46

可能局域网有人用P2P终结者或者聚生网管之类的控制软件 360的ARP能防得住不用怕

作者: happy4321 时间: 2009-3-17 20:31

我也遇到过这样的问题，进来学习下，大概是局域网内的某一台电脑中毒了。

作者: lbf968 时间: 2009-3-18 15:09

局欲网中的某台电脑中毒了,没关系的
反正是电脑公司,要盗就盗吧,嘿嘿~
我就这样做的~看到有提示,就关了360,让他去攻击吧!

作者: moonrisker 时间: 2009-3-18 15:15

ARP只发生在局域网，360是可以防得住的。你可以开启它的ARP防火墙功能。没关系的

作者: 5577 时间: 2009-3-18 15:16

网内某台电脑中毒了，MAC地址在路由器里就能看到，找相应名称的计算机就行了。

作者: jy8510161 时间: 2009-3-18 17:01

应该是你们公司的网管用了一个监控软件，或者是你们公司内部有人用P2P之内的限制软件了，对你的电脑没什么影响的，放心，你要是不想看到提示，可以在360里面设置一下，

作者: wbli2003 时间: 2009-3-25 16:15

估计是有病毒了，以前遇到过，中病毒的机器一直去攻击局域网内的机器

作者: qhdzhaoym 时间: 2009-3-25 16:38

MAC地址是你电脑的网卡物理地址
每个电脑的地址都不一样
提示你肯定是你的电脑或者你所在的局域网里面中毒了

杀毒吧

作者: bc12124 时间: 2009-3-25 16:41 标题: 打不开QQ网页

我电脑前段时间经常打不开腾迅的所有网页,还有些游戏.是怎么回事额?

[ 本帖最后由 bc12124 于 2009-3-25 16:45 编辑 ]

作者: ashuram5 时间: 2009-3-25 16:42

如果你们公司的网管有记录mac的良好习惯的话,你这个问题不难解决.直接查一下计算机的mac记录就可以知道是那台机器了.
不过如果没记录的话就比较麻烦了.加上你们又是大办公室,你还是报告给网管让他们处理吧.

作者: bc12124 时间: 2009-3-25 16:46

不好意思我网络卡了弄出这么多糊涂的回

[ 本帖最后由 bc12124 于 2009-3-25 16:49 编辑 ]

作者: wlb00001 时间: 2009-3-25 16:58

开始-运行-cmd-ipconfig/all，你可以看到哦啊出来的里面有你的网卡地址（mac），你知道了方法了，现在把你防火墙提示的地址记录下来，然后去你办公室每台电脑上面去对照，如果发现一样的，把那台电脑网线拔掉，看看还有没有攻击提示，如果没有证明是这台中毒，如果懂，请杀毒，不懂，建议重装。

作者: joeway2009 时间: 2009-3-25 16:59

学习了
我们这的一条网线十几个电脑用经常和楼主的遭遇一样
现在知道了

作者: kevin0607 时间: 2009-3-25 18:45

360的ARP防火墙还是很有效的，说明楼主的办公室局域网肯定有攻击行为，提醒网管杀毒吧

作者: 986327720 时间: 2009-3-25 19:30

建议装个金山ARP防火墙，它是众多ARP防火墙中最小的，占内存最小，还不错。

欢迎光临 SiS001! Board - [第一会所关闭注册] (http://68.168.16.147/bbs/)