arp病毒+ip+mac更換怎麼找出 - 資安

※ 引述《shuzna (シャズナ)》之銘言：
: 最近被arp病毒搞得很慘
: 有稍微爬一下文

首先你要先搞清楚arp漏洞的運作過程跟影響，
雖然arp漏洞會置換mac address，
但主要就是置換你電腦GW的mac address，
所以你要先知道你GW的實體Mac address到底是什麼，
以用來判別是否有電腦假借GW的mac來影響整個網域的電腦。
這就是arp -a的用途。

至於影響，假設你網域裡有10台電腦＋一GW，
而10台電腦中有一台電腦A中了arp病毒，
A會不定期在你的網域裡發佈arp，告知其他電腦GW的Mac address為A的mac address，
讓此網域中的其他電腦找不到真正GW的mac address，
至於影響，一個當然就是其他電腦因為找不到真的GW而上不了網，
另一個甚至有可能其他電腦的資訊藉由電腦A發送給木馬，
大多的影響皆為前者。

了解上面所說的之後，你就會知道，要綁定電腦的GW並不難，也有很多方式，
難懂的是如何找到中了arp病毒的電腦，以及規劃一個mac address-IP的環境。
之前我已經有發過類似的文，你可以參考怎麼找出那台電腦加以解決。

--