如果arp包中不包含有病毒机器的ip和mac地址），怎么样确定这台机器？

xiongwen341 · 发表于 2008-7-1 11:36:59

一般的arp病毒如果目的是想获取其它电脑的某些信息，使用arp欺骗包时一般会留下病毒所在机器的ip和mac地址，
但是这个病毒纯粹是想让某机器上不了网或掉线

有什么办法可以识别这台中毒的机器

糊涂 · 发表于 2008-7-1 15:45:28

ARP包里面如果他伪造了地址的话你是没法查出来的,那你只能从帧头里面的源MAC着手,如果好采对方没有伪造这一地址你就把他逮正了,如果他连这个地址都是伪造的话,你只能在交换机的MAC表着手,如果你的交换机是不可管理的话你比较麻烦了....但查出来的方法肯定是有的,自己想象分析一下吧...

xiongwen341 · 发表于 2008-7-3 10:49:51

如果在交换机那里找当然是可以确定那台机器在发送伪造的arp包
我想的是包含这个arp包的物理层的帧应该有源主机的相关信息,
看来得涉及到网卡驱动了

ws2031153 · 发表于 2008-8-29 14:57:19

用sunifee抓包就可以了