CN104796409A - 一种局域网远程连接查找arp病毒源主机的方法 - Google Patents
一种局域网远程连接查找arp病毒源主机的方法 Download PDFInfo
- Publication number
- CN104796409A CN104796409A CN201510139617.6A CN201510139617A CN104796409A CN 104796409 A CN104796409 A CN 104796409A CN 201510139617 A CN201510139617 A CN 201510139617A CN 104796409 A CN104796409 A CN 104796409A
- Authority
- CN
- China
- Prior art keywords
- arp
- mac
- information
- area network
- local area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种局域网远程连接查找ARP病毒源主机的方法,所述方法包括以下步骤:S1:通过TELNET命令远程连接交换机网关;S2:输入用户名和密码登录。S3:使用SHOW ARP命令显示所有ARP信息。S4:使用CTRL+C命令复制步骤S3中所有ARP信息到EXCEL文件。S5:在EXCEL文件中对ARP信息按MAC值大小进行排序。S6:在EXCEL文件中统计MAC值相等的信息,MAC值相等则这个MAC就是ARP病毒源主机的MAC地址,从而最终找到了ARP病毒源主机。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种查找ARP (Address Resolution Protocol,地址解析协议) 病毒源主机的方法。
背景技术
在TCP/IP协议簇中,地址解析协议(英文名称为Address Resolution Protocol,以下简称为ARP)的功能是在互联网协议(英文名称为Internet Protocol,以下简称为IP)地址和介质访问控制(英文名称为Media Access Control,以下简称为MAC)地址间提供动态映射,将32位的IP地址转换为48位的MAC地址,使IP报文能够在链路中正确传输。
ARP协议设计之初,网络中的主机被认为是可信的,网络中任何主机无条件信任其它任何主机发送的ARP数据包,因此ARP协议被设计为基于可信主机之间的协议,然而现实中的网络并非如此,这就产生了ARP欺骗技术。所谓ARP欺骗,是指利用ARP协议的漏洞,通过向目标主机发送虚假ARP报文,冒充目标主机,截取本应发往目标主机的报文,以此实现监听或截获目标主机通信数据的一种手段。如果使用ARP欺骗同时冒充通信双方,就能实现“中间人攻击”。严重时ARP欺骗能造成网络的拥塞甚至大面积的网络瘫痪等,对网络的管理及其安全的维护提出了严峻的考验。
传统上,要解决ARP欺骗,有以下几种方法:1、使用ARP代理服务器;2、安装独立的ARP欺骗检测服务器;3、修改ARP协议。上述方法中,第一种需要解决ARP代理服务器的安全问题,防止代理服务器受到攻击,但在实际中代理服务器很容易成为攻击靶子,因此难以保证ARP代理服务器的安全;第二种由于要安装新设备,成本较高,且由于使用主动检测技术,导致网络数据量增加,影响网络运行;第三种缺乏恰当的协议模型,只能部分解决ARP协议的问题,无法从根本上杜绝ARP欺骗。
一个局域网中一旦有一个主机中ARP病毒,就会影响多个主机,甚至让整个局域网瘫痪,因此,必须要查出ARP病毒源主机。
本发明提供了一种局域网远程连接查找ARP病毒源主机的方法,该方法能够远程快速查找ARP病毒源主机,提升网络管理效率。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:远程快速查找ARP病毒源主机。
(二)技术方案
为解决上述技术问题,本发明提供了一种局域网远程连接查找ARP病毒源主机的方法,所述方法包括以下步骤:
S1:通过TELNET命令远程连接交换机网关;
S2:输入用户名和密码,作为网络管理者,对交换机网关用户名和密码是清楚的,交换机网关设置用户名和密码,可以防止非法登录。
S3:使用SHOW ARP 命令显示所有ARP信息。
S4:使用CTRL + C命令复制步骤S3中使用SHOW ARP 命令显示所有ARP信息到EXCEL文件。
S5:在EXCEL文件中对ARP信息按MAC值大小进行排序。
S6:在EXCEL文件中统计MAC值相等的信息。MAC值相等则这个MAC就是ARP病毒源主机的MAC地址。
这样就通过远程连接查找到了ARP病毒源主机,进一步,网络管理者还可以根据MAC地址,通过计费系统或其它管理平台查出对应的用户,找出ARP病毒源主机后,可以让他断开网络或者重装系统即可恢复局域网网络的正常通信。
MAC值相等则说明这个MAC就是ARP病毒源主机的MAC地址,这是因为交换机网关保存的MAC地址和IP地址是一一对应的,并且不会重复保存,也就是说一个MAC地址和IP地址只会保存一条信息,正常情况下,一个IP地址只会对应一个MAC地址,如果MAC值相等,说明这个MAC至少出现过两次,进一步说明这个MAC至少对应了两个不同的IP地址,这说明必定有一个IP地址是伪造的,每一台计算机的MAC地址是全球唯一的,所以这个MAC对应的计算机就一定是ARP病毒源主机。
(三)有益效果
本发明通过6个步骤,就可以远程快速查找到ARP病毒源主机,找出ARP病毒源主机后,可以让他断开网络或者重装系统即可恢复局域网网络的正常通信,不需要网络管理者直接去现场处理,提高了网络管理的效率。
附图说明
图1是本发明实施例的使用SHOW ARP 命令显示所有ARP信息示意图。
图2是本发明实施例把所有ARP信息复制到EXCEL文件示意图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
具体实施方式包括以下步骤:
S1:通过TELNET命令远程连接交换机网关;
作为优选,本实施例以局域网10.1.6.254网关为例。
S2:输入用户名和密码,回车键确认后登录上了10.1.6.254网关。
S3:使用SHOW ARP 命令显示所有ARP信息。参照图1,图1是本发明实施例的使用SHOW ARP 命令显示所有ARP信息示意图。
S4:使用CTRL + C命令复制步骤S3中使用SHOW ARP 命令显示所有ARP信息到EXCEL文件。
参照图2,图2是本发明实施例所有ARP信息复制到EXCEL文件示意图。
S5:在EXCEL文件中对ARP信息按MAC值大小进行排序。
S6:在EXCEL文件中统计MAC值相等的信息。MAC值相等则这个MAC就是ARP病毒源主机的MAC地址。在这次查找过程中,没有发现MAC值相等的情况,这说明10.1.6.254网关这段时间没有主机中ARP病毒。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (1)
1.一种局域网远程连接查找ARP病毒源主机的方法,所述方法包括以下步骤:
S1:通过TELNET命令远程连接交换机网关;
S2:输入用户名和密码,作为网络管理者,对交换机网关用户名和密码是清楚的,交换机网关设置用户名和密码,可以防止非法登录;
S3:使用SHOW ARP 命令显示所有ARP信息;
S4:使用CTRL + C命令复制步骤S3中使用SHOW ARP 命令显示所有ARP信息到EXCEL文件;
S5:在EXCEL文件中对ARP信息按MAC值大小进行排序;
S6:在EXCEL文件中统计MAC值相等的信息;MAC值相等则这个MAC就是ARP病毒源主机的MAC地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510139617.6A CN104796409A (zh) | 2015-03-29 | 2015-03-29 | 一种局域网远程连接查找arp病毒源主机的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510139617.6A CN104796409A (zh) | 2015-03-29 | 2015-03-29 | 一种局域网远程连接查找arp病毒源主机的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104796409A true CN104796409A (zh) | 2015-07-22 |
Family
ID=53560921
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510139617.6A Pending CN104796409A (zh) | 2015-03-29 | 2015-03-29 | 一种局域网远程连接查找arp病毒源主机的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104796409A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112333146A (zh) * | 2020-09-21 | 2021-02-05 | 南方电网海南数字电网研究院有限公司 | 变电智能网关arp安全防御方法及变电智能网关 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101616131A (zh) * | 2008-06-24 | 2009-12-30 | 重庆广用通信技术有限责任公司 | 一种防御Arp病毒攻击的方法 |
| CN101635733A (zh) * | 2009-08-27 | 2010-01-27 | 厦门敏讯信息技术股份有限公司 | 一种arp病毒侦测定位方法及免疫方法 |
-
2015
- 2015-03-29 CN CN201510139617.6A patent/CN104796409A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101616131A (zh) * | 2008-06-24 | 2009-12-30 | 重庆广用通信技术有限责任公司 | 一种防御Arp病毒攻击的方法 |
| CN101635733A (zh) * | 2009-08-27 | 2010-01-27 | 厦门敏讯信息技术股份有限公司 | 一种arp病毒侦测定位方法及免疫方法 |
Non-Patent Citations (2)
| Title |
|---|
| HUAMAO26: "局域网中检测以及预防ARP病毒的方法", 《百度文库》 * |
| 邱雪松: "ARP病毒原理与防御", 《柳钢科技》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112333146A (zh) * | 2020-09-21 | 2021-02-05 | 南方电网海南数字电网研究院有限公司 | 变电智能网关arp安全防御方法及变电智能网关 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Barbosa et al. | Flow whitelisting in SCADA networks | |
| US20160359887A1 (en) | Domain name system (dns) based anomaly detection | |
| CN105227383B (zh) | 一种网络拓扑排查的装置 | |
| EP3297248B1 (en) | System and method for generating rules for attack detection feedback system | |
| US11349862B2 (en) | Systems and methods for testing known bad destinations in a production network | |
| CN103916490B (zh) | 一种域名系统dns防篡改方法及装置 | |
| US7463593B2 (en) | Network host isolation tool | |
| CN105450442A (zh) | 一种网络拓扑排查方法及其系统 | |
| JP7416919B2 (ja) | データ処理方法及び装置並びにコンピュータ記憶媒体 | |
| CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
| CN106657050A (zh) | 一种域名解析异常检测方法、探测管理服务器及网关设备 | |
| CN103378991A (zh) | 一种在线服务异常监测方法及其监测系统 | |
| US11824716B2 (en) | Systems and methods for controlling the deployment of network configuration changes based on weighted impact | |
| Ubaid et al. | Mitigating address spoofing attacks in hybrid SDN | |
| KR101887544B1 (ko) | Sdn 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템 | |
| CN111698110A (zh) | 一种网络设备性能分析方法、系统、设备及计算机介质 | |
| US9678772B2 (en) | System, method, and computer-readable medium | |
| Salim et al. | Preventing ARP spoofing attacks through gratuitous decision packet | |
| CN104796409A (zh) | 一种局域网远程连接查找arp病毒源主机的方法 | |
| US10419388B2 (en) | Method and system for dark matter scanning | |
| Barbhuiya et al. | An active DES based IDS for ARP spoofing | |
| Song et al. | Using FDAD to prevent DAD attack in secure neighbor discovery protocol | |
| Li et al. | SDN based intelligent Honeynet network model design and verification | |
| Jeong et al. | ASD: ARP spoofing detector using openwrt | |
| KR101188308B1 (ko) | 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150722 |
|
| WD01 | Invention patent application deemed withdrawn after publication |