Fenómeno de falla: la máquina solía poder acceder a Internet normalmente, pero de repente se puede autenticar y no puede acceder a Internet (no se puede hacer ping a la puerta de enlace, se puede restaurar después de reiniciar la máquina o). ejecutando el comando ARP -d en la ventana de MSDOS. Conéctese por un momento.
Causa del fallo: Esto se debe a un ataque de suplantación de identidad del virus APR.
La causa del problema suele ser el ataque del troyano ARP que lleva consigo el legendario complemento. Cuando se utiliza el complemento anterior en la LAN, el virus transportado por el complemento asignará la dirección MAC de la máquina a la dirección IP de la puerta de enlace y enviará una gran cantidad de paquetes ARP a la LAN, lo que provocará que otras máquinas en el mismo segmento de red para considerarlo erróneamente como Gateway, es por eso que la red interna está interconectada cuando está fuera de línea, pero la computadora no puede acceder a Internet.
Soluciones temporales:
Paso 1. Cuando pueda acceder a Internet, ingrese a la ventana de MS-DOS e ingrese el comando: arp –a para verificar la dirección MAC correcta correspondiente al IP de la puerta de enlace y regístrela.
Nota: Si ya no puede acceder a Internet, primero ejecute el comando arp –d para eliminar el contenido en el caché de arp. La computadora puede reanudar temporalmente el acceso a Internet (si el ataque lo logra). no se detiene). Una vez que pueda acceder a Internet, desconecte inmediatamente la red (deshabilite la tarjeta de red o desconecte el cable de red) y luego ejecute arp –a.
Paso 2. Si ya tiene la dirección MAC correcta de la puerta de enlace, cuando no pueda acceder a Internet, vincule manualmente la IP de la puerta de enlace y la MAC correcta para asegurarse de que la computadora ya no se vea afectada por ataques. Para el enlace manual, puede ejecutar el siguiente comando en la ventana de MS-DOS: arp –s gateway IP gateway MAC
Por ejemplo: suponga que la puerta de enlace del segmento de red donde se encuentra la computadora es 218.197. 192.254 y la dirección local es 218.197.192.1 Después de ejecutar arp -a en la computadora, el resultado es el siguiente:
C:\Documents and Settings>arp -a
Interfaz : 218.197.192.1 --- 0x2
Dirección de Internet Tipo de dirección física
218.197.192.254 00-01-02-03-04-05 dinámica
Dónde 00-01-02-03-04-05 es la puerta de enlace 218.197. La dirección MAC correspondiente a .192.254 es dinámica y por lo tanto se puede cambiar.
Después de ser atacado, use este comando para verificar nuevamente y encontrará que la MAC ha sido reemplazada por la MAC de la máquina atacante. Si desea encontrar la máquina atacante y erradicar completamente el ataque, puede cambiar la MAC en este momento. Registre la MAC para prepararse para búsquedas futuras.
El comando para el enlace manual es:
arp –s 218.197.192.254 00-01-02-03-04-05
Después del enlace, puede Luego use arp -a para ver el caché de arp,
C:\Documents and Settings>arp -a
Interfaz: 218.197.192.1 --- 0x2
Dirección de Internet Tipo de dirección física
218.197.192.254 00-01-02-03-04-05 estática
En este momento, el tipo se vuelve estático y ya no será atacado. afectado. Sin embargo, debe tenerse en cuenta que la vinculación manual dejará de ser válida después de apagar y reiniciar la computadora, y será necesario vincularla nuevamente. Por lo tanto, para erradicar completamente el ataque, la única forma de solucionar el problema es encontrar los ordenadores infectados por el virus en el segmento de red y desinfectarlos. Métodos para descubrir la computadora con virus:
Si ya tiene la dirección MAC de la computadora con virus, puede usar el software NBTSCAN para averiguar la IP correspondiente a la dirección MAC en el segmento de red, es decir, la dirección IP de la computadora con el virus y luego informarlo. El centro de red de la escuela se apoderó de ella.
Cómo utilizar NBTSCAN:
Descargue nbtscan.rar en el disco duro y descomprímalo, luego copie los archivos cygwin1.dll y nbtscan.exe en c:\windows\system32 ( o sistema) en Al ejecutar el comando, la parte en cursiva debe cambiarse al segmento de red correcto).
Nota: cuando se usa nbtscan, a veces debido a que algunas computadoras están equipadas con software de firewall, la salida de nbtscan está incompleta, pero puede reflejarse en el caché arp de la computadora. Por lo tanto, cuando se usa nbtscan, también puede hacerlo. Al ver el caché arp al mismo tiempo, puede obtener una correspondencia relativamente completa entre la IP y la MAC de las computadoras en el segmento de red.
Observaciones adicionales:
Instrucciones para usar Anti ARP Sniffer
1 Descripción de la función:
El uso de Anti ARP Sniffer puede impedir su uso. de la tecnología ARP Realiza la interceptación de paquetes de datos y evita el uso de la tecnología ARP para enviar paquetes de datos en conflicto de direcciones.
2. Instrucciones de uso:
1. Suplantación de ARP:
Rellene la dirección IP de la puerta de enlace y haga clic en [Obtener dirección mac de la puerta de enlace] para mostrar la dirección IP de la puerta de enlace. Dirección IP. Haga clic en [Protección automática] para proteger la comunicación entre la tarjeta de red actual y la puerta de enlace para que no sea monitoreada por un tercero.
Nota: si aparece un mensaje de suplantación de ARP, significa que el atacante envió un paquete de suplantación de ARP para obtener el paquete de datos de la tarjeta de red. Si desea rastrear el origen del ataque, recuerde la MAC del atacante. dirección y utilice la dirección MAC. El escáner puede encontrar la dirección MAC correspondiente a la IP.
2. Conflicto de dirección IP
Primero haga clic en "Restaurar valor predeterminado" y luego haga clic en "Proteger conflicto de dirección".
Si los conflictos de direcciones IP ocurren con frecuencia, significa que los atacantes envían con frecuencia paquetes de suplantación de identidad ARP y aparecerán advertencias de conflictos de IP que se pueden utilizar para evitar tales ataques.
Primero necesita saber la dirección MAC en conflicto, Windows registrará estos errores. El método específico para verificar es el siguiente:
Haga clic derecho en [Mi PC]-->[Administración]-->Haga clic en [Visor de eventos]-->Haga clic en [Sistema]-->Ver la fuente como [TcpIP] ---> Haga doble clic en el evento para ver que se muestra el conflicto de dirección y se registra la dirección MAC. Copie la dirección MAC y complétela en el cuadro de entrada de dirección MAC local de Anti ARP Sniffer (tenga en cuenta). que: se convierte a -) e ingrese Después de completar, haga clic en [Conflicto de dirección de protección]. Para que la dirección MAC sea efectiva, deshabilite la tarjeta de red local y luego habilite la tarjeta de red. Ingrese Ipconfig /all en la línea de comando CMD. para verificar si la dirección MAC actual coincide con la dirección MAC en el cuadro de entrada de dirección MAC local. Comuníquese conmigo si los cambios fallan. Si tiene éxito, el conflicto de direcciones ya no se mostrará.
Nota: Si desea restaurar la dirección MAC predeterminada, haga clic en [Restaurar predeterminada]. Para que la dirección MAC sea efectiva, desactive la tarjeta de red local y luego habilite la tarjeta de red.
Uso:
nbtscan [-v] [-d] [-e] [-l] [-t tiempo de espera] [-b ancho de banda] [-r] [-q ] [-s separador]
[-m retransmite] (-f nombre de archivo)|(
-v salida detallada. Imprime todos los nombres recibidos
de cada host
-d volcar paquetes. Imprime el contenido completo del paquete.
-e Formatear la salida en formato /etc/hosts.
-l Formato salida en formato lmhosts.
No se puede utilizar con las opciones -v, -s o -h.
-t timeout espera milisegundos para la respuesta.
Valor predeterminado 1000.
-b ancho de banda Limitación de salida Disminuye la velocidad de salida
para que no utilice más de ese ancho de banda en bps.
Útil en enlaces lentos, para que la salida. las consultas
no se descartan.
-r usa el puerto local 137 para escaneos de cajas Win95
responde solo a esto.
Debes ser root para usar esta opción en Unix.
-q Suprime banners y mensajes de error,
-s separator Salida compatible con scripts No imprimir
encabezados de columnas y registros, campos separados con separador
r.
-h Imprimir nombre legible por humanos
es para servicios.
Solo se puede usar con la opción -v.
-m retransmite Número de retransmisiones Predeterminado 0.
-f nombre de archivo Toma direcciones IP. para escanear desde el nombre del archivo.
-f - hace que nbtscan tome direcciones IP de la entrada estándar.
como 192.168.1.1 o
rango de direcciones en una de dos formas:
xxx.xxx.xxx.xxx/xx o xxx.xxx.xxx.xxx-xxx. p> p>
Ejemplos:
nbtscan -r 192.168.1.0/24
Escanea toda la red clase C.
nbtscan 192.168.1.25 -137
Escanea un rango de 192.168.1.25 a 192.168.1.137
nbtscan -v -s : 192.168.1.0/24
Escanea red de clase C Imprime los resultados en formato compatible con secuencias de comandos
usando dos puntos como separador de campo.
Produce resultados como este:
192.168.0.1:NT_SERVER:00U
192.168.0.1:MI_DOMINIO:00G
192.168.0.1:ADMINISTRADOR:03U
192.168.0.2:OTHER_BOX:00U
...
nbtscan -f iplist
Escanea las direcciones IP especificadas en el archivo iplist.
Ver IP:cmd-ipconfig o ipconfig /all
USO :
ipconfig [/? |
/todos | renovar [adaptador] | /liberar [adaptador] |
/flushdns | /displaydns |
/showclassid adaptador |
setclassid adaptador [classid] ]
dónde
adaptador Nombre de conexión
(se permiten caracteres comodín * y ?, ver ejemplos)
Opciones :
/? Mostrar este mensaje de ayuda
/all Mostrar información de configuración completa.
/release Liberar la dirección IP para el adaptador especificado.
/renew Renueva la dirección IP para el adaptador especificado.
/flushdns Purga la caché del solucionador de DNS.
/registerdns Actualiza todas las concesiones de DHCP y vuelve a registrar los nombres de DNS p> p>
/displaydns Muestra el contenido de DNS Resolver Cache.
/showclassid Muestra todos los ID de clase dhcp permitidos para el adaptador.
/setclassid Modifica la clase dhcp id.
El valor predeterminado es mostrar solo la dirección IP, la máscara de subred y
la puerta de enlace predeterminada para cada adaptador vinculado a TCP/IP.
Para versión y Renovar, si no se especifica ningún nombre de adaptador, entonces se liberarán o renovarán las concesiones de dirección IP para todos los adaptadores vinculados a TCP/IP.
Para Setclassid, si no se especifica ningún ClassId , luego se elimina el ClassId.
Ejemplos:
> ipconfig ... Mostrar información.
> ipconfig /all
... Mostrar información detallada
> ipconfig /renew ... renovar todos los adaptadores
> ipconfig /renew EL* ... renovar cualquier conexión que tenga su
nombre que comienza con EL
> ipconfig /release *Con* ... libera todas las conexiones coincidentes,
por ejemplo, "Conexión de área local 1" o