1.獲取同一網(wǎng)段下所有機(jī)器MAC地址的辦法

機(jī)房有機(jī)器中毒，發(fā)arp包，通過arpspoof雖然可以解決，也可以找到中毒機(jī)器的mac地址，但在機(jī)房設(shè)備不足的情況下，很難查到mac地址對應(yīng)的IP。然后我們可以通過一個循環(huán)，使用arping來對整個子網(wǎng)下面的機(jī)器發(fā)一個包，這樣就可以在arp下面查看到相應(yīng)的mac緩存，進(jìn)而得到對

應(yīng)的IP地址。

#!/bin/sh

#感謝作者:吳洪聲

for ((i = 1; i < 254; i++))

do

arping -I eth0 60.191.82.$i -c 1

done

arp -a > mac_table

腳本跑完后，查看當(dāng)前目錄生成的mac_table。

#arp -a 查找你中毒時網(wǎng)關(guān)的MAC地址，并記錄下來在mac_table里尋找到相對應(yīng)的機(jī)器，仍后就可以找出那臺機(jī)器感染了ARP病毒。

2.#提供方案原創(chuàng)者:yk103,在此表示感謝!

先安裝libnet

http://www.packetfactory.net/libnet/dist/libnet.tar.gz

tar -xvzf libnet.tar.gz

cd libnet

./configure

make

make install

安裝arpoison

http://www.arpoison.net/arpoison-0.6.tar.gz

tar -xvzf arpoison-0.6.tar.gz

cd arpoison

gcc arpoison.c /usr/lib/libnet.a -o arpoison

mv arpoison /usr/sbin

編寫arpDefend.sh腳本.

#!bash

#arpDefend.sh

#yk103

#網(wǎng)關(guān)mac地址

GATEWAY_MAC=00:11:BB:A5:D2:40

#目的mac地址

DEST_MAC=ff:ff:ff:ff:ff:ff

#目的ip地址(網(wǎng)段廣播地址)

DEST_IP=60.191.82.254

#本地網(wǎng)卡接口

INTERFACE=eth0

#$INTERFACE的mac地址

MY_MAC=00:30:48:33:F0:BA

#$INTERFACE的ip地址

MY_IP=60.191.82.247

#在本機(jī)建立靜態(tài)ip/mac入口 $DEST_IP--$GATEWAY_MAC

arp -s $DEST_IP $GATEWAY_MAC

#發(fā)送arp reply ,使$DEST_IP更新$MY_IP的mac地址為$MY_MAC

arpoison -i $INTERFACE -d $DEST_IP -s $MY_IP -t $DEST_MAC -r $MY_MAC 1>/dev/null &