局域网有ARP攻击,怎么办?
最近总感觉公司网络有点异常,上网速度开始变慢,我用抓包工具抓流量分析发现有些电脑在大量发ARP广播,在那几台电脑上装了ARP防火墙,杀毒杀木马,可还是有内网攻击。相关专家...
最近总感觉公司网络有点异常,上网速度开始变慢,我用抓包工具抓流量分析发现有些电脑在大量发ARP广播,在那几台电脑上装了ARP防火墙,杀毒杀木马,可还是有内网攻击。 相关专家帮忙解决下。
展开
38个回答
展开全部
开始——运行,输入“regedit”,回车,通过“注册表——查找”,输入“AntiARP”,一个一个删除“AntiARP”注册表信息。
或:
根据ARP攻击原理:删除调用系统里的npptools.dll文件。如果你把这个DLL文件删除了,之后随便弄个DLL改名为npptools.dll即可。
如果C盘是NTFS分区格式就把权限都去掉,如果是FAT格式弄个只读就可以了。
防攻击文件:C:\WINDOWS\system32\
npptools.dll
处理方法:新建一个空文本文档,改名为npptools.dll然后把它复制到system32文件夹里,覆盖原有的npptools.dll,如果没关闭文件保护,先关闭。再把system32\dllcache里的npptools.dll也覆盖了,然后把它们的属性改为只读、隐藏,最后再把它们的everyone权限都去掉,即可!
npptools.dll文件的属性改为只读、隐藏后,再把它们的everyone的权限去掉,病毒就不能替换也不能使用它了,arp就不会起作用,从而达到防范ARP的目的。
或:
根据ARP攻击原理:删除调用系统里的npptools.dll文件。如果你把这个DLL文件删除了,之后随便弄个DLL改名为npptools.dll即可。
如果C盘是NTFS分区格式就把权限都去掉,如果是FAT格式弄个只读就可以了。
防攻击文件:C:\WINDOWS\system32\
npptools.dll
处理方法:新建一个空文本文档,改名为npptools.dll然后把它复制到system32文件夹里,覆盖原有的npptools.dll,如果没关闭文件保护,先关闭。再把system32\dllcache里的npptools.dll也覆盖了,然后把它们的属性改为只读、隐藏,最后再把它们的everyone权限都去掉,即可!
npptools.dll文件的属性改为只读、隐藏后,再把它们的everyone的权限去掉,病毒就不能替换也不能使用它了,arp就不会起作用,从而达到防范ARP的目的。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
上海国想
2024-12-02 广告
作为上海国想科技发展有限公司的工作人员,处理服务器勒索病毒的方法包括:首先,立即断开与外部网络的连接,停止共享文件夹的使用,以防止病毒扩散。其次,进行全面的检查和检测,使用专业的安全工具或第三方安全服务进行病毒检测,并评估攻击的影响范围和严...
点击进入详情页
本回答由上海国想提供
展开全部
大量发ARP广播. 是不是ARP攻击关键就要看这个广播报是什么内容。
是不是一个欺骗包。
如果是一个欺骗包,并且是广播的,那么就看看源MAC地址,注意的是ARP包有两个MAC源地址,你还要看看是不是一样。然后看看 包了的源IP地址。是谁?
如果确定是一个欺骗包 那么 会造成2种现象
1,全网都PING不通网关 或者是 延迟大
2,网内有一台主机与所有主机失去联系。或者是延迟巨大
延迟大不掉线 那说明 数据报经过了攻击者的机器 攻击者从而抓包限速
你可以结合 有故障的PC的ARP 缓存表 路由器ARp 缓存表 和交换 的CAM 表 对照 来看 。
如果你的路由又ARP邦定功能,那么你可以做双向的邦定。
PC上的用 批处理 也可以 。
@echo off
if exist ipconfig.txt del ipconfig.txt
ipconfig /all >ipconfig.txt
if exist GateIP.txt del GateIP.txt
find "Default Gateway" ipconfig.txt >GateIP.txt
for /f "skip=2 tokens=13" %%G in (GateIP.txt) do set GateIP=%%G
ping %GateIP% -n 1
if exist GateMac.txt del GateMac.txt
arp -a %GateIP% >GateMac.txt
for /f "skip=3 tokens=2" %%H in (GateMac.txt) do set GateMac=%%H
arp -s %GateIP% %GateMac%
del GateIP.txt
del GateMac.txt
del ipconfig.txt
exit
是不是一个欺骗包。
如果是一个欺骗包,并且是广播的,那么就看看源MAC地址,注意的是ARP包有两个MAC源地址,你还要看看是不是一样。然后看看 包了的源IP地址。是谁?
如果确定是一个欺骗包 那么 会造成2种现象
1,全网都PING不通网关 或者是 延迟大
2,网内有一台主机与所有主机失去联系。或者是延迟巨大
延迟大不掉线 那说明 数据报经过了攻击者的机器 攻击者从而抓包限速
你可以结合 有故障的PC的ARP 缓存表 路由器ARp 缓存表 和交换 的CAM 表 对照 来看 。
如果你的路由又ARP邦定功能,那么你可以做双向的邦定。
PC上的用 批处理 也可以 。
@echo off
if exist ipconfig.txt del ipconfig.txt
ipconfig /all >ipconfig.txt
if exist GateIP.txt del GateIP.txt
find "Default Gateway" ipconfig.txt >GateIP.txt
for /f "skip=2 tokens=13" %%G in (GateIP.txt) do set GateIP=%%G
ping %GateIP% -n 1
if exist GateMac.txt del GateMac.txt
arp -a %GateIP% >GateMac.txt
for /f "skip=3 tokens=2" %%H in (GateMac.txt) do set GateMac=%%H
arp -s %GateIP% %GateMac%
del GateIP.txt
del GateMac.txt
del ipconfig.txt
exit
本回答被网友采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
解决此问题的步骤如下:
第一,在防火墙上绑定IP/MAC;第二,用网络版的ARP防火墙;第三,在每台机子上采用双向绑定的方法解决并且防止ARP欺骗。
1、在PC上绑定安全网关的IP和MAC地址:
首先,获得安全网关的内网的MAC地址
(例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa)。
编写一个批处理文件rarp.bat内容如下:
@echo
off
arp
-d
arp
-s
192.168.16.254
00-22-aa-00-22-aa
arp
-s
192.168.16.2
00-33-hh-00-pp-66
以为批处理文件用来用来绑定网关和绑定本机地址
将文件中的网关IP地址和MAC地址更改为你实际使用的网关IP地址和MAC地址即可。
将这个批处理软件拖到“windows开始程序启动”中。
经过此三个步骤,ARP攻击就离我们远去了。
第一,在防火墙上绑定IP/MAC;第二,用网络版的ARP防火墙;第三,在每台机子上采用双向绑定的方法解决并且防止ARP欺骗。
1、在PC上绑定安全网关的IP和MAC地址:
首先,获得安全网关的内网的MAC地址
(例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa)。
编写一个批处理文件rarp.bat内容如下:
@echo
off
arp
-d
arp
-s
192.168.16.254
00-22-aa-00-22-aa
arp
-s
192.168.16.2
00-33-hh-00-pp-66
以为批处理文件用来用来绑定网关和绑定本机地址
将文件中的网关IP地址和MAC地址更改为你实际使用的网关IP地址和MAC地址即可。
将这个批处理软件拖到“windows开始程序启动”中。
经过此三个步骤,ARP攻击就离我们远去了。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
360ARP防火墙,可以缓解一下攻击,最好的办法是访问路由器,在其中设置IP地址和Mac地址绑定,这样ARP攻击就无效了。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
你是用户就把360防火墙制止ARP攻击的选上,如果你是网管就用扫描软件找出攻击源,然后在路由器上完全锁住其ip和mac地址,制止其上网
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(36)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
