内网ARP攻击问题
最近总是被ARP攻击,可是360追查不到具体的IP地址,而且360里还没有拦截记录。我把MAC反映给网管,网管查询却无此MAC,这是什么情况呢?有没有可能是用户中毒了还是...
最近总是被ARP攻击,可是360追查不到具体的IP地址,而且360里还没有拦截记录。我把MAC反映给网管,网管查询却无此MAC,这是什么情况呢?有没有可能是用户中毒了还是其他的什么原因。还有就是我虽然被攻击但是还是可以上网。且攻击MAC和我的MAC只差一个数字。。有这种可能吗?求达人解答
展开
6个回答
展开全部
首先我不建议你用单机版防火墙来做这个工作,因为他做不到。原因如下360防火墙实际就是在客户端做了一个ARP的单项的绑定,如果是一般的ARP还有一定的效果如果遇到的是ARP欺骗那就没有任何的效果了,因为网络中根本就没有这样的IP存在弄起来就很烦了。所以你也追查不到任何的结果。你可以看一下下面的方法解决内网攻击的问题,保证你可以找到原因,我拿ARP来说。。
看到你的问题我认为是ARP爆发的可能性比较大,你说的彩影的防火墙拦截这点是没有多大的实际的效果的。你知道单机的防火墙主要干的活是什么吗?主要做的就是客户机绑定网关,如果碰到了二代的ARP彩影的单机防火墙也是没有任何效果了。你可以看看ARP的最有效的解决办法是什么:
arp在目前看来可以分为7中之多。
1、arp欺骗(网关、pc)
2、arp攻击
3、arp残缺
4、海量arp
5、二代arp(假ip、假mac)
因为二代的arp最难解决,现在我就分析一下二代arp的问题。
现象 ARP出现了新变种,二代ARP攻击已经具有自动传播能力,已有的宏文件绑定方式已经被破,网络有面临新一轮的掉线和卡滞盗号的影响!
原理 二代ARP主要表现在病毒通过网络访问或是主机间的访问互相传播。由于病毒已经感染到电脑主机,可以轻而易举的清除掉客户机电脑上的ARP静态绑定(首先执行的是arp -d然后在执行的是arp -s ,此时绑定的是一个错误的MAC)伴随着绑定的取消,错误的网关IP和MAC的对应并可以顺利的写到客户机电脑,ARP的攻击又畅通无阻了。
解决办法 (1)部分用户采用的“双/单项绑定”后,ARP攻击得到了一定的控制。
面临问题双绑和单绑都需要在客户机上绑定。二代ARP攻击会清除电脑上的绑定,使得电脑静态绑定的方式无效。
(2)部分用户采用一种叫作“循环绑定”的办法,就是每过一段“时间”客户端自动绑定一个“IP/MAC”。
面临问题如果我们“循环绑定”的时间较长(比arp清除的时间长)就是说在“循环绑定”进行第二次绑定之前就被清除了,这样对arp的防范仍然无效。如果“循环绑定”的时间过短(比arp清除时间短)这块就会暂用更多的系统资源,这样就是“得不偿失”
(3)部分用户采用一种叫作“arp防护”,就是网关每过一段时间按照一定的“频率”在内网发送正确网关“IP/MAC”
面临问题如果发送的“频率”过快(每秒发送的ARP多)就会严重的消耗内网的资源(容易造成内网的堵塞),如果发送“频率”太慢(没有arp协议攻击发出来频率高)在arp防范上面没有丝毫的作用。
最彻底的办法
(4)arp是个“双头怪”要想彻底解决必须要“首尾兼顾”有两种方式可以实现
第一 采用“看守式绑定”的方法,实时监控电脑ARP缓存,确保缓存内网关MAC和IP的正确对应。在arp缓存表里会有一个静态的绑定,如果受到arp的攻击,或只要有公网的请求时,这个静态的绑定又会自动的跳出,所以并不影响网络的正确的访问。这种方式是安全与网卡功能融合的一种表现,也叫作“终端抑制”
第二就是在网络接入架构上要有“安全和网络功能的融合”就是在接入网关做NAT的时候不是按照传统路由那样根据“MAC/IP”映射表来转发数据,而是根据他们在NAT表中的MAC来确定(这样就会是只要数据可以转发出去就一定可以回来)就算ARP大规模的爆发,arp表也混乱了但是并不会给我们的网络造成任何影响。(不看IP/MAC映射表)这种方法在现有控制ARP中也是最彻底的。也被称为是“免疫网络”的重要特征。
目前看只有巡路免疫网络具备此项特殊功能表现。
看到你的问题我认为是ARP爆发的可能性比较大,你说的彩影的防火墙拦截这点是没有多大的实际的效果的。你知道单机的防火墙主要干的活是什么吗?主要做的就是客户机绑定网关,如果碰到了二代的ARP彩影的单机防火墙也是没有任何效果了。你可以看看ARP的最有效的解决办法是什么:
arp在目前看来可以分为7中之多。
1、arp欺骗(网关、pc)
2、arp攻击
3、arp残缺
4、海量arp
5、二代arp(假ip、假mac)
因为二代的arp最难解决,现在我就分析一下二代arp的问题。
现象 ARP出现了新变种,二代ARP攻击已经具有自动传播能力,已有的宏文件绑定方式已经被破,网络有面临新一轮的掉线和卡滞盗号的影响!
原理 二代ARP主要表现在病毒通过网络访问或是主机间的访问互相传播。由于病毒已经感染到电脑主机,可以轻而易举的清除掉客户机电脑上的ARP静态绑定(首先执行的是arp -d然后在执行的是arp -s ,此时绑定的是一个错误的MAC)伴随着绑定的取消,错误的网关IP和MAC的对应并可以顺利的写到客户机电脑,ARP的攻击又畅通无阻了。
解决办法 (1)部分用户采用的“双/单项绑定”后,ARP攻击得到了一定的控制。
面临问题双绑和单绑都需要在客户机上绑定。二代ARP攻击会清除电脑上的绑定,使得电脑静态绑定的方式无效。
(2)部分用户采用一种叫作“循环绑定”的办法,就是每过一段“时间”客户端自动绑定一个“IP/MAC”。
面临问题如果我们“循环绑定”的时间较长(比arp清除的时间长)就是说在“循环绑定”进行第二次绑定之前就被清除了,这样对arp的防范仍然无效。如果“循环绑定”的时间过短(比arp清除时间短)这块就会暂用更多的系统资源,这样就是“得不偿失”
(3)部分用户采用一种叫作“arp防护”,就是网关每过一段时间按照一定的“频率”在内网发送正确网关“IP/MAC”
面临问题如果发送的“频率”过快(每秒发送的ARP多)就会严重的消耗内网的资源(容易造成内网的堵塞),如果发送“频率”太慢(没有arp协议攻击发出来频率高)在arp防范上面没有丝毫的作用。
最彻底的办法
(4)arp是个“双头怪”要想彻底解决必须要“首尾兼顾”有两种方式可以实现
第一 采用“看守式绑定”的方法,实时监控电脑ARP缓存,确保缓存内网关MAC和IP的正确对应。在arp缓存表里会有一个静态的绑定,如果受到arp的攻击,或只要有公网的请求时,这个静态的绑定又会自动的跳出,所以并不影响网络的正确的访问。这种方式是安全与网卡功能融合的一种表现,也叫作“终端抑制”
第二就是在网络接入架构上要有“安全和网络功能的融合”就是在接入网关做NAT的时候不是按照传统路由那样根据“MAC/IP”映射表来转发数据,而是根据他们在NAT表中的MAC来确定(这样就会是只要数据可以转发出去就一定可以回来)就算ARP大规模的爆发,arp表也混乱了但是并不会给我们的网络造成任何影响。(不看IP/MAC映射表)这种方法在现有控制ARP中也是最彻底的。也被称为是“免疫网络”的重要特征。
目前看只有巡路免疫网络具备此项特殊功能表现。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
Storm代理
2023-07-25 广告
StormProxies是一家国内优质海外HTTP代理商,拥有一个庞大的IP资源池,覆盖200多个地区,IP数量大且匿名度高。其优点还包括超高并发、稳定高效、技术服务等特点,同时提供HTTP、HTTPS以及SOCKS5协议支持。此外,Sto...
点击进入详情页
本回答由Storm代理提供
展开全部
ARP攻击是以太网协议先漏洞产生的底层协议攻击,他不同于单机病毒会有种
种现象供我们查杀。因为他主要工作在数据链路层和第三层之间,而杀毒软件一般工
作在应用层,所以根本无法查杀它们,向360提供的发现ARP攻击被拦截,它发现的是
攻击信息,拦截的是攻击信息,是为了告诉人们你或者整个局域网被ARP攻击了,他
拦截的不是攻击。只是攻击时的虚假地址信息,因为这个虚假信息在内网中根本就不
存在,所以我们也就没办法知道是谁被攻击或者是谁发起的攻击。
那么 怎么彻底解决ARP协议攻击呢?想要彻底解决他那么只有解决以太网协议的
先天漏洞,毕竟咱们所有的网络都是跑在以太网上面的,只有解决了以太网协议漏洞
,才能根除各种协议攻击。因为ARP协议攻击给我们造成的损失时无法预测的,目前
的一些简单的现象就可以体现出ARP攻击的威胁有多大,比如掉线、卡网速慢,VPN连
接不通畅,视频会议不清晰,更甚至导致电脑机密资源和账号被盗取,比以往的木马
什么的单机病毒威胁更大、更严重。因为你的资源被窃取了有可能自己都不知道,他
不向木马病毒你可以查杀到他,协议攻击是无法看到的。
很可能你们对“免疫网络”还不知道是怎么一回事,你可以先体会下“免疫”这个词
语就是以自己本身的防御力为主。只有自己的免疫增强了才能抵御外界的病毒侵害,
如果想详细了解“免疫网络”你可以联系下北京欣全向科技有限公司,该公司的巡路
免疫网络解决方案完全是针为用户打造免疫网络,而研发的方案。
种现象供我们查杀。因为他主要工作在数据链路层和第三层之间,而杀毒软件一般工
作在应用层,所以根本无法查杀它们,向360提供的发现ARP攻击被拦截,它发现的是
攻击信息,拦截的是攻击信息,是为了告诉人们你或者整个局域网被ARP攻击了,他
拦截的不是攻击。只是攻击时的虚假地址信息,因为这个虚假信息在内网中根本就不
存在,所以我们也就没办法知道是谁被攻击或者是谁发起的攻击。
那么 怎么彻底解决ARP协议攻击呢?想要彻底解决他那么只有解决以太网协议的
先天漏洞,毕竟咱们所有的网络都是跑在以太网上面的,只有解决了以太网协议漏洞
,才能根除各种协议攻击。因为ARP协议攻击给我们造成的损失时无法预测的,目前
的一些简单的现象就可以体现出ARP攻击的威胁有多大,比如掉线、卡网速慢,VPN连
接不通畅,视频会议不清晰,更甚至导致电脑机密资源和账号被盗取,比以往的木马
什么的单机病毒威胁更大、更严重。因为你的资源被窃取了有可能自己都不知道,他
不向木马病毒你可以查杀到他,协议攻击是无法看到的。
很可能你们对“免疫网络”还不知道是怎么一回事,你可以先体会下“免疫”这个词
语就是以自己本身的防御力为主。只有自己的免疫增强了才能抵御外界的病毒侵害,
如果想详细了解“免疫网络”你可以联系下北京欣全向科技有限公司,该公司的巡路
免疫网络解决方案完全是针为用户打造免疫网络,而研发的方案。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
我遇到过你的问题,以为是系统中病毒了、重装系统、病毒又查不出来,电脑经常打不开网页,这个是arp问题。就是你中了arp欺骗下面的机器不知道那个才是网关的真实ip和mac所以才打不开网页。
分析问题原因:
首先排除硬件问题可以使用
1.中了arp攻击或欺骗
2.或者是别人下载抢占带宽了,导致你网页打不开
解决办法:
1、在你上不去的电脑上arp -a一下,看看获取到的MAC和IP和网关mac和ip是否一致!
2、如果不一致,检查网络里面是否有这个MAC-IP的路由设备,或者通过抓包找出发起arp攻击的IP
3、通过一些arp检查工具查找攻击源,找出后重做系统(发arp的机器未必是上不去网的哦)
4.看看内网是否有人恶意抢占带宽
原理:
我个人认为这些问题都是由于底层漏洞出的问题例如(arp\udp\tcp syn)都会造成你所说的现象。
一些传统的360卫士、arp防火墙,杀毒软件我都试过了也都不行。
最后我是通过免疫网络彻底的解决了网络底层问题,这东西网上有很多,但好像只有一个叫巡路的在做,而且还有免费的。
分析问题原因:
首先排除硬件问题可以使用
1.中了arp攻击或欺骗
2.或者是别人下载抢占带宽了,导致你网页打不开
解决办法:
1、在你上不去的电脑上arp -a一下,看看获取到的MAC和IP和网关mac和ip是否一致!
2、如果不一致,检查网络里面是否有这个MAC-IP的路由设备,或者通过抓包找出发起arp攻击的IP
3、通过一些arp检查工具查找攻击源,找出后重做系统(发arp的机器未必是上不去网的哦)
4.看看内网是否有人恶意抢占带宽
原理:
我个人认为这些问题都是由于底层漏洞出的问题例如(arp\udp\tcp syn)都会造成你所说的现象。
一些传统的360卫士、arp防火墙,杀毒软件我都试过了也都不行。
最后我是通过免疫网络彻底的解决了网络底层问题,这东西网上有很多,但好像只有一个叫巡路的在做,而且还有免费的。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
ARP就是向网络中发送大量虚假的数据包,包括假ip、假mac甚至IP和MAC都是假的,因此360得到的可能是假的,因此要想准确定位,就要得到准确的信息,要得到准确的信息就要从网卡上直接读取,然后根据读取的数据对发出的数据包进行检查,拦截虚假的数据包,保证发往网络的数据包的真实性
本回答被提问者和网友采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
ARP攻击360是解决不了的,你这是MAC欺骗,你还能上网那是对你的恩赐了哦,你得赶快解决,不要等到你全网瘫痪才去搞了,你可以去试试巡路内网安全解决方案,这个可以解决你的问题。并且还能清晰的给显示攻击源。。。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(4)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
