关于arp攻击 50
一直受到arp攻击,从路由的监察已经其物理地址,但该地址不属于局域网内的任何一台计算机,请问有哪种原因会造成这样的情况,另求解决方法。路由只能禁止其访问外网不能阻止内部攻...
一直受到arp攻击,从路由的监察已经其物理地址,但该地址不属于局域网内的任何一台计算机,请问有哪种原因会造成这样的情况,另求解决方法。路由只能禁止其访问外网不能阻止内部攻击,绑定ip也不行。
各位说到重点了,病毒可以伪造假的地址,绑定ip和禁用也没有作用。我那里60多台电脑要一台一台的试那是下下之策,各位除了在路由下功夫,还有其他的软件什么之类的解决途径吗? 展开
各位说到重点了,病毒可以伪造假的地址,绑定ip和禁用也没有作用。我那里60多台电脑要一台一台的试那是下下之策,各位除了在路由下功夫,还有其他的软件什么之类的解决途径吗? 展开
5个回答
展开全部
1、ARP攻击当然不属于任何一台计算机啊!
因为所谓ARP攻击就是通过“伪造IP地址和MAC地址”实现ARP欺骗,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
2、ARP攻击主要是存在于局域网网络中,是你们的局域网中有人感染ARP木马啦。
3、最好的、彻底的解决办法就是找网管,进入路由器拔IP跟MAC绑定...查出把他们的线拔了....硬件级的解决方法....嘿嘿
防御性的解决办法,就是安装360等ARP防火墙,虽然有时候影响点速度,总比没有好很多。
如果你对技术感兴趣,可以看看我发的这个链接——
【补充回答】ARP病毒电脑定位方法
1 命令行法
这种方法比较简便,不利用第三方工具,利用系统自带的ARP命令即可完成。
原理:当局域网中发生ARP欺骗的时候,ARP病毒电脑会向全网不停地发送ARP欺骗广播,这时局域网中的其它电脑就会动态更新自身的ARP缓存表,将网关的MAC地址记录成ARP病毒电脑的MAC地址,这时候我们只要在其它受影响的电脑中查询一下当前网关的MAC地址,就知道中毒电脑的MAC地址了。
方法:
查询命令为 ARP -a,需要在cmd命令提示行下输入。输入后的返回信息如下:
Internet Address Physical Address Type
192.168.0.1 00-50-56-e6-49-56 dynamic
这时,由于这个电脑的ARP表是错误的记录,因此,该MAC地址不是真正网关的MAC地址,而是中毒电脑的MAC地址!这时,再根据网络正常时,全网的IP—MAC地址对照表,查找中毒电脑的IP地址就可以了。由此可见,在网络正常的时候,保存一个全网电脑的IP—MAC地址对照表是多么的重要。可以使用nbtscan 工具扫描全网段的IP地址和MAC地址,保存下来,以备后用。
2 工具软件法
现在网上有很多ARP病毒定位工具,其中做得较好的是Anti ARP Sniffer(现在已更名为ARP防火墙),下面我就演示一下使用Anti ARP Sniffer这个工具软件来定位ARP中毒电脑。
首先打开Anti ARP Sniffer 软件,输入网关的IP地址之后,再点击红色框内的“枚举MAC”按钮,即可获得正确网关的MAC地址。
接着点击“自动保护”按钮,即可保护当前网卡与网关的正常通信。 当局域网中存在ARP欺骗时,该数据包会被Anti ARP Sniffer记录,该软件会以气泡的形式报警。
这时,我们再根据欺骗机的MAC地址,对比查找全网的IP-MAC地址对照表,即可快速定位出中毒电脑。
3 Sniffer 抓包嗅探法
当局域网中有ARP病毒欺骗时,往往伴随着大量的ARP欺骗广播数据包,这时,流量检测机制应该能够很好的检测出网络的异常举动,此时Ethereal 这样的抓包工具就能派上用场。
以上三种方法有时需要结合使用,互相印证,这样可以快速准确的将ARP中毒电脑定位出来。
因为所谓ARP攻击就是通过“伪造IP地址和MAC地址”实现ARP欺骗,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
2、ARP攻击主要是存在于局域网网络中,是你们的局域网中有人感染ARP木马啦。
3、最好的、彻底的解决办法就是找网管,进入路由器拔IP跟MAC绑定...查出把他们的线拔了....硬件级的解决方法....嘿嘿
防御性的解决办法,就是安装360等ARP防火墙,虽然有时候影响点速度,总比没有好很多。
如果你对技术感兴趣,可以看看我发的这个链接——
【补充回答】ARP病毒电脑定位方法
1 命令行法
这种方法比较简便,不利用第三方工具,利用系统自带的ARP命令即可完成。
原理:当局域网中发生ARP欺骗的时候,ARP病毒电脑会向全网不停地发送ARP欺骗广播,这时局域网中的其它电脑就会动态更新自身的ARP缓存表,将网关的MAC地址记录成ARP病毒电脑的MAC地址,这时候我们只要在其它受影响的电脑中查询一下当前网关的MAC地址,就知道中毒电脑的MAC地址了。
方法:
查询命令为 ARP -a,需要在cmd命令提示行下输入。输入后的返回信息如下:
Internet Address Physical Address Type
192.168.0.1 00-50-56-e6-49-56 dynamic
这时,由于这个电脑的ARP表是错误的记录,因此,该MAC地址不是真正网关的MAC地址,而是中毒电脑的MAC地址!这时,再根据网络正常时,全网的IP—MAC地址对照表,查找中毒电脑的IP地址就可以了。由此可见,在网络正常的时候,保存一个全网电脑的IP—MAC地址对照表是多么的重要。可以使用nbtscan 工具扫描全网段的IP地址和MAC地址,保存下来,以备后用。
2 工具软件法
现在网上有很多ARP病毒定位工具,其中做得较好的是Anti ARP Sniffer(现在已更名为ARP防火墙),下面我就演示一下使用Anti ARP Sniffer这个工具软件来定位ARP中毒电脑。
首先打开Anti ARP Sniffer 软件,输入网关的IP地址之后,再点击红色框内的“枚举MAC”按钮,即可获得正确网关的MAC地址。
接着点击“自动保护”按钮,即可保护当前网卡与网关的正常通信。 当局域网中存在ARP欺骗时,该数据包会被Anti ARP Sniffer记录,该软件会以气泡的形式报警。
这时,我们再根据欺骗机的MAC地址,对比查找全网的IP-MAC地址对照表,即可快速定位出中毒电脑。
3 Sniffer 抓包嗅探法
当局域网中有ARP病毒欺骗时,往往伴随着大量的ARP欺骗广播数据包,这时,流量检测机制应该能够很好的检测出网络的异常举动,此时Ethereal 这样的抓包工具就能派上用场。
以上三种方法有时需要结合使用,互相印证,这样可以快速准确的将ARP中毒电脑定位出来。
参考资料: http://btzy.nm.edu.cn/network/NewShow.aspx?newid=28
本回答由网友推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
ARP个人防火墙也有很大缺陷:
1、它不能保证绑定的网关一定是正确的。如果一个网络中已经发生了ARP欺骗,有人在伪造网关,那么,ARP个人防火墙上来就会绑定这个错误的网关,这是具有极大风险的。即使配置中不默认而发出提示,缺乏网络知识的用户恐怕也无所适从。
2 、ARP是网络中的问题,ARP既能伪造网关,也能截获数据,是个“双头怪”。在个人终端上做ARP防范,而不管网关那端如何,这本身就不是一个完整的办法。ARP个人防火墙起到的作用,就是防止自己的数据不会被盗取,而整个网络的问题,如掉线、卡滞等,ARP个人防火墙是无能为力的。
因此,ARP个人防火墙并没有提供可靠的保证。最重要的是,它是跟网络稳定无关的措施,它是个人的,不是网络的。
道高一尺魔高一丈,网络问题必定需要网络的方法去解决。目前,欣全向推广的免疫网络就是彻底解决ARP问题的最实际的方法。
从技术原理上,彻底解决ARP欺骗和攻击,要有三个技术要点。
1、终端对网关的绑定要坚实可靠,这个绑定能够抵制被病毒捣毁。
2、接入路由器或网关要对下面终端IP-MAC的识别始终保证唯一准确。
3、网络内要有一个最可依赖的机构,提供对网关IP-MAC最强大的保护。它既能够分发正确的网关信息,又能够对出现的假网关信息立即封杀。
1、它不能保证绑定的网关一定是正确的。如果一个网络中已经发生了ARP欺骗,有人在伪造网关,那么,ARP个人防火墙上来就会绑定这个错误的网关,这是具有极大风险的。即使配置中不默认而发出提示,缺乏网络知识的用户恐怕也无所适从。
2 、ARP是网络中的问题,ARP既能伪造网关,也能截获数据,是个“双头怪”。在个人终端上做ARP防范,而不管网关那端如何,这本身就不是一个完整的办法。ARP个人防火墙起到的作用,就是防止自己的数据不会被盗取,而整个网络的问题,如掉线、卡滞等,ARP个人防火墙是无能为力的。
因此,ARP个人防火墙并没有提供可靠的保证。最重要的是,它是跟网络稳定无关的措施,它是个人的,不是网络的。
道高一尺魔高一丈,网络问题必定需要网络的方法去解决。目前,欣全向推广的免疫网络就是彻底解决ARP问题的最实际的方法。
从技术原理上,彻底解决ARP欺骗和攻击,要有三个技术要点。
1、终端对网关的绑定要坚实可靠,这个绑定能够抵制被病毒捣毁。
2、接入路由器或网关要对下面终端IP-MAC的识别始终保证唯一准确。
3、网络内要有一个最可依赖的机构,提供对网关IP-MAC最强大的保护。它既能够分发正确的网关信息,又能够对出现的假网关信息立即封杀。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
sniffer 扫描出那台电脑
在路由器上 show arp看下那个MAC对应多个IP 在下联交换机上show mac-a
找到端口, 找到PC干掉他
在连接设备上看日志
在路由器上 show arp看下那个MAC对应多个IP 在下联交换机上show mac-a
找到端口, 找到PC干掉他
在连接设备上看日志
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
现在的arp病毒可厉害了,它会伪装成虚拟的物理地址和mac地址,你当然就查不到了,而且这种病毒arp防火墙都无法查杀到的,建议你还是将网络升级为免疫网络,让每个终端都具有免疫功能,主动防范arp病毒的攻击,并且能在监控中发现哪台电脑在发送攻击,立刻便能查出哪台电脑出问题了,很管用的。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
上面的都说的很清楚了,我也就不重复了,你的ARP攻击只有免疫网络能够解决,通过下发策略的方式,控制下面的电脑的各种上网行为,以为安装免疫驱动,对于ARP病毒数据包的进出都进行检测,并且可以在系统监控中看到是哪些机器发出的病毒攻击,一目了然。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(3)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
您可能需要的服务
百度律临官方认证律师咨询
平均3分钟响应
|
问题解决率99%
|
24小时在线
立即免费咨询律师
11104人正在获得一对一解答
济南夏日炎炎4分钟前提交了问题
天津金色童年5分钟前提交了问题
长沙森林舞者2分钟前提交了问题
