怎样查找arp攻击源?
我们单位最近几天遭受了arp断网攻击,我在第一时间给几乎所有电脑开启了arp防护,但是仍然有部分电脑上不了网。1,我们单位有一台路由器,下面是2个交换机,每一个部门只有一...
我们单位最近几天遭受了arp断网攻击,我在第一时间给几乎所有电脑开启了arp防护,但是仍然有部分电脑上不了网。
1,我们单位有一台路由器,下面是2个交换机,每一个部门只有一根线连着交换机,部门之间的电脑大多用路由器(也有无线的)连接。基本上是一个部室所有电脑都上不了网,要么就都能上;不能上网的部室已经开启了arp防护,但是还是上不了网。
2、我下载了彩影arp防火墙单机版的,用它获取了网内几乎所有电脑的ip地址以及mac地址,又手动补充了部分电脑的ip和mac,可以说网内的电脑都已经知道ip和mac地址了。
我在这里请教下高手:
1、怎样利用上述已掌握的数据来查出arp攻击源?(不要说拔网线之类的,电脑比较多)。
2、中毒的电脑在攻击时,是否会在监控软件上显示两个mac地址?因为我看到了两个相同的mac地址,其中一个肯定是假的,也就是中毒的机子发出来的伪装mac地址,而我又是实实在在一个电脑一个电脑手动以命令提示符的方式查找的ip和mac,这个数据肯定是真的。是不是中毒的电脑在攻击时在保持正确的ip和mac的基础上,另发送假的信息???
请各位大侠赐教~~ 展开
1,我们单位有一台路由器,下面是2个交换机,每一个部门只有一根线连着交换机,部门之间的电脑大多用路由器(也有无线的)连接。基本上是一个部室所有电脑都上不了网,要么就都能上;不能上网的部室已经开启了arp防护,但是还是上不了网。
2、我下载了彩影arp防火墙单机版的,用它获取了网内几乎所有电脑的ip地址以及mac地址,又手动补充了部分电脑的ip和mac,可以说网内的电脑都已经知道ip和mac地址了。
我在这里请教下高手:
1、怎样利用上述已掌握的数据来查出arp攻击源?(不要说拔网线之类的,电脑比较多)。
2、中毒的电脑在攻击时,是否会在监控软件上显示两个mac地址?因为我看到了两个相同的mac地址,其中一个肯定是假的,也就是中毒的机子发出来的伪装mac地址,而我又是实实在在一个电脑一个电脑手动以命令提示符的方式查找的ip和mac,这个数据肯定是真的。是不是中毒的电脑在攻击时在保持正确的ip和mac的基础上,另发送假的信息???
请各位大侠赐教~~ 展开
5个回答
展开全部
我来试着帮你解决下:
原因分析:1.有时所有机器能上网是因为病毒没有攻击路由;开启arp防护后,病毒攻击路由时你不能上网的原因是病毒机发出的攻击包堵塞正常的网络,导致部分机器不能上网,即使开了防护也是没用。
2.彩影单机版不适应网络管理,不过使用彩影可以查找病原机还是可以的。
回答你的问题:
1.彩影配合路由器可以查找病原机。当病毒发作时在一般情况下,彩影arp防火墙报警,通过路由知道所在机器的mac及ip地址,发包多的机器一定有问题。对该机进行屏蔽上网。特殊情况下,ip、mac全部是伪造的,但你如果确定是中毒而不是人为的话,让大家看网络连接(右下图标)谁的机器发送大于收到n倍甚至N更高时可以初步判断该机是病原机(不排除多个病原机)。(另,所有上不了网的机器都不是病原机,恰恰是能上网的才有问题)
2.的确,病毒机攻击时,你看到2个相同甚至全不同的mac,其中必有伪造的,用上述说的,网络连接发送远远大于收到的必是病毒机
3.拔掉病毒机的网线,重启路由,基本可正常上网,如果一段时间内网络还有问题,利用上述方法可排除下一台,直到查找到n的病源机。
4.处理病源机重做系统一般情况是可以的,但不排除其他盘符下隐藏的病毒。小心处理!
原因分析:1.有时所有机器能上网是因为病毒没有攻击路由;开启arp防护后,病毒攻击路由时你不能上网的原因是病毒机发出的攻击包堵塞正常的网络,导致部分机器不能上网,即使开了防护也是没用。
2.彩影单机版不适应网络管理,不过使用彩影可以查找病原机还是可以的。
回答你的问题:
1.彩影配合路由器可以查找病原机。当病毒发作时在一般情况下,彩影arp防火墙报警,通过路由知道所在机器的mac及ip地址,发包多的机器一定有问题。对该机进行屏蔽上网。特殊情况下,ip、mac全部是伪造的,但你如果确定是中毒而不是人为的话,让大家看网络连接(右下图标)谁的机器发送大于收到n倍甚至N更高时可以初步判断该机是病原机(不排除多个病原机)。(另,所有上不了网的机器都不是病原机,恰恰是能上网的才有问题)
2.的确,病毒机攻击时,你看到2个相同甚至全不同的mac,其中必有伪造的,用上述说的,网络连接发送远远大于收到的必是病毒机
3.拔掉病毒机的网线,重启路由,基本可正常上网,如果一段时间内网络还有问题,利用上述方法可排除下一台,直到查找到n的病源机。
4.处理病源机重做系统一般情况是可以的,但不排除其他盘符下隐藏的病毒。小心处理!
本回答由提问者推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
Storm代理
2023-08-29 广告
"StormProxies是全球大数据IP资源服务商,其住宅代理网络由真实的家庭住宅IP组成,可为企业或个人提供满足各种场景的代理产品。点击免费测试(注册即送1G流量)StormProxies有哪些优势?1、IP+端口提取形式,不限带宽,I...
点击进入详情页
本回答由Storm代理提供
展开全部
360ARP防火墙,可以缓解一下攻击,最好的办法是访问路由器,在其中设置IP地址和Mac地址绑定,这样ARP攻击就无效了,祝你早日解决问题。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
抓包试试,或者攻击前后查看mac缓存
更多追问追答
追问
具体怎样做?我也是被迫才查的,电信不负责,来的技术人员说给我们换个带防护功能的路由器。。。
追答
用抓包工具可以查看通过你电脑的所有数据,arp攻击源肯定会对你发送大量欺骗信息;这样一眼就看出来了
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
arp攻击虽然是内网攻击,不过是那台机子中毒了才会攻击你的对不对。
下载一个怕p2p软件,查看。
这个时候,你检查内网的mac地址就好了。
下载一个怕p2p软件,查看。
这个时候,你检查内网的mac地址就好了。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(3)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
