内网遭ARP攻击的问题 100
比较长大家耐心看酒店网络环境比较简单路由H3C下接cisco主交换(买了不到10天),然后通过这个主交换通过光纤接各个楼的下层交换内网网段为192.168.30.0/24...
比较长 大家耐心看
酒店网络环境比较简单 路由H3C下接cisco主交换(买了不到10天),然后通过这个主交换通过光纤接各个楼的下层交换 内网网段为192.168.30.0/24 网关192.168.30.1/24 其中192.168.30.90-192.168.30.220为DHCP地址,是给住店客提供的IP,其余为办公IP 而酒店管理软件服务器地址为150.0.1.0/24 这个段各个收银点包括办公区都要用(我且称之为内网地址,虽然不确切 但为了便于区分) 外网是百兆电信光纤
我们酒店为了方便客户会议需求 买了3台TPLINK无线路由器 以便客人有需要的时候在会议室接上,提供上网
最近半个月,晚上9点-12点左右 经常出现网络瘫痪的情况 具体症状就是:给PC指了这两个网段的地址之后 ping内外网均丢包严重 且收到的数据包延迟也很大 10天内大约出现3次这种情况 前几次由于准备不足 没往攻击方面去想 就建议领导换了一台主交换 因为所有数据包 包括内网150网段通信都要经过这个主交换 而用PC直接接路由器wan口ping外网一点问题没有 因此断定是主交换问题 于是换了个cisco新交换机)
换上之后原本以为没事了 结果昨晚上 又出现相同的情况 因为之前没考虑攻击 所以没准备抓包工具什么的 大约23点的时候恢复正常 这时我就开始怀疑内网攻击问题了 可惜没准备工具没法分析 只能等下一次攻击出现
正巧 就在刚才 各个部门反映内网上不去了(就是150段服务器访问) 系统管理软件登陆不上 我ping了一下各个部门的150网段IP包括服务器IP 发现丢包严重 但是ping外网无丢包 且延迟正常
我用抓包工具抓了一下 发现内网中有一个192.168.1.1地址很可疑 其实抓的这些数据包具体我不会看 但是哪个IP在密集时间内广播大量数据包这还是很明显就能看出来的 我马上将自己PC的IP改为192.168.1.2 网关指为192.168.1.1 结果360马上提示拦截ARP攻击 还有DNS欺骗攻击 我按照360提示的信息进路由器找这台攻击源没有找到 流量监控列表中没有匹配的mac地址 但是192.168.1.1这个地址 是我们经常给无线路由指的网关 于是就在IE里访问了一下这个地址 发现确实是无线路由器web设置界面 将DHCP功能关闭之后 各个部门反映恢复正常
现在问题来了:
1.ARP攻击的原理是什么?DNS欺骗攻击又是什么?
2.遭受ARP攻击 为何ping内网丢包严重 ping外网没事?
3.ARP攻击源到底怎么找?这个无线路由器真的是ARP攻击源吗?他是怎么被劫持的?是从外网攻进来然后劫持此路由器 还是内网某台PC搞的鬼?还有 如果内网中无线路由接错口了 比如开着DHPC功能而将wan线插到lan口上 这也属于ARP攻击吗?
4.如何杜绝ARP攻击?
下面附图
这是抓包图
这是360拦截图 展开
酒店网络环境比较简单 路由H3C下接cisco主交换(买了不到10天),然后通过这个主交换通过光纤接各个楼的下层交换 内网网段为192.168.30.0/24 网关192.168.30.1/24 其中192.168.30.90-192.168.30.220为DHCP地址,是给住店客提供的IP,其余为办公IP 而酒店管理软件服务器地址为150.0.1.0/24 这个段各个收银点包括办公区都要用(我且称之为内网地址,虽然不确切 但为了便于区分) 外网是百兆电信光纤
我们酒店为了方便客户会议需求 买了3台TPLINK无线路由器 以便客人有需要的时候在会议室接上,提供上网
最近半个月,晚上9点-12点左右 经常出现网络瘫痪的情况 具体症状就是:给PC指了这两个网段的地址之后 ping内外网均丢包严重 且收到的数据包延迟也很大 10天内大约出现3次这种情况 前几次由于准备不足 没往攻击方面去想 就建议领导换了一台主交换 因为所有数据包 包括内网150网段通信都要经过这个主交换 而用PC直接接路由器wan口ping外网一点问题没有 因此断定是主交换问题 于是换了个cisco新交换机)
换上之后原本以为没事了 结果昨晚上 又出现相同的情况 因为之前没考虑攻击 所以没准备抓包工具什么的 大约23点的时候恢复正常 这时我就开始怀疑内网攻击问题了 可惜没准备工具没法分析 只能等下一次攻击出现
正巧 就在刚才 各个部门反映内网上不去了(就是150段服务器访问) 系统管理软件登陆不上 我ping了一下各个部门的150网段IP包括服务器IP 发现丢包严重 但是ping外网无丢包 且延迟正常
我用抓包工具抓了一下 发现内网中有一个192.168.1.1地址很可疑 其实抓的这些数据包具体我不会看 但是哪个IP在密集时间内广播大量数据包这还是很明显就能看出来的 我马上将自己PC的IP改为192.168.1.2 网关指为192.168.1.1 结果360马上提示拦截ARP攻击 还有DNS欺骗攻击 我按照360提示的信息进路由器找这台攻击源没有找到 流量监控列表中没有匹配的mac地址 但是192.168.1.1这个地址 是我们经常给无线路由指的网关 于是就在IE里访问了一下这个地址 发现确实是无线路由器web设置界面 将DHCP功能关闭之后 各个部门反映恢复正常
现在问题来了:
1.ARP攻击的原理是什么?DNS欺骗攻击又是什么?
2.遭受ARP攻击 为何ping内网丢包严重 ping外网没事?
3.ARP攻击源到底怎么找?这个无线路由器真的是ARP攻击源吗?他是怎么被劫持的?是从外网攻进来然后劫持此路由器 还是内网某台PC搞的鬼?还有 如果内网中无线路由接错口了 比如开着DHPC功能而将wan线插到lan口上 这也属于ARP攻击吗?
4.如何杜绝ARP攻击?
下面附图
这是抓包图
这是360拦截图 展开
展开全部
1、DNS欺骗是指的比如你去访问A网站自动跳到了B网站
如:你访问www.baidu.com的时候这个页面就会跳到其他的网站上,一般是钓鱼网站什么的
2、看你的情况应该是内部问题,内部出现错误,有可能是某台机器下载流量过大,造成了ARP其实一般下载造成攻击的很多,你可以下载个软件监控下局域网的流量
3、ARP的攻击源可以伪装的,比如说MAC地址伪装,不容易去找,有的不会是故意去伪装而是病毒攻击的
4、每台机器都可以建议安装个ARP防火墙什么的,有免费的或者是绿色版的这个你自己找去,360的有广告
如:你访问www.baidu.com的时候这个页面就会跳到其他的网站上,一般是钓鱼网站什么的
2、看你的情况应该是内部问题,内部出现错误,有可能是某台机器下载流量过大,造成了ARP其实一般下载造成攻击的很多,你可以下载个软件监控下局域网的流量
3、ARP的攻击源可以伪装的,比如说MAC地址伪装,不容易去找,有的不会是故意去伪装而是病毒攻击的
4、每台机器都可以建议安装个ARP防火墙什么的,有免费的或者是绿色版的这个你自己找去,360的有广告
本回答由网友推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
Storm代理
2023-07-25 广告
StormProxies是一家国内优质海外HTTP代理商,拥有一个庞大的IP资源池,覆盖200多个地区,IP数量大且匿名度高。其优点还包括超高并发、稳定高效、技术服务等特点,同时提供HTTP、HTTPS以及SOCKS5协议支持。此外,Sto...
点击进入详情页
本回答由Storm代理提供
展开全部
虽然我不知道什么原理,但是我知道你的这个情况我知道,因为一个局域网内接入两个或者两个以上相同IP的路由就会有此情况,建议更改路由IP
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
好吧现象太多了 头晕眼花
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
360不是有防止arp攻击的功能吗
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
发你QQ 我语音告诉你,打字说不清楚
追问
839623644 ARP很复杂吗?
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(3)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
