怎样解决ARP欺骗
来源:学生作业帮助网 编辑:六六作业网 时间:2024/11/22 13:16:27
怎样解决ARP欺骗
怎样解决ARP欺骗
怎样解决ARP欺骗
安装arp防火墙
局域网ARP欺骗的应对
一、故障现象及原因分析
情况一、当局域网内某台主机感染了ARP病毒时,会向本局域网内(指某一网段,比如:10.10.75.0这一段)所有主机发送ARP欺骗攻击谎称自己是这个网端的网关设备,让原本流向网关的流量改道流向病毒主机,造成受害者不能正常上网. 情况二、局域网内有某些用户使用了ARP欺骗程序(如:网络执法官,QQ盗号软件等)发送ARP欺骗数据包,致使被攻击的电脑出现突然不能上网,过一段时间又能上网,反复掉线的现象. 关于APR欺骗的具体原理请看我收集的资料ARP欺骗的原理
二、故障诊断
如果用户发现以上疑似情况,可以通过如下操作进行诊断: 点击“开始”按钮->选择“运行”->输入“arp–d”->点击“确定”按钮,然后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致. 注:arp-d命令用于清除并重建本机arp表.arp–d命令并不能抵御ARP欺骗,执行后仍有可能再次遭受ARP攻击.
三、故障处理
1、中毒者:建议使用趋势科技SysClean工具或其他杀毒软件清除病毒. 2、被害者:(1)绑定网关mac地址.具体方法如下: 1)首先,获得路由器的内网的MAC地址(例如网关地址10.10.75.254的MAC地址为0022aa0022aa).2)编写一个批处理文件AntiArp.bat内容如下: @echooffarp-darp-s10.10.75.25400-22-aa-00-22-aa 将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可,计算机重新启动后需要重新进行绑定,因此我们可以将该批处理文件AntiArp.bat文件拖到“windows--开始--程序--启动”中.这样开机时这个批处理就被执行了. (2)使用ARP防火墙(例如AntiArp)软件抵御ARP攻击. AntiArp软件会在提示框内出现病毒主机的MAC地址
四,找出ARP病毒源
第一招:使用Sniffer抓包 在网络内任意一台主机上运行抓包软件,捕获所有到达本机的数据包.如果发现有某个IP不断发送 ARP Request请求包,那么这台电脑一般就是病毒源.原理:无论何种ARP病毒变种,行为方式有两种,一是欺骗网关,二是欺骗网内的所有主机.最终的结果是,在网关的ARP缓存表中,网内所有活动主机的MAC地址均为中毒主机的MAC地址;网内所有主机的ARP缓存表中,网关的MAC地址也成为中毒主机的MAC地址.前者保证了从网关到网内主机的数据包被发到中毒主机,后者相反,使得主机发往网关的数据包均发送到中毒主机. 第二招:使用arp-a命令任意选两台不能上网的主机,在DOS命令窗口下运行arp-a命令.例如在结果中,两台电脑除了网关的IP,MAC地址对应项,都包含了192.168.0.186的这个IP,则可以断定192.168.0.186这台主机就是病毒源.原理:一般情况下,网内的主机只和网关通信.正常情况下,一台主机的ARP缓存中应该只有网关的MAC地址.如果有其他主机的MAC地址,说明本地主机和这台主机最后有过数据通信发生.如果某台主机(例如上面的192.168.0.186)既不是网关也不是服务器,但和网内的其他主机都有通信活动,且此时又是ARP病毒发作时期,那么,病毒源也就是它了. 第三招:使用tracert命令在任意一台受影响的主机上,在DOS命令窗口下运行如下命令:tracert61.135.179.148.假定设置的缺省网关为10.8.6.1,在跟踪一个外网地址时,第一跳却是10.8.6.186,那么,10.8.6.186就是病毒源.原理:中毒主机在受影响主机和网关之间,扮演了“中间人”的角色.所有本应该到达网关的数据包,由于错误的MAC地址,均被发到了中毒主机.此时,中毒主机越俎代庖,起了缺省网关的作用.
更多信息 http://baike.baidu.com/view/155386.htm