在局域网内,ARP攻击依然占有很高比例。众所周知,ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。更何况ARP协议是工作在更低于IP协议的协议层,因此它的危害就更加隐蔽。
ARP类型的攻击最早用于盗取密码之用,网内中毒电脑可以伪装成路由器,盗取用户的密码, 后来发展成内藏于软件,扰乱其他局域网用户正常的网络通信。
作为网管的你可能会有此经历——网络频繁掉线,速度变慢,你对此却无从下手。这可能就是网络遭受ARP攻击表现,下面介绍五种简单方法帮助你快速解决之。
第一、建立MAC数据库,把网吧内所有网卡的MAC地址记录下来,每个MAC和IP、地理位置统统装入数据库,以便及时查询备案。
第二、建立DHCP 服务器 (建议建在网关上,因为DHCP不占用多少CPU,而且ARP欺骗攻击一般总是先攻击网关,我们就是要让他先攻击网关,因为网关这里有监控程序的,网关地址建议选择192.168.10.2 ,把192.168.10.1留空,如果犯罪程序愚蠢的话让他去攻击空地址吧),另外所有客户机的IP地址及其相关主机信息,只能由网关这里取得,网关这里开通DHCP服务,但是要给每个网卡,绑定固定唯一IP地址。一定要保持网内的机器IP/MAC一一对应的关系。这样客户机虽然是DHCP取地址,但每次开机的IP地址都是一样的。
第三、网关监听网络安全。网关上面使用TCPDUMP程序截取每个ARP程序包,弄一个脚本分析软件分析这些ARP协议。ARP欺骗攻击的包一般有以下两个特点,满足之一可视为攻击包报警:第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配。或者,ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内,或者与自己网络MAC数据库 MAC/IP 不匹配。这些统统第一时间报警,查这些数据包(以太网数据包)的源地址(也有可能伪造),就大致知道那台机器在发起攻击了。
第四、网关机器关闭ARP动态刷新的过程,使用静态路由,这样的话,即使犯罪嫌疑人使用ARP欺骗攻击网关的话,这样对网关也是没有用的,确保主机安全。网关建立静态IP/MAC捆绑的方法是:建立/etc/eThers文件,其中包含正确的IP/MAC对应关系,格式如下:
192.168.2.32 08:00:4E:B0:24:47
然后再/etc/rc.d/rc.local
最后添加:arp -f
生效即可
第五、偷偷摸摸的走到那台机器,看看使用人是否故意,还是被任放了什么木马程序陷害的。如果后者,不声不响的找个借口支开他,拔掉网线(不关机,特别要看看Win98里的计划任务),看看机器的当前使用记录和运行情况,确定是否是在攻击。
第六、使用防护软件。ARP防火墙采用系统内核层拦截技术和主动防御技术,包含六大功能模块可解决大部分欺骗、ARP攻击带来的问题,从而保证通讯安全(保障通讯数据不被网管软件/恶意软件监听和控制)、保证网络畅通。目前关于ARP类的防护软件出的比较多了,瞎忙是几款ARP防火墙免费产品:金山ARP防火墙V1.3.781.50 正式版下载地址: 冰盾ARP防火墙V1.0 Build80122
第七、具有ARP防护功能的网络设备。由于ARP形式的攻击而引发的网络问题是目前网络管理,特别是局域网管理中最让人头疼的攻击,他的攻击技术含量低,随便一个人都可以通过攻击软件来完成ARP欺骗攻击,同时防范ARP形式的攻击也没有什么特别有效的方法。目前只能通过被动的亡羊补牢形式的措施了,本文介绍的方法希望对大家有所帮助。
【编辑推荐】
关机重启后,网络登不上去,看看ip地址和以前不一样,.我的电脑网络是单位局域网,且网线连接好的,为何
原因: 一、因为你的电脑上是设置为“自动获取ip地址”,没有网络是因为你的ip地址与他人的ip地址发生冲突导致。 解决办法: 网上邻居》属性》本地连接》右击-属性》internat协议(tcp/ip)》属性; 如图: 二、你的是局域网,被他人进行arp攻击,有这方面的非法软件,利用这类软件可以占用他人任意的上网流量,让对方有网络却无流量。 解决办法: 1、 部署arp防火墙防御arp攻击、抵御arp欺骗。 通过对arp攻击原理的分析得知,有效防止arp断网攻击的方法就是采用arp防火墙来绑定电脑的arp表项,也就是网关的ip和mac地址进行绑定。 当然,也不一定非要通过arp防火墙的方式来实现,通过操作系统的自带的arp绑定命令同样可以实现网关的arp镜头绑定,从而达到有效限制arp攻击行为的目的。 2、 通过购买带有防arp欺骗功能、查杀arp病毒的路由器、防火墙来抵抗arp攻击行为。 现在一些带有上网行为管理功能的路由器、防火墙常常集成了arp攻击防护功能,可以有效防止局域网arp攻击行为;同时,也可以通过路由器的ip和mac地址绑定来达到防范arp攻击的目的。 3、 通过部署专业的arp攻击防护软件、arp病毒检测软件来检测局域网arp攻击行为,一旦发现arp攻击行为,则可以通过arp攻击防御软件来对其进行防御,甚至隔离开局域网,从而一方面可以让网管员及时发现并制止局域网电脑的arp攻击行为,甚至配合行政处罚等来管控局域网员工随意使用arp攻击软件、arp限速软件来干扰和破坏局域网的行为,不至于在局域网出现arp攻击行为时无法定位查找攻击源主机的窘况;另一方面,通过arp攻击防御软件的隔离、免疫举措,可以即时防止arp攻击行为给局域网造成的危害,防止员工电脑不小心遭遇arp病毒侵袭时,对局域网造成的断网攻击危害。 目前,国内一些伤上网行为管理厂家推出了一系列的arp攻击防护软件或带有arp攻击防护功能的网络管理产品。 我们以国内较为知名的网管软件“聚生网管”为例,聚生网管系统集成了arp攻击检测功能,也就是在局域网启动聚生网管系统后,一旦有局域网电脑主动或被动发动arp攻击行为时,聚生网管系统会实时输出发动arp攻击的电脑的ip和mac地址等信息,同时自动向局域网发送arp攻击免疫信息,从而极大地降低了arp攻击对局域网造成的危害,使得局域网电脑不会因为arp攻击而出现掉线和断网现象。 同时,通过聚生网管系统集成的“大势至局域网安全卫士”,可以将发动arp攻击的电脑进行强制隔离,使得发动arp攻击的电脑无法再向局域网发动arp攻击,同时也无法和局域网其他电脑通讯,也无法访问互联网,使其完全隔离开局域网。 总之,局域网有效防止arp攻击和防止arp欺骗,必须综合采用各种手段,才可以有效防止局域网arp攻击对企业内部局域网造成的危害,有力地保护局域网网络安全的稳定和畅通。
浏览器中所有的东西都打不开怎么办
打不开网页的原因及处理办法:1.与设置代理服务器有关 。 有时出于某些方面考虑,在浏览器里设置了代理服务器(控制面板--Internet选项—连接—局域网设置—为LAN使用代理服务器),设置代理服务器是不影响QQ联网的,因为QQ用的是4000端口,而访问互联网使用的是80或8080端口。 这就是很多人不明白为什么QQ能上,而网页不能打开的原因。 而代理服务器一般不是很稳定,有时候能上,有时候不能上。 如果有这样设置的,把代理取消即可。 2.病毒感染。 表现在打开IE时,在IE界面的左下框里提示:正在打开网页,但半天没响应。 在任务管理器里查看进程,把鼠标放在任务栏上,按右键—任务管理器—进程,看看CPU的占用率如何,如果是100%,可以肯定,是感染了病毒,查查是哪个进程占用了CPU资源,找到后,然后点击结束,如果不能结束,则要启动到安全模式下把该东东删除,还要进入注册表里:开始—运行,输入regedit,在注册表对话框里,点编辑—查找,输入那个程序名,找到后,点鼠标右键删除,然后再进行几次搜索,就能彻底删除干净。 服务器解释出错 。 DNS即域名服务器(Domain Name Server),它把域名转换成计算机能够识别的IP地址,若DNS服务器出错,则无法进行域名解释,自然就不能上网。 这种情况有时候是网络服务接入商即ISP的问题,可打电话咨询ISP;有时候则是路由器或网卡的问题,无法与ISP的DNS服务连接。 此时可把路由器关一会再开,或者重新设置路由器。 或者是网卡无法自动搜寻到DNS的服务器地址,可以尝试用指定的DNS服务器地址。 在网络的属性里进行:控制面板—网络和拔号连接—本地连接—右键属性—TCP/IP协议—属性—使用下面的DNS服务器地址。 不同的ISP有不同的DNS地址。 4.系统文件丢失导致IE不能正常启动 。 原因有:系统的不稳定 表现为死机频繁、经常莫名重启、非法关机造成系统文件丢失;软硬件的冲突 常表现为安装了某些程序引起网卡驱动的冲突或与IE的冲突;病毒的侵扰 导致系统文件损坏或丢失。 如果是第一种情况,可尝试修复系统,放入原安装光盘,一定要原安装光盘,在开始—运行里输入sfc /scanow,按回车。 如果是第二种情况,可以把最近安装的硬件或程序卸载,2K或XP的系统可以在机器启动后,长按F8,进入启动菜单,选择“最后一次正确的配置”,若是XP系统,还可以利用系统的还原功能,一般能很快解决问题。 如果是XP的系统因超线程CPU的原因,可以在BIOS里禁用超线程,或升级到SP2。 如果是第三种情况,则要对系统盘进行全面的查杀病毒。 损坏。 以上方法若果都不奏效,有可能是IE的内核损坏,应重装IE。
怎样才能防治局域网中的病毒
现在局域网中感染ARP病毒的情况比较多,清理和防范都比较困难,给不少的网络管理员造成了很多的困扰。 下面就是个人在处理这个问题的一些经验,同时也在网上翻阅了不少的参考资料。 ARP病毒的症状 有时候无法正常上网,有时候有好了,包括访问网上邻居也是如此,拷贝文件无法完成,出现错误;局域网内的ARP包爆增,使用ARP查询的时候会发现不正常的MAC地址,或者是错误的MAC地址对应,还有就是一个MAC地址对应多个IP的情况也会有出现。 ARP攻击的原理 ARP欺骗攻击的包一般有以下两个特点,满足之一可视为攻击包报警:第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配。 或者,ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内,或者与自己网络MAC数据库MAC/IP不匹配。 这些统统第一时间报警,查这些数据包(以太网数据包)的源地址(也有可能伪造),就大致知道那台机器在发起攻击了。 现在有网络管理工具比如网络执法官、P2P终结者也会使用同样的方式来伪装成网关,欺骗客户端对网关的访问,也就是会获取发到网关的流量,从而实现网络流量管理和网络监控等功能,同时也会对网络管理带来潜在的危害,就是可以很容易的获取用户的密码等相关信息。 处理办法 通用的处理流程 1.先保证网络正常运行 方法一:编辑一个***文件内容如下 s**.**.**.**(网关ip) ************(网关MAC地址)end 让网络用户点击就可以了! 办法二:编辑一个注册表问题,键值如下:Windows Registry Editor Version 5.00[Hkey_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]MAC=arp s网关IP地址网关MAC地址 然后保存成Reg文件以后在每个客户端上点击导入注册表。 2.找到感染ARP病毒的机器 a、在电脑上ping一下网关的IP地址,然后使用ARP -a的命令看得到的网关对应的MAC地址是否与实际情况相符,如不符,可去查找与该MAC地址对应的电脑。 b、使用抓包工具,分析所得到的ARP数据报。 有些ARP病毒是会把通往网关的路径指向自己,有些是发出虚假ARP回应包来混淆网络通信。 第一种处理比较容易,第二种处理比较困难,如果杀毒软件不能正确识别病毒的话,往往需要手工查找感染病毒的电脑和手工处理病毒,比较困难。 c、使用MAC地址扫描工具,Nbtscan扫描全网段IP地址和MAC地址对应表,有助于判断感染ARP病毒对应MAC地址和IP地址。 预防措施 1、及时升级客户端的操作系统和应用程式补丁; 2、安装和更新杀毒软件。 3、如果网络规模较少,尽量使用手动指定IP设置,而不是使用DHCP来分配IP地址。 4、如果交换机支持,在交换机上绑定MAC地址与IP地址。 (不过这个实在不是好主意)
发表评论