以下的文章主要描述的是预防ARP攻击的实际操作流程,你是否还因以下的这些事情感到头疼呢?例如。计算机连接正常,却无法打开网页;或者计算机网络出现频繁断线,同时网速变得非常慢,这些都可能是网络中存在ARP欺骗攻击所表现出来的网络现象。ARP攻击
你是否还在为计算机连接正常,却无法打开网页;或者计算机网络出现频繁断线,同时网速变得非常慢,这些都可能是网络中存在ARP欺骗攻击所表现出来的网络现象。
很多病毒、木马都会利用ARP攻击的方式来达到窃取用户信息、弹挂马/广告网页、传播扩散自身等各种目的。不仅会造成联网不稳定,引发用户无法上网,或者企业断网导致重大生产事故,而且利用ARP攻击可进一步实施中间人攻击,以此非法获取到例如游戏、网银、文件服务等系统的帐号和口令,对被攻击者造成利益上的重大损失,因此ARP欺骗攻击是一种非常恶劣的网络攻击行为。
如何更有效的来防范ARP攻击?把预防ARP攻击的工作做好才是重中之中。
因为我们知道,连我们平时最熟知的杀毒软件、防火墙都挡不住ARP 欺骗攻击。主要是由于ARP欺骗攻击的木马程序,通常会伪装成常用软件的一部分被下载并被激活,或者作为网页的一部分自动传送到浏览者的电脑上并被激活,或者通过U盘、移动硬盘等方式进入网络。由于木马程序的形态特征都在不断变化和升级,杀毒软件也只是个摆设而已。
如何预防ARP攻击?
1.首先要做到把你的网络安全信任关系建立在IP+MAC基础上,利用Mocha BSM中网络拓扑发现之后所有IP-MAC信息,将信息自动的录入到对照表中,如下图。
有了Mocha BSM,省去了登录一台台的主机,用自己的眼睛一个个去查看MAC地址的情景。
设置完静态的IP-MAC对照表,不要让主机随意刷新你设定好的对照表。
2.管理员定期轮询,检查主机上的ARP缓存。
当出现配置变更,变更的信息会在变更表中显示,如下图。
客户端IP和MAC信息通过Mocha BSM这种方式的绑定,可以有效的确保正确的MAC地址不被篡改,可以保障数据流向正确,不经过第三者,从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制、防范欺骗终端用户和ARP泛洪攻击,保护网络资源。
隐患险于明火,防范重于泰山————做好预防ARP的工作才最为重要。
ARP 受攻击怎么防护
ARP欺骗是个老话题,从TCP协议的那一刻起它就存在了,早先它只不过是大学校园的一种用来争抢IP的技术手段而已,直到最近所谓《网络传奇杀手》的出现,这个问题才真正的引起了广大的关注,因此也有了本软件的产生。 关于ARP欺骗的原理我就不再多说了,我就具体的说说我的软件的作用原理吧:)ARP欺骗是对网关机器和客户机同时进行的,因此只要及时检测到这种攻击并立即进行防护,这种攻击就不会生效;因此软件定时保存(这是为适应多种宽带接入方式的网吧比如有网通和电信两种线路供客户选择时,以自动适应网关的变化)当前网关的正确IP及MAC地址,一旦检测到ARP攻击发生,马上在本机恢复正确的网关MAC地址,并且立即发送ARP更新请求给网关,以防止针对网关的ARP欺骗,从而保证网络的正常。 此软件的可运行于win2000,98,xp系统下,对交换机,网关路由无特定要求,只要在客户端机器上安装后,即可实现对ARP欺骗类攻击的防护,并且占用的资源几乎可以忽略不计,是网吧管理员的必备利器。 使用方法:把本软件置于电脑任何路径,双击运行,下次重启系统即可随电脑自动运行,主窗口中有关于网关的IP及网关mac地址及是否受攻击的一些信息,启动5秒钟后自动缩为托盘图标,右击托盘图标为弹出主窗口,左击弹出相关的菜单。
怎样防范内网ARP攻击
处理办法: 通用的处理流程: 1.先保证网络正常运行 方法一:编辑个*** 文件内容如下: s **.**.**.**(网关ip) **** ** ** ** **(网关mac 地址) end 让网络用户点击就可以了! 办法二:编辑一个注册表问题,键值如下:Code:code:Windows Registry Editor Version 5.00 [Hkey_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “mac”=“arp s网关IP 地址网关Mac 地址” 然后保存成Reg 文件以后在每个客户端上点击导入注册表。 2.找到感染ARP 病毒的机器。 a:在电脑上ping 一下网关的IP 地址,然后使用ARP -a 的命令看得到的网关对应的MAC 地址是否与实际情况相符,如不符,可去查找与该MAC 地址对应的电脑。 b:使用抓包工具,分析所得到的ARP 数据报。 有些ARP病毒是会把通往网关的路径指向自己,有些是发出虚假ARP 回应包来混淆网络通信。 第一种处理比较容易,第二种处理比较困难,如果杀毒软件不能正确识别病毒的话,往往需要手工查找感染病毒的电脑和手工处理病毒,比较困难。 c:使用mac 地址扫描工具,nbtscan 扫描全网段IP 地址和MAC 地址对应表,有助于判断感染ARP 病毒对应MAC 地址和IP 地址。 预防措施: 1.及时升级客户端的操作系统和应用程式补丁; 2.安装和更新杀毒软件。 4.如果网络规模较少,尽量使用手动指定IP 设置,而不是使用DHCP 来分配IP 地址。 5.如果交换机支持,在交换机上绑定MAC 地址与IP 地址。 (不过这个实在不是好主意!)
怎么样防止ARP攻击
打开记事本把这段代码复制上去@echo offcolor 0aECHO 程序执行中,请稍候 IPCONFIG=%temp%\ MACADD=%temp%\ IPADD=%temp%\ GATEADD=%temp%\ GATEMACADD=%temp%\ /all > %IPCONFIG%FIND Physical Address %IPCONFIG% > %MACADD%FOR /F skip=2 tokens=12 %%M IN (%MACADD%) DO SET MAC=%%MECHO 获得本机网卡MAC:%MAC%。 PING 127.0 -n 2 > NULFIND IP Address %IPCONFIG% > %IPADD%FOR /F skip=2 tokens=15 %%I IN (%IPADD%) DO SET IP=%%IECHO 获得本机IP地址:%IP%。 PING 127.0 -n 2 > NULarp -s %IP% %MAC%ECHO 绑定本机IP和MAC,成功。 PING 127.0 -n 2 > NULFIND Default Gateway %IPCONFIG% > %GATEADD%FOR /F skip=2 tokens=13 %%G IN (%GATEADD%) DO SET GateIP=%%GECHO 获得网关IP地址:%GateIP%。 PING 127.0 -n 2 > NULarp -a %GateIP% > %GATEMACADD%FOR /F skip=3 tokens=2 %%H IN (%GATEMACADD%) DO SET GateMac=%%HECHO 获得网关MAC:%GateMac%。 PING 127.0 -n 2 > NULarp -s %GateIP% %GateMac%ECHO 绑定网关网卡和MAC地址,成功。 EXIT然后,保存为运行它就OK
发表评论