admin 管理员组

文章数量: 887016

ARP是(address Resolution Protocol)地址解析协议局域网中有一种基于ARP协议的ARP攻击,带病毒的机器会伪装成网关IP给你发送大量数据包,然后让你网络端口被大量的数据包堵住,从而短暂时间上不了网,很烦,但这种只在局域网有,一般学校,公司较多。通过瑞星的这个邦定,可以绑定真正的网关MAC地址,因为一个网卡的MAC物理地址是出厂时设置好的,自己是改不了的。静态绑定是绑定的MAC地址你可以先看下你的MAC地址,如果是的话,你静态绑定就没事了看你的mac地址:运行->cmd->arp -a静态绑定:例如:运行->cmd->arp -s 00-0F-E2-46-CF-B3(换成你的MAC地址正好是这个)。

ARP类病毒的解决方案 

1、清空ARP缓存: 大家可能都曾经有过使用ARP的指令法解决过ARP欺骗问题,该方法是针对ARP欺骗原理进行解决的。一般来说ARP欺骗都是通过发送虚假的MAC地址与IP地址的对应ARP数据包来迷惑网络设备,用虚假的或错误的MAC地址与IP地址对应关系取代正确的对应关系。若是一些初级的ARP欺骗,可以通过ARP的指令来清空本机的ARP缓存对应关系,让网络设备从网络中重新获得正确的对应关系,具体解决过程如下: 第一步:通过点击桌面上任务栏的“开始”->“运行”,然后输入cmd后回车,进入cmd(黑色背景)命令行模式; 第二步:在命令行模式下输入arp -a命令来查看当前本机储存在本地系统ARP缓存中IP和MAC对应关系的信息; 第三步:使用arp -d命令,将储存在本机系统中的ARP缓存信息清空,这样错误的ARP缓存信息就被删除了,本机将重新从网络中获得正确的ARP信息,达到局域网机器间互访和正常上网的目的。如果是遇到使用ARP欺骗工具来进行攻击的情况,使用上述的方法完全可以解决。但如果是感染ARP欺骗病毒,病毒每隔一段时间自动发送ARP欺骗数据包,这时使用清空ARP缓存的方法将无能为力了。下面将接收另外一种,可以解决感染ARP欺骗病毒的方法。

2、指定ARP对应关系:其实该方法就是强制指定ARP对应关系。由于绝大部分ARP欺骗病毒都是针对网关MAC地址进行攻击的,使本机上ARP缓存中存储的网关设备的信息出现紊乱,这样当机器要上网发送数据包给网关时就会因为地址错误而失败,造成计算机无法上网。 第一步:我们假设网关地址的MAC信息为00-14-78-a7-77-5c,对应的IP地址为192.168.2.1。指定ARP对应关系就是指这些地址。在感染了病毒的机器上,点击桌面->任务栏的“开始”->“运行”,输入cmd后回车,进入cmd命令行模式; 第二步:使用arp -s命令来添加一条ARP地址对应关系, 例如arp -s 192.168.2.1 00-14-78-a7-77-5c命令。这样就将网关地址的IP与正确的MAC地址绑定好了,本机网络连接将恢复正常了; 第三步:因为每次重新启动计算机的时候,ARP缓存信息都会被全部清除。所以我们应该把这个ARP静态地址添加指令写到一个批处理文件(例如:bat)中,然后将这个文件放到系统的启动项中。当程序随系统的启动而加载的话,就可以免除因为ARP静态映射信息丢失的困扰了。


其他解决途径:

1.建立DHCP服务器(建议建在网关上,因为DHCP不占用多少CPU,而且ARP欺骗攻击一般总是先攻击网关,我们就是要让他先攻击网关,因为网关这里有监控程序的,网关地址建议选择192.168.10.2 ,把192.168.10.1留空,如果犯罪程序愚蠢的话让他去攻击空地址吧),另外所有客户机的IP地址及其相关主机信息,只能由网关这里取得,网关这里开通DHCP服务,但是要给每个网卡,绑定固定唯一IP地址。一定要保持网内的机器IP/MAC一一对应的关系。这样客户机虽然是DHCP取地址,但每次开机的IP地址都是一样的。   

2.建立MAC数据库,把网吧内所有网卡的MAC地址记录下来,每个MAC和IP、地理位置统统装入数据库,以便及时查询备案。   

3.网关机器关闭ARP动态刷新的过程,使用静态路邮,这样的话,即使犯罪嫌疑人使用ARP欺骗攻击网关的话,这样对网关也是没有用的,确保主机安全。   网关建立静态IP/MAC捆绑的方法是:建立/etc/ethers文件,其中包含正确的IP/MAC对应关系,格式如下:   192.168.2.32 08:00:4E:B0:24:47   然后再/etc/rc.d/rc.local最后添加:   arp -f 生效即可   

4.网关监听网络安全。网关上面使用TCPDUMP程序截取每个ARP程序包,弄一个脚本分析软件分析这些ARP协议。ARP欺骗攻击的包一般有以下两个特点,满足之一可视为攻击包报警:第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配。或者,ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内,或者与自己网络MAC数据库 MAC/IP 不匹配。这些统统第一时间报警,查这些数据包(以太网数据包)的源地址(也有可能伪造),就大致知道那台机器在发起攻击了。   

5.偷偷摸摸的走到那台机器,看看使用人是否故意,还是被任放了什么木马程序陷害的。如果后者,不声不响的找个借口支开他,拔掉网线(不关机,特别要看看Win98里的计划任务),看看机器的当前使用记录和运行情况,确定是否是在攻击。

怎么样反ARP攻击?


参考方法:

目前处理arp欺骗的问题大多是网关和终端双向绑定ip和mac地址,终端再安装arp防火墙,但这样并不能完全解决arp的问题。

其一:有些arp木马在你的arp防火墙运行之前就修改了你的mac地址,使arp防火墙绑定的ip/mac原本就错误。让你的arp防火墙成为帮凶。

其二:不能防止局域网内一些人恶意攻击其他机器,或用一些软件控制其他机器,比如p2p终结者,聚生网管等软件。使局域网内充斥着大量的arp数据包,导致网络延时,丢包等问题。

目前市场上解决arp问题比较彻底的是欣向的免疫墙路由器,它独有的免疫网络解决方案能够彻底解决arp攻击问题。欣向的免疫墙路由器具有先天免疫功能,通过对协议的改动将nat表和arp表融合,当有arp请求时将直接查询nat表,使针对网关arp表的欺骗完全失去作用。终端装有免疫网卡驱动,直接读取烧录在网卡上的mac地址,保证正确。过滤恶意的arp数据包以及其他常见的洪水攻击,使网络保持畅通。监控中心能监控到每台机器的上下载流量,arp发送量/拦截量,tcp/udp连接数,那台机器犯事了,能准确地把它揪出来。

本文标签: ARP