1樓:匿名使用者
教你如何清除區域網中的arp病毒...
現在區域網中感染arp病毒的情況比較多,清理和防範都比較困難,給不少的網路管理員造成了很多的困擾.下面就是個人在處理這個問題的一些經驗,同時也在網上翻閱了不少的參考資料.
arp病毒的症狀
有時候無法正常上網,有時候有好了,包括訪問網路上的芳鄰也是如此,拷貝檔案無法完成,出現錯誤;區域網內的arp包爆增,使用arp查詢的時候會發現不正常的mac地址,或者是錯誤的mac地址對應,還有就是一個mac地址對應多個ip的情況也會有出現。
arp攻擊的原理
arp欺騙攻擊的包一般有以下兩個特點,滿足之一可視為攻擊包報警:第一乙太網資料 包頭的源地址、目標地址和arp資料包的協議地址不匹配。或者,arp資料包的傳送和目標地址不在自己網路網絡卡mac資料庫內,或者與自己網路mac資料 庫mac/ip不匹配。
這些統統第一時間報警,查這些資料包(乙太網資料包)的源地址(也有可能偽造),就大致知道那臺機器在發起攻擊了。現在有網路管理 工具比如網路執法官、p2p終結者也會使用同樣的方式來偽裝成閘道器,欺騙客戶端對閘道器的訪問,也就是會獲取發到閘道器的流量,從而實現網路流量管理和網路監 控等功能,同時也會對網路管理帶來潛在的危害,就是可以很容易的獲取使用者的密碼等相關資訊。
處理辦法
通用的處理流程
1.先保證網路正常執行
方法一:編輯一個***.bat檔案內容如下:
arp.exe s**.**.**.**(閘道器ip) ************(閘道器mac地址)end
讓網路使用者點選就可以了!
辦法二:編輯一個登錄檔問題,鍵值如下:
windows registry editor version 5.00[hkey_local_machine\software\microsoft\windows\currentversion\run]"mac"="arp s閘道器ip地址閘道器mac地址"
然後儲存成reg檔案以後在每個客戶端上點選匯入登錄檔。
2.找到感染arp病毒的機器
a、在電腦上ping一下閘道器的ip地址,然後使用arp -a的命令看得到的閘道器對應的mac地址是否與實際情況相符,如不符,可去查詢與該mac地址對應的電腦。
b、使用抓包工具,分析所得到的arp資料包。有些arp病毒是會把通往閘道器的路徑 指向自己,有些是發出虛假arp迴應包來混淆網路通訊。第一種處理比較容易,第二種處理比較困難,如果防毒軟體不能正確識別病毒的話,往往需要手工查詢感 染病毒的電腦和手工處理病毒,比較困難。
c、使用mac地址掃描工具,nbtscan掃描全網段ip地址和mac地址對應表,有助於判斷感染arp病毒對應mac地址和ip地址。
預防措施
1、及時升級客戶端的作業系統和應用程式補丁;
2、安裝和更新防毒軟體。
3、如果網路規模較少,儘量使用手動指定ip設定,而不是使用dhcp來分配ip地址。
4、如果交換機支援,在交換機上繫結mac地址與ip地址
2樓:匿名使用者
arp攻擊的確會造成網路不穩定,有些人使用p2p終結者等一些網路工具限制他人的網路等。一般採取防禦的方法攔截攻擊。
需要幫助可以給以單獨輔導
arp欺騙攻擊是什麼意思?
3樓:橄欖葉
一種黑客攻擊手段,分為對路由器arp表的欺騙和對內網pc的閘道器欺騙。
第一種arp欺騙的原理是——截獲閘道器資料。它通知路由器一系列錯誤的內網mac地址,並按照一定的頻率不斷進行,使真實的地址資訊無法通過更新儲存在路由器中,結果路由器的所有資料只能傳送給錯誤的mac地址,造成正常pc無法收到資訊。
第二種arp欺騙的原理是——偽造閘道器。它的原理是建立假閘道器,讓被它欺騙的pc向假閘道器發資料,而不是通過正常的路由器途徑上網。在pc看來,就是上不了網了,「網路掉線了」。
一般來說,arp欺騙攻擊的後果非常嚴重,大多數情況下會造成大面積掉線。有些網管員對此不甚瞭解,出現故障時,認為pc沒有問題,交換機沒掉線的「本事」,電信也不承認寬頻故障。而且如果第一種arp欺騙發生時,只要重啟路由器,網路就能全面恢復,那問題一定是在路由器了。
為此,寬頻路由器背了不少「黑鍋」。
4樓:全網營銷策劃
arp欺騙的定義:
由於區域網的網路流通不是根據ip地址進行,而是根據mac地址進行傳輸。所以,mac地址在a上被偽造成一個不存在的mac地址,這樣就會導致網路不通,a不能ping通c!這就是一個簡單的arp欺騙。
arp欺騙現象表現為:
例如:主機a想要和主機b通訊,主機a會查詢本地arp表,找到主機b的mac地址,然後進行傳輸。如果主機a沒有找到主機b的mac地址,那麼主機a就會傳送一個arp廣播包,主機b收到這個arp廣播包後,回覆主機a它的mac地址。
然後主機a就會在本地arp快取表裡,生成主機b的ip和mac地址資訊。(該表現預設會儲存300秒)
arp欺騙如何解決:
情況一、當區域網內某臺主機感染了arp病毒時,會向本區域網內(指某一網段,比如:10.10.
75.0這一段)所有主機傳送arp欺騙攻擊謊稱自己是這個網端的閘道器裝置,讓原本流向閘道器的流量改道流向病毒主機,造成受害者不能正常上網。
情況二、區域網內有某些使用者使用了arp欺騙程式(如:網路執法官,qq盜號軟體等)傳送arp欺騙資料包,致使被攻擊的電腦出現突然不能上網,過一段時間又能上網,反覆掉線的現象。
關於arp欺騙的具體原理請看我收集的資料arp欺騙的原理 如果使用者發現以上疑似情況,可以通過如下操作進行診斷:
點選「開始」按鈕->選擇「執行」->輸入「arp –d」->點選「確定」按鈕,然後重新嘗試上網,如果能恢復正常,則說明此次掉線可能是受arp欺騙所致。
注:arp -d命令用於清除並重建本機arp表。arp –d命令並不能抵禦arp欺騙,執行後仍有可能再次遭受arp攻擊。
1、中毒者:建議使用趨勢科技sysclean工具或其他防毒軟體清除病毒。
2、被害者:(1)繫結閘道器mac地址。具體方法如下:
1)首先,獲得路由器的內網的mac地址(例如閘道器地址10.10.75.
254的mac地址為0022aa0022aa)。2)編寫一個批處理檔案antiarp.bat內容如下:
@echooffarp-darp-s10.10.75.
25400-22-aa-00-22-aa
將檔案中的閘道器ip地址和mac地址更改為您自己的閘道器ip地址和mac地址即可,計算機重新啟動後需要重新進行繫結,因此我們可以將該批處理檔案antiarp.bat檔案拖到「windows--開始--程式--啟動」中。這樣開機時這個批處理就被執行了。
(2)使用arp防火牆(例如antiarp)軟體抵禦arp攻擊。
antiarp軟體會在提示框內出現病毒主機的mac地址 第一招:使用sniffer抓包
在網路內任意一臺主機上執行抓包軟體,捕獲所有到達本機的資料包。如果發現有某個ip不斷髮送
arp request請求包,那麼這臺電腦一般就是病毒源。原理:無論何種arp病毒變種,行為方式有兩種,一是欺騙閘道器,二是欺騙網內的所有主機。
最終的結果是,在閘道器的arp快取表中,網內所有活動主機的mac地址均為中毒主機的mac地址;網內所有主機的arp快取表中,閘道器的mac地址也成為中毒主機的mac地址。前者保證了從閘道器到網內主機的資料包被髮到中毒主機,後者相反,使得主機發往閘道器的資料包均傳送到中毒主機。
第二招:使用arp -a命令任意選兩臺不能上網的主機,在dos命令視窗下執行arp -a命令。例如在結果中,兩臺電腦除了閘道器的ip,mac地址對應項,都包含了192.
168.0.186的這個ip,則可以斷定192.
168.0.186這臺主機就是病毒源。
原理:一般情況下,網內的主機只和閘道器通訊。正常情況下,一臺主機的arp快取中應該只有閘道器的mac地址。
如果有其他主機的mac地址,說明本地主機和這臺主機最後有過資料通訊發生。如果某臺主機(例如上面的192.168.
0.186)既不是閘道器也不是伺服器,但和網內的其他主機都有通訊活動,且此時又是arp病毒發作時期,那麼,病毒源也就是它了。
第三招:使用tracert命令在任意一臺受影響的主機上,在dos命令視窗下執行如下命令:tracert61.
135.179.148。
假定設定的預設閘道器為10.8.6.
1,在跟蹤一個外網地址時,第一跳卻是10.8.6.
186,那麼,10.8.6.
186就是病毒源。原理:中毒主機在受影響主機和閘道器之間,扮演了「中間人」的角色。
所有本應該到達閘道器的資料包,由於錯誤的mac地址,均被髮到了中毒主機。此時,中毒主機越俎代庖,起了預設閘道器的作用。
5樓:匿名使用者
就是別人佔用你的ip,導致資訊返回到佔用你ip的哪臺電腦上
就是假ip,就是當你傳送資料出去,網路返回來的資料就被別人的電腦接收到了,
為什麼網路中會有arp攻擊呢?
6樓:匿名使用者
arp在目前看來可以分為7中之多。
1、arp欺騙(閘道器、pc)
2、arp攻擊
3、arp殘缺
4、海量arp
5、二代arp(假ip、假mac)
arp是個「雙頭怪」要想徹底解決必須要「首尾兼顧」有兩種方式可以實現第一 採用「看守式繫結」的方法,實時監控電腦arp快取,確保快取內閘道器mac和ip的正確對應。在arp快取表裡會有一個靜態的繫結,如果受到arp的攻擊,或只要有公網的請求時,這個靜態的繫結又會自動的跳出,所以並不影響網路的正確的訪問。這種方式是安全與網絡卡功能融合的一種表現,也叫作「終端抑制」
第二就是在網路接入架構上要有「安全和網路功能的融合」就是在接入閘道器做nat的時候不是按照傳統路由那樣根據「mac/ip」對映表來**資料,而是根據他們在nat表中的mac來確定(這樣就會是隻要資料可以**出去就一定可以回來)就算arp大規模的爆發,arp表也混亂了但是並不會給我們的網路造成任何影響。(不看ip/mac對映表)這種方法在現有控制arp中也是最徹底的。也被稱為是「免疫網路」的重要特徵。
ARP欺騙是怎麼回事,ARP欺騙包是怎麼回事?該如何解決?
防護arp攻擊可以用arp保護神 v1.3版,馬上解決上網問題 arp欺騙原理 就是通過偽造ip地址和mac地址實現arp欺騙,能夠在網路中產生大量的arp通訊量使網路阻塞,攻擊者只要持續不斷的發出偽造的arp響應包就能更改目標主機arp快取中的ip mac條目,造成網路中斷或中間人攻擊。arp攻擊...
ARP欺騙怎麼解決
你確定你家用的是單獨的寬頻麼?不是從別人的線上接出來的?如果確定 那麼就是你那個區域的伺服器的問題了!這個情況基本不會出現的,呵呵 如果別人盜用你的賬號 那麼你這邊根本是上不去的!因為寬頻賬號有唯一性驗證的!所以我個人看法 是你接的可能是小區寬頻,這個小區的路由上可能中了arp了 或者是這個區域的其...
arp斷網攻擊
電腦遭受arp攻擊說明你的區域網內有的使用者中了病毒,arp攻擊是針對乙太網地址解析協議 arp 的一種攻擊技術。此種攻擊可讓攻擊者取得區域網上的資料封包甚至可篡改封包,且可讓網路上特定計算機或所有計算機無法正常連線。建議朋友使用360arp防火牆來保護你的電腦。360arp防火牆是整合在360安全...