遭受ARP攻擊後現象徵集

1樓：匿名使用者

什麼是arp協議:

arp協議是「address resolution protocol」（地址解析協議）的縮寫。在區域網中，網路中實際傳輸的是「幀」，幀裡面是有目標主機的mac地址的。在乙太網中，一個主機要和另一個主機進行直接通訊，必須要知道目標主機的mac地址。

但這個目標mac地址是如何獲得的呢？它就是通過地址解析協議獲得的。所謂「地址解析」就是主機在傳送幀前將目標ip地址轉換成目標mac地址的過程。

arp協議的基本功能就是通過目標裝置的ip地址，查詢目標裝置的mac地址，以保證通訊的順利進行。

如何檢視arp快取表:

arp快取表是可以檢視的，也可以新增和修改。在命令提示符下，輸入「arp -a」就可以檢視arp快取表中的內容了。

用「arp -d」命令可以刪除arp表中某一行的內容；用「arp -s」可以手動在arp表中指定ip地址與mac地址的對應。

arp協議的工作原理:

arp攻擊就是通過偽造ip地址和mac地址實現arp欺騙，能夠在網路中產生大量的arp通訊量使網路阻塞，攻擊者只要持續不斷的發出偽造的arp響應包就能更改目標主機arp快取中的ip-mac條目，造成網路中斷或中間人攻擊。

arp攻擊主要是存在於區域網網路中，區域網中若有一個人感染arp木馬，則感染該arp木馬的系統將會試圖通過「arp欺騙」手段截獲所在網路內其它計算機的通訊資訊，並因此造成網內其它計算機的通訊故障。

arp欺騙:

其實，此起彼伏的瞬間掉線或大面積的斷網大都是arp欺騙在作怪。arp欺騙攻擊已經成了破壞網咖經營的罪魁禍首，是網咖老闆和網管員的心腹大患。

從影響網路連線通暢的方式來看，arp欺騙分為二種，一種是對路由器arp表的欺騙；另一種是對內網pc的閘道器欺騙。

第一種arp欺騙的原理是——截獲閘道器資料。它通知路由器一系列錯誤的內網mac地址，並按照一定的頻率不斷進行，使真實的地址資訊無法通過更新儲存在路由器中，結果路由器的所有資料只能傳送給錯誤的mac地址，造成正常pc無法收到資訊。第二種arp欺騙的原理是——偽造閘道器。

它的原理是建立假閘道器，讓被它欺騙的pc向假閘道器發資料，而不是通過正常的路由器途徑上網。在pc看來，就是上不了網了，「網路掉線了」。

一般來說，arp欺騙攻擊的後果非常嚴重，大多數情況下會造成大面積掉線。有些網管員對此不甚瞭解，出現故障時，認為pc沒有問題，交換機沒掉線的「本事」，電信也不承認寬頻故障。而且如果第一種arp欺騙發生時，只要重啟路由器，網路就能全面恢復，那問題一定是在路由器了。

為此，寬頻路由器背了不少「黑鍋」。

作為網咖路由器的廠家，對防範arp欺騙不得已做了不少份內、份外的工作。一、在寬頻路由器中把所有pc的ip-mac輸入到一個靜態表中，這叫路由器ip-mac繫結。二、力勸網管員在內網所有pc上設定閘道器的靜態arp資訊，這叫pc機ip-mac繫結。

一般廠家要求兩個工作都要做，稱其為ip-mac雙向繫結。

顯示和修改「地址解析協議」(arp) 所使用的到乙太網的 ip 或令牌環實體地址翻譯表。該命令只有在安裝了 tcp/ip 協議之後才可用。

arp -a [inet_addr] [-n [if_addr]

arp -d inet_addr [if_addr]

arp -s inet_addr ether_addr [if_addr]

引數 -a

通過詢問 tcp/ip 顯示當前 arp 項。如果指定了 inet_addr，則只顯示指定計算機的 ip 和實體地址。

-g 與 -a 相同。

inet_addr

以加點的十進位制標記指定 ip 地址。

-n 顯示由 if_addr 指定的網路介面 arp 項。

if_addr

指定需要修改其地址轉換表介面的 ip 地址（如果有的話）。如果不存在，將使用第一個可適用的介面。

-d 刪除由 inet_addr 指定的項。

-s 在 arp 快取中新增項，將 ip 地址 inet_addr 和實體地址 ether_addr 關聯。實體地址由以連字元分隔的6 個十六進位制位元組給定。使用帶點的十進位制標記指定 ip 地址。

項是永久性的，即在超時到期後項自動從快取刪除。

ether_addr

指定實體地址。

2樓：匿名使用者

典型案例：某公司突然出現大面積掉網，網路不通，訪問部分網頁出現dns錯誤。核查後發現，路由器中的arp對映其中一個mac地址對應的ip變為外網固定ip的閘道器ip地址，判斷遭到arp攻擊。

經處理，問題解決。