1. 如何有效的防止ARP攻擊
目前處理arp欺騙的問題大多是網關和終端雙向綁定ip和mac地址,終端再
安裝arp防火牆,但這樣並不能完全解決arp的問題。
其一:有些arp木馬在你的arp防火牆運行之前就修改了你的mac地址,使
arp防火牆綁定的ip/mac原本就錯誤。讓你的arp防火牆成為幫凶。
其二:不能防止區域網內一些人惡意攻擊其他機器,或用一些軟體控制其
他機器,比如p2p終結者,聚生網管等軟體。使區域網內充斥著大量的arp數據
包,導致網路延時,丟包等問題。
現在市場上解決arp問題比較徹底的是欣向的免疫牆路由器,它獨有的免疫
網路解決方案能夠徹底解決arp攻擊問題。欣向的免疫牆路由器具有先天免疫
功能,通過對協議的改動將nat表和arp表融合,當有arp請求時將直接查詢nat
表,使針對網關arp表的欺騙完全失去作用。終端裝有免疫網卡驅動,直接讀
取燒錄在網卡上的mac地址,保證正確。過濾惡意的arp數據包以及其他常見的
洪水攻擊,使網路保持暢通。監控中心能監控到每台機器的上下載流量,arp
發送量/攔截量,tcp/udp連接數,那台機器犯事了,能准確地把它揪出來。
2. 怎麼防止arp攻擊
可以肯定的是你同學使用的是限速軟體,如p2p、網路執法官、聚生網管等限速軟體。用免費的arp防火牆一般情況下也是防不住的。建議你下載3個軟體
1、arp彩影防火牆。在15天內基本上是可以防止的,正版沒有問題。
2、如果彩影不好用,就下載個反p2p終結者,當你同學運行時,感覺網速慢的情況下就運行下,對方就不能控制你了,如果他再次運行時,你就再運行下(比較麻煩)
3、下載最新的網路執法官等軟體,在他開啟前使用,你可以控制他了。(看誰先用,誰就能控制另外的人)
當然,大家都是室友,給他說下,沒必要限速,找他談談協商解決不好嗎?
另外,如果你們宿舍有沒有加裝路由,如果有的話,就可以徹底解決了。
3. 如何防止區域網ARP攻擊
經常出現IP地址沖突,說明有可能員工隨意自行設置IP。建議你做好IP地址台賬管理,哪台機子分配哪個IP地址都要登記好。最好把MAC地址跟IP地址在路由器上綁定,這樣就不容易出現IP被搶的情況。預防ARP可以安裝360的ARP防火牆就好了。
4. 我是電信乙太網用戶,電腦總被黑客攻擊,有解決辦法嗎
這種針對區域網的攻擊 根據你的情況最有可能就是你的計算機被 網路執法官或者P2P終結者之類的軟體攻擊並限制了 看看你的dns有沒有感便
最大的可能性就是ARP攻擊 防範方法如下
【故障原理】
在區域網中,通過ARP協議來完成IP地址轉換為第二層物理地址(即MAC地址)的。ARP協議對網路安全具有重要的意義。通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網路中產生大量的ARP通信量使網路阻塞。
在區域網中,兩台網路設備要互相通信,必須要互相知道對方的物理地址,也就是MAC地址。IP地址和MAC地址的關系就像A和B兩棟樓中的兩處居民小李和小張的關系。假設小李住在A樓,小張住在B樓,小李要和小張隔著樓談話,小李必須在A樓處大喊小張的名字(MAC地址)後,雙方才能談話。否則小李大喊B樓(IP地址),是無法進行談話的。而小李和小張之間的在談話之前的聯系,就是通過ARP協議來完成。
ARP協議是「Address Resolution Protocol」(地址解析協議)的縮寫。所謂「地址解析」就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。ARP協議的基本功能就是通過目標設備的IP地址,查詢目標設備的MAC地址,以保證通信的順利進行。
每台安裝有TCP/IP協議的電腦里都有一個ARP緩存表,表裡的IP地址與MAC地址是一一對應的,如下表所示。
我們以主機A(192.168.16.1)向主機B(192.168.16.2)發送數據為例。當發送數據時,主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了,也就知道了目標MAC地址,直接把目標MAC地址寫入幀裡面發送就可以了;如果在ARP緩存表中沒有找到相對應的IP地址,主機A就會在網路上發送一個廣播,目標MAC地址是「FF.FF.FF.FF.FF.FF」,這表示向同一網段內的所有主機發出這樣的詢問:「192.168.16.2的MAC地址是什麼?」網路上其他主機並不響應ARP詢問,只有主機B接收到這個幀時,才向主機A做出這樣的回應:「192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb」。這樣,主機A就知道了主機B的MAC地址,它就可以向主機B發送信息了。同時它還更新了自己的ARP緩存表,下次再向主機B發送信息時,直接從ARP緩存表裡查找就可以了。ARP緩存表採用了老化機制,在一段時間內如果表中的某一行沒有使用,就會被刪除,這樣可以大大減少ARP緩存表的長度,加快查詢速度。
從上面可以看出,ARP協議的基礎就是信任區域網內所有的人,那麼就很容易實現在乙太網上的ARP欺騙。對目標A進行欺騙,A去Ping主機C卻發送到了DD-DD-DD-DD-DD-DD這個地址上。如果進行欺騙的時候,把C的MAC地址騙為DD-DD-DD-DD-DD-DD,於是A發送到C上的數據包都變成發送給D的了。這不正好是D能夠接收到A發送的數據包了么,嗅探成功。
A對這個變化一點都沒有意識到,但是接下來的事情就讓A產生了懷疑。因為A和C連接不上了。D對接收到A發送給C的數據包可沒有轉交給C。
這是,如果在D上做「man in the middle」,進行ARP重定向。打開D的IP轉發功能,A發送過來的數據包,轉發給C,好比一個路由器一樣。不過,假如D發送ICMP重定向的話就中斷了整個計劃。
D直接進行整個包的修改轉發,捕獲到A發送給C的數據包,全部進行修改後再轉發給C,而C接收到的數據包完全認為是從A發送來的。不過,C發送的數據包又直接傳遞給A,倘若再次進行對C的ARP欺騙。現在D就完全成為A與C的中間橋梁了,對於A和C之間的通訊就可以了如指掌了。
【解決思路】
由於ARP協議的缺陷,導致任一台主機在收到ARP包時,沒有任何驗證就更新自己的ARP緩存,在ARP欺騙發生的時候,更是會發生隨意更改自己的網關的IP+MAC的指向,從而導致了掉線的發生。
解決的思路就是,摒棄這種動態更新ARP緩存的方式,改用由管理員靜態指定的方式。在一個區域網中要實現正常的上網行為,就必須要保證兩個方面通信正常,(1)主機(電腦)上的指向本地網關的IP+MAC正確;(2)網關(通常是路由)上,指向本地電腦的IP+MAC正確。根據上面兩個原則,我們就可以保證所有主機和路由器的通信正常,就可以防止被欺騙而引起掉線。解決方案就是要做雙向綁定;在本地所有電腦上綁定路由器的IP+MAC地址;在網關(路由器)上綁定所有電腦的IP+MAC地址。
1、如何在路由器上綁定所有主機(電腦)的IP+MAC地址;通常的,在路由器上綁定所有的主機的IP+MAC地址比較簡單,艾泰科技甚至提供出了一鍵綁定所有主機IP+MAC地址的功能,只需要點擊「全部綁定」就可以一次性綁定所有電腦的IP+MAC地址,如下圖:
2、如何在主機上綁定網關(路由器)的IP+MAC地址;
1)首先,獲得路由器的內網的MAC地址(例如HiPER網關地址192.168.16.254的MAC地址為0022aa0022aa)。
2)打開記事本,編寫一個批處理文件rarp.bat,保存後綴名為.bat,內容如下:
@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa
注意:將文件中的網關IP地址和MAC地址更改為您自己的網關IP地址和MAC地址。
3)將這個批處理軟體拖到「windows--開始--程序--啟動」中,保證Windows每次開機都可以執行這個批處理文件。
3、做完上面兩個步驟後,雙向綁定就已經完成了。但是在實際中發現,在電腦上綁定網關(路由器)的IP+MAC地址後,有一些變種的ARP欺騙病毒會將電腦上的綁定會刪除掉,只刪掉一台電腦的綁定後還無關緊要,但當這種病毒在區域網中開始蔓延,感染了大部分主機(電腦)的時候,上述做的雙向綁定實質上已經失效了。此時在區域網中依舊會出現大面積的掉線情況,針對此種情況,我們推薦用戶採用下面的方法對步驟2進行增強:
1)跳過上述步驟2
2)安裝AntiARP防火牆單機版,下載地址:http://www.antiarp.com/download.htm 。該軟體為了防止主機(電腦)上的靜態綁定被刪除,會每隔一個時間段自動檢查,如果發現被刪除會重新進行綁定。
3)在網關的IP/MAC處,手動設置網關的IP地址和MAC地址,輸入你區域網的網關的IP+MAC地址,確定,如下圖:
4)保持該軟體隨電腦啟動而啟動,即可。
4、如何查看當前主機的靜態綁定是否生效。
在命令行中輸入arp –a,如果對應的靜態綁定的類型(Type)為static,說明已經生效;如果類型(Type)為dynamic,則說明綁定沒有生效。如下圖:
【雙向靜態綁定的問題】
通過上述步驟的操作,可以完成在一個普通的區域網中應對ARP欺騙的防禦體系。但是所有的主機(電腦)上綁定網關的IP+MAC地址就並非易事,假設在一個200台電腦的網路中,網路管理員就會不停的來回在200台電腦上奔波,費時費力,對網路管理員的忍耐力絕對是個考驗。針對這種情況,艾泰科技提出了另外一種解決思路:網關(路由器)定時定向的向區域網廣播正確的網關(路由器)IP+MAC信息,來防止區域網發生的欺騙。採用此種方法,網路管理員只需要做兩個步驟,5分鍾輕松搞定:
1) 網關(路由器)上一鍵綁定所有主機(電腦)的IP+MAC地址;
2) 開啟網關(路由器)上的主動防禦arp攻擊的功能,如下圖;
【網吧環境下的ARP欺騙解決思路】
1、一般網吧網路環境有以下幾個特點:
(1)、所有電腦的主機都是固定IP地址。
(2)、路由器上沒有開啟DHCP功能。
(3)、網吧主機的數量穩定性較高,不會出現像酒店環境下的新的主機不斷帶入和流出網路的情況。
2、艾泰科技網吧環境下解決ARP攻擊的方法:
方法一、做雙向綁定
(1) 一鍵綁定所有主機的IP+MAC地址;
(2) 在主機(電腦)上綁定網關(路由器)的IP+MAC地址;
安裝AntiARP防火牆單機版,下載地址:http://www.antiarp.com/download.htm 。在網關的IP/MAC處,手動設置網關的IP地址和MAC地址,輸入你區域網的網關的IP+MAC地址。保持該軟體隨電腦啟動而啟動,即可。如下圖:
方法二、
1) 網關(路由器)上一鍵綁定所有主機(電腦)的IP+MAC地址;
2) 開啟網關(路由器)上的主動防禦arp攻擊的功能;
【中小企業環境下的ARP欺騙解決思路】
1、一般中小企業網路環境有以下幾個特點:
(1)、所有電腦的主機存在固定IP地址和動態DHCP分配IP地址的混雜情況。
(2)、路由器上開啟了DHCP功能。
(3)、中小企業網路內的主機的數量穩定性較高,不會出現像酒店環境下的新的主機不斷帶入和流出網路的情況。
2、艾泰科技中小企業環境下解決ARP攻擊的方法:
方法一、雙向綁定
(1)、網關(路由器)上綁定動態主機的IP+MAC地址;針對DHCP動態分配IP地址的主機,網路管理員事先在網關(路由器)上做好DHCP綁定,如下圖,綁定後,李曉明的電腦每次動態分配得到的IP地址都是192.168.1.100。
(2)、網關(路由器)上綁定固定IP地址主機的IP+MAC地址;
(3)、主機(電腦)上綁定網關的IP+MAC地址
安裝AntiARP防火牆單機版,下載地址:http://www.antiarp.com/download.htm 。在網關的IP/MAC處,手動設置網關的IP地址和MAC地址,輸入你區域網的網關的IP+MAC地址,確定。保持該軟體隨電腦啟動而啟動,即可。如下圖:
方法二、採用艾泰科技的動態防禦功能。
(1)、網關(路由器)上綁定動態主機的IP+MAC地址;針對DHCP動態分配IP地址的主機,網路管理員事先在網關(路由器)上做好DHCP綁定,如下圖,綁定後,李曉明的電腦每次動態分配得到的IP地址都是192.168.1.100。
(2)、網關(路由器)上綁定固定IP地址主機的IP+MAC地址;
(3)、開啟網關(路由器)的ARP欺騙防禦功能。
【酒店環境下的ARP欺騙解決思路】
1、一般酒店網路環境有以下幾個特點:
(1)、所有電腦的主機都是動態DHCP分配。
(2)、路由器上開啟了DHCP功能。
(3)、酒店網路內的主機的數量穩定性非常差,新的主機不斷帶入和原有的主機不斷的流出網路的情況。
2、酒店環境下解決ARP欺騙的難度:
(1)、所有電腦的主機都是動態DHCP分配,且不斷的有主機流進和流出。
(2)、流進的新主機(電腦),網關(路由器)要能自動識別並進行綁定;
(3)、流出的主機(電腦),網關(路由器)要能自動識別並自動刪除已經做的靜態綁定;
3、艾泰科技酒店環境下解決ARP攻擊的方法:
方法:採用艾泰科技獨有的酒店環境下ARP解決方案。
思路:
(1)、對流進的新主機(電腦),艾泰路由器自動識別並進行綁定;
(2)、流出的主機(電腦),艾泰路由器自動識別並自動刪除已經做的靜態綁定;
4、實施:
(1)、打開艾泰路由器的DHCP自動識別新主機(電腦)進行IP+MAC綁定和離線主機DHCP綁定自動刪除的功能;
(2)、開啟網關(路由器)的ARP欺騙防禦功能。
5. 如何防止網路ARP攻擊
ARP欺騙木馬程序(病毒)的攻擊(ARP是「Address Resolution Protocol」「地址解析協議」的縮寫),病毒發作時其症狀表現為計算機網路連接正常,卻打開網頁時斷時通;或由於ARP欺騙的木馬程序(病毒)發作時發出大量的數據包,導致用戶上網不穩定,極大地影響了用戶的正常使用,給網路的安全帶來嚴重的隱患。
病毒原理
當區域網內某台主機運行ARP欺騙的木馬程序時,會欺騙區域網內所有主機和交換機,讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過交換機上網現在轉由通過病毒主機上網,切換的時候用戶會斷一次線。由於ARP欺騙的木馬程序發作的時候會發出大量的數據包導致區域網通訊擁塞以及其自身處理能力的限制,用戶會感覺上網速度越來越慢。當ARP欺騙的木馬程序停止運行時,用戶會恢復從交換機上網(此時交換機MAC地址表正常),切換過程中用戶會再斷一次線。該病毒發作時,僅影響同網段內機器的正常上網。
採取的措施
一、用戶要增強網路安全意識,不要輕易下載、使用盜版和存在安全隱患的軟體;或瀏覽一些缺乏可信度的網站(網頁);不要隨便打開不明來歷的電子郵件,尤其是郵件附件;不要隨便共享文件和文件夾,即使要共享,也得設置好許可權,一般指定特定帳號或特定機器才能訪問,另外不建議設置可寫或可控制,以免個人計算機受到木馬病毒的侵入給網路的安全帶來隱患。
二、計算機用戶要及時下載和更新操作系統的補丁程序,安裝正版的殺毒軟體,增強個人計算機防禦計算機病毒的能力。
三、用戶檢查和處理「 ARP 欺騙」木馬的方法。
1、檢查本機是否中的「 ARP 欺騙」木馬染毒
同時按住鍵盤上的「 CTRL + ALT +DEL 」鍵,選擇「任務管理器」,點選「進程」標簽。查看其中是否有一個名為「 MIR0.dat 」之類的進程。如果有,則說明已經中毒。右鍵點擊此進程後選擇「結束進程」。
2、在受到ARP欺騙木馬程序(病毒)攻擊時,用戶可選擇下列方法的一種處理。
方法一:
下載Anti ARP Sniffer軟體保護本地計算機正常運行。同時把此軟體設為自動啟動,步驟:先把Antiarp.exe生成桌面快捷方式->選"開始"->"程序"->雙擊"啟動"->再把桌面上Antiarp.exe快捷鍵拷到"啟動"中,以保證下次開機自動運行,起到保護的作用。
方法二:
在「開始」 - 「程序」 - 「附件」菜單下調出「命令提示符」。輸入並執行以下命令:ipconfig
記錄網關 IP 地址,即「 Default Gateway 」對應的值,例如「 10.1.4.1 」。再輸入並執行以下命令:
arp ?Ca
在「 Internet Address 」下找到上步記錄的網關 IP 地址,記錄其對應的物理地址,即「 Physical Address 」值,例如「 00-e0-fc-0f-8f-4d」。在網路正常時這就是網關的正確物理地址,在網路受「 ARP 欺騙」木馬影響而不正常時,它就是木馬所在計算機的網卡物理地址。 也可以掃描本子網內的全部 IP 地址,然後再查 ARP 表。如果有一個 IP 對應的物理地址與網關的相同,那麼這個 IP 地址和物理地址就是中毒計算機的 IP 地址和網卡物理地址。 本方法可在一定程度上減輕中木馬的其它計算機對本機的影響。用上邊介紹的方法確定正確的網關 IP 地址和網關物理地址,然後在 「命令提示符」窗口中輸入並執行以下命令:
arp ?Cs 網關 IP 網關物理地址 。
方法三:(只適用時出現故障時的臨時解決辦法)
在「開始」 - 「程序」 - 「附件」菜單下調出「命令提示符」。輸入並執行以下命令:
arp -d
方法四:
區域網ARP攻擊免疫器,網上有得下。(1)將這裡面3個dll文件復制到windows\system32 裡面,將npf 這個文件復制到 windows\system32\drivers 裡面。(2)將這4個文件在安全屬性里改成只讀。也就是不允許任何人修改。
四、以下程序帶有此類ARP病毒(傳奇殺手等),請不要使用:
傳奇2冰橙子1.44版
傳奇2及時雨PK版
"網吧傳奇殺手"的木馬軟體進行傳奇帳號和密碼的掃描
網路執法官等類似程序
五、趨勢科技提供的ARP病毒清除工具
6. 怎樣防止被人惡意限制網路,ARP攻擊
ARP攻擊,是針對乙太網地址解析協議(ARP)的一種攻擊技術。此種攻擊可讓攻擊者取得區域網上的數據封包甚至可篡改封包,且可讓網路上特定計算機或所有計算機無法正常連接。你裝個360安全衛士吧,360的木馬防護牆的ARP防火牆很給力,能有效的阻止ARP攻擊,這個默認是關閉的,你自行開啟下,就行了,很管用的ARP防火牆。
7. 如何有效防止ARP攻擊
出現ARP攻擊一般是病毒引起的,找到源頭把病毒清除應該就可以了。防止ARP病毒攻擊的最有效手段:雙向靜態ARP綁定。具體方法:
客戶端:假設網關IP地址為192.168.0.1,MAC地址為11-22-33-44-55-66。在客戶端電腦打開記事本,輸入內容:「arp –s 192.168.0.1 11-22-33-44-55-66」。保存為d:\arpstatic.bat,然後在開始菜單的啟動組里添加到這個批處理文件的快捷方式就可以實現開機自動綁定網關IP和MAC地址了。如果你的公司里有Windows域,那就更方便了,可以通過域登錄腳本方法進行客戶端統一設置。
網關端:在路由器(或三層交換機等)上,把網路內所有IP地址都與對定的MAC地址做靜態綁定(未使用的IP地址可與不存在的MAC綁定。現在一般的邊緣路由器都帶這個功能的)。
8. 怎樣解決「乙太網攻擊」
AntiArp 或是奇虎360!
9. 如何防止被網路攻擊(急)
卡巴的防火牆挺厲害的,已經成功抵禦,所以你完全沒有必要擔心。
解決這個問題的辦法有:在服務裡面把其他服務都關了,只留下系統的那些服務就可以了,服務關了的話相應的埠也就關了,也就沒有攻擊的漏洞了~~~。
10. 關於ARP攻擊與防禦
現在的公司遇到arp攻擊問題很多,像傳統的解決arp攻擊問題,就像你路由器的設置無非就是一個arp防火牆的軟體,如,雙綁,arp防火牆等都解決不了根本問題,arp屬於乙太網中正常的協議行為。arp欺騙屬於乙太網自身的協議漏洞。現在網路環境中arp攻擊現象很多,往往遭到攻擊時網速會很卡很慢甚至全網癱瘓,很麻煩,現在防止arp的措施也是很有限,無非就是做雙綁,arp防火牆等但是這些效果都不是很好,就拿arp防火牆來說吧,ARP個人防火牆也有很大缺陷:
1、它不能保證綁定的網關一定是正確的。如果一個網路中已經發生了ARP欺騙,有人在偽造網關,那麼,ARP個人防火牆上來就會綁定這個錯誤的網關,這是具有極大風險的。即使配置中不默認而發出提示,缺乏網路知識的用戶恐怕也無所適從。
2 、ARP是網路中的問題,ARP既能偽造網關,也能截獲數據,是個「雙頭怪」。在個人終端上做ARP防範,而不管網關那端如何,這本身就不是一個完整的辦法。ARP個人防火牆起到的作用,就是防止自己的數據不會被盜取,而整個網路的問題,如掉線、卡滯等,ARP個人防火牆是無能為力的。
因為arp攻擊的原理是:
1、終端對網關的綁定要堅實可靠,這個綁定能夠抵制被病毒搗毀。
2、接入路由器或網關要對下面終端IP-MAC的識別始終保證唯一準確。
3、網路內要有一個最可依賴的機構,提供對網關IP-MAC最強大的保護。它既能夠分發正確的網關信息,又能夠對出現的假網關信息立即封殺。
所以建議你們網路升級為免疫網路,大家共享的網路誰也別想攻擊,網路環境干凈了。自然不會影響使用