ARP攻擊危害:眾說周知���,ARP攻擊變得日益猖狂����,局域網(wǎng)內(nèi)頻繁性區(qū)域或整體掉線��、IP地址沖突��;網(wǎng)速時快時慢�。極其不穩(wěn)定,嚴重影響了網(wǎng)絡(luò)的正常通訊�。
一、首先診斷是否為ARP病毒攻擊
1����、當發(fā)現(xiàn)上網(wǎng)明顯變慢,或者突然掉線時����,我們可以用arp -a命令來檢查ARP表:(點擊“開始”按鈕-選擇“運行”-輸入“cmd”點擊"確定"按鈕,在窗口中輸入“arp -a”命令)如果發(fā)現(xiàn)網(wǎng)關(guān)的MAC地址發(fā)生了改變�����,或者發(fā)現(xiàn)有很多IP指向同一個物理地址���,那么肯定就是ARP欺騙所致�����。這時可以通過”arp -d“清除arp列表�,重新訪問。
檢查ARP列表
2���、利用ARP防火墻類軟件(如:360ARP防火墻��、AntiARPSniffer等)(詳細使用略)����。
3��、WIN7(Vista)系統(tǒng)中命令有所不同���,具體情況可以參考:如何解決ARP問題造成WIN7系統(tǒng)不能上網(wǎng)
二��、找出ARP病毒主機
1、用“arp -d”命令�,只能臨時解決上網(wǎng)問題,要從根本上解決問題����,就得找到病毒主機。通過上面的arp -a命令,可以判定改變了的網(wǎng)關(guān)MAC地址或多個IP指向的物理地址�,就是病毒機的MAC地址����。哪么對應這個MAC地址的主機又是哪一臺呢,windows中有ipconfig /all命令查看每臺的信息����,但如果電腦數(shù)目多話,一臺臺查下去不是辦法�����,因此可以下載一個叫“NBTSCAN”的軟件��,它可以掃描到PC的真實IP地址和MAC地址����。
2��、如果手頭一下沒這個軟件怎么辦呢��?這時也可在客戶機運行路由跟蹤命令如:tracert -d www.163.com����,馬上就發(fā)現(xiàn)第一條不是網(wǎng)關(guān)機的內(nèi)網(wǎng)ip�,而是本網(wǎng)段內(nèi)的另外一臺機器的IP,再下一跳才是網(wǎng)關(guān)的內(nèi)網(wǎng)IP�;正常情況是路由跟蹤執(zhí)行后的輸出第一條應該是默認網(wǎng)關(guān)地址,由此判定第一跳的那個非網(wǎng)關(guān)IP地址的主機就是罪魁禍首�。
查找訪問外網(wǎng)路徑
當然找到了IP之后,接下來是要找到這個IP具體所對應的機子了�����,如果你每臺電腦編了號����,并使用固定IP,IP的設(shè)置也有規(guī)律的話����,那么就很快找到了。但如果不是上面這種情況�����,IP設(shè)置又無規(guī)律�����,或者IP是動態(tài)獲取的那該怎么辦呢�����?難道還是要一個個去查����?非也����!你可以這樣:把一臺機器的IP地址設(shè)置成與作祟機相同的相同,然后造成IP地址沖突�,使中毒主機報警然后找到這個主機。
三�����、處理病毒主機
1��、用殺毒軟件查毒�,殺毒���。
2����、建議重裝系統(tǒng),一了百了�。(當然你應注意除系統(tǒng)盤外其他盤有無病毒)
四、如何防范ARP病毒攻擊
1��、IP/MAC雙向綁定
由于ARP病毒的種種網(wǎng)絡(luò)特性����,可以采用一些技術(shù)手段進行網(wǎng)絡(luò)中ARP病毒欺騙數(shù)據(jù)包免疫���。即便網(wǎng)絡(luò)中有ARP中毒電腦���,在發(fā)送欺騙的ARP數(shù)據(jù)包,其它電腦也不會修改自身的ARP緩存表��,數(shù)據(jù)包始終發(fā)送給正確的網(wǎng)關(guān)�,普遍使用的一種方式是“雙向綁定法”�����。雙向綁定法,顧名思義�����,就是要在兩端綁定IP-MAC地址�����,其中一端是在路由器中,綁定下面局域網(wǎng)內(nèi)部計算機的IP和MAC地址�,具體步驟請參考:ARP問題解決辦法之雙向綁定
2、作為網(wǎng)絡(luò)管理員����,應該充分利用一些工具軟件,備一些常用的工具����,就ARP而言�,推薦在手頭準備這樣幾個軟件:
(1)飛魚星網(wǎng)關(guān)智能綁定精靈,一鍵綁定�。
(2)“AntiARPSniffer”(使用AntiARPSniffer可以防止利用ARP技術(shù)進行數(shù)據(jù)包截取以及防止利用ARP技術(shù)發(fā)送地址沖突數(shù)據(jù)包,并能查找攻擊主機的IP及MAC地址)����。
(3)“NBTSCAN”(NBTSCAN可以取到PC的真實IP地址和MAC地址�����,利用它可以知道局域網(wǎng)內(nèi)每臺IP對應的MAC地址)
(4)“網(wǎng)絡(luò)執(zhí)法官”(一款局域網(wǎng)管理輔助軟件,采用網(wǎng)絡(luò)底層協(xié)議�����,能穿透各客戶端防火墻對網(wǎng)絡(luò)中的每一臺主機�����、交換機等配有IP的網(wǎng)絡(luò)設(shè)備進行監(jiān)控�;采用網(wǎng)卡號(MAC)識別用戶,主要功能是依據(jù)管理員為各主機限定的權(quán)限��,實時監(jiān)控整個局域網(wǎng)���,并自動對非法用戶進行管理��,可將非法用戶與網(wǎng)絡(luò)中某些主機或整個網(wǎng)絡(luò)隔離����,而且無論局域網(wǎng)中的主機運行何種防火墻,都不能逃避監(jiān)控��,也不會引發(fā)防火墻警告�,提高了網(wǎng)絡(luò)安全性)
3�、定時檢查局域網(wǎng)病毒����,對機器進行病毒掃描,平時給系統(tǒng)安裝好補丁程序����,最好是局域網(wǎng)內(nèi)每臺電腦保證有殺毒軟件(可升級)
4、指導好網(wǎng)絡(luò)內(nèi)使用者不要隨便點擊打開QQ�、MSN等聊天工具上發(fā)來的鏈接信息,不要隨便打開或運行陌生���、可疑文件和程序,如郵件中的陌生附件��、程序等���。
5�、建議對局域網(wǎng)的每一臺電腦盡量作用固定IP,路由器不啟用DHCP�����,對給網(wǎng)內(nèi)的每一臺電腦編一個號��,每一個號對應一個唯一的IP�,這樣有利用以后故障的查詢也方便管理�。并利用“NBTSCAN”軟件查出每一IP對應的MAC地址,建立一個“電腦編號-IP地址-MAC地址”一一對應的數(shù)據(jù)庫����。
