ARP病毒攻擊防治的高階經驗談

2021-09-05 18:18:48 字數 2370 閱讀 7581

要了解arp欺騙攻擊, 我們首先要了解arp協議以及它的工作原理,以更好的來防範和排除arp攻擊的帶來的危害。本文為大家帶來高階的arp攻擊防制方法。

基本arp介紹arp 「address resolution protocol」(位址解析協議),區域網中,網路中實際傳輸的是「幀」,幀裡面是有目標主機的mac位址的。所謂「位址解析」就是主機在傳送幀前將目標ip位址轉換成目標mac位址的過程。arp協議的基本功能就是通過目標裝置的ip位址,查詢目標裝置的mac位址,以保證通訊的順利進行。

我們以主機a(192.168.1.5)向主機b(192.168.1.1)傳送資料為例。當傳送資料時,主機a會在自己的arp快取表中尋找是否有目標ip位址。如果找到了,也就知道了目標mac位址,直接把目標mac位址寫入幀裡面傳送就可以了;如果在arp快取表中沒有找到相對應的ip位址,主機a就會在網路上傳送乙個廣播,目標mac位址是「ff.ff.ff.ff.ff.ff」,這表示向同一網段內的所有主機發出這樣的詢問:「192.168.1.1的mac位址是什麼?」網路上其它主機並不響應arp詢問,只有主機b接收到這個幀時,才向主機a做出這樣的回應:「192.168.1.1的mac位址是00-aa-00-62-c6-09。」這樣,主機a就知道了主機b的mac位址,它就可以向主機b傳送資訊了。同時它還更新了自己的arp快取表。

基本arp病毒防制法

通過對 arp工作原理得知,如果系統arp快取表被修改不停的通知路由器一系列錯誤的內網ip或者乾脆偽造乙個假的閘道器進行欺騙的話,網路就肯定會出現大面積的掉線問題,這樣的情況就是典型的 arp攻擊,對遭受arp攻擊的判斷,其方法很容易,你找到出現問題的電腦點開始執行進入系統的dos操作。ping路由器的lan ip丟包情況。輸入ping 192.168.1.1(閘道器ip位址),如下圖:

內網ping路由器的lan ip丟幾個包,然後又連上,這很有可能是中了arp攻擊。為了進一步確認,我們可以通過查詢arp表來判斷。輸入arp -a命令,顯示如下圖:

可以看出192.168.1.1位址和192.168.252位址的ip的 mac位址都是00-0f-3d-83-74-28,很顯然,這就是 arp欺騙造成的。

在理解了arp之後,arp欺騙攻擊以及如何判斷此類攻擊,我們簡單介紹一下如何找到行之有效的防制辦法來防止這類攻擊對網路造成的危害。

qno俠諾工程師的一般處理辦法分三個步驟來完成。 

1、啟用防止arp病毒攻擊

進入路由器的防火的基本配置欄將「防止arp病毒攻擊」在這一行的「啟用」並確定。

2、對每台pc上繫結閘道器的ip和其mac位址

在每台pc機上進入dos操作,輸入arp –s 192.168.1.1(閘道器ip) 00-0f-3d-83-74-28(閘道器mac),enter後完成每台pc機的繫結。

針對網路內的其它主機用同樣的方法輸入相應的主機ip以及mac位址完成ip與mac繫結。但是此動作,如果重起了電腦,作用就會消失,所以可以把此命令做成乙個批處理檔案,放在作業系統的啟動裡面,批處理檔案可以這樣寫:

@echo off

arp -d

arp -s路由器lan ip 路由器lan mac

在dhcp功能中對ip/mac進行繫結,qno路由器提供了乙個顯示新加入的ip位址的功能,通過這個功能可以一次查詢到網路內部的所有pc機的ip/mac的對應列表,我們可以通過「√」選的功能選擇繫結ip/mac。

高階arp病毒防制

單靠這樣的操作基本可以解決問題,但是qno俠諾的技術工程師建議通過進一步通過一些手段來進一步控制arp的攻擊。

1、病毒源,對病毒源頭的機器進行處理,防毒或重新裝系統。此操作比較重要,解決了arp攻擊的源頭pc機的問題,可以保證內網免受攻擊。

2、網咖管理員檢查區域網病毒,安裝防毒軟體(金山毒霸/瑞星,必須要更新病毒**),對機器進行病毒掃瞄。

3、給系統安裝補丁程式,通過windows update安裝好系統補丁程式(關鍵更新、安全更新和service pack)。

4、給系統管理員帳戶設定足夠複雜的強密碼,最好能是12位以上,字母+數字+符號的組合;也可以禁用/刪除一些不使用的帳戶。

5、經常更新防毒軟體(病毒庫),設定允許的可設定為每天定時自動更新。安裝並使用網路防火牆軟體,網路防火牆在防病毒過程中也可以起到至關重要的作用,能有效地阻擋自來網路的攻擊和病毒的入侵。部分盜版windows使用者不能正常安裝補丁,不妨通過使用網路防火牆等其它方法來做到一定的防護。

6、關閉一些不需要的服務,條件允許的可關閉一些沒有必要的共享,也包括c$、d$等管理共享。完全單機的使用者也可直接關閉server服務。

arp攻擊防制是乙個任重而道遠的過程,必須高度重視這個問題,而且不能大意馬虎,我們可以採取以上qno俠諾技術工程師的建議隨時警惕arp攻擊,以減少受到的危害,提高工作效率,降低經濟損失。

防治SARS的方式徹底根治ARP病毒

sars smile and retain smile,中文意思是 微笑,並保持微笑 當人們處在sars病毒肆虐的吞噬人類生命時,又如何微笑和保持微笑呢?回想起五年前發生在我們身邊的那場轟轟烈烈的sars戰役,奪走了無數人的性命。而如今,我們戰勝了sars病毒,大家歡呼雀躍時,誰也沒有想到另乙個殺手...

ARP攻擊的一般防治方法

防治arp攻擊方法 arp雙向繫結 所謂 雙向繫結 就是再路由器上繫結arp表的同時,在每台電腦上也繫結一些常用的arp表項。arp雙向繫結 能夠防禦輕微的 手段不高明的arp攻擊。arp攻擊程式如果沒有試圖去更改繫結的arp表項,那麼arp攻擊就不會成功 如果攻擊手段不劇烈,也欺騙不了路由器,這樣...

Oracle學習的經驗談

經常遇到朋友問oracle學習難不難,怎麼才能成為高手等等,我想結合我的個人經驗簡單說幾點 1 打好基礎,由淺入深 學習oracle不能急於求成,寄希望於一天成為乙個大俠。學習有個過程,應該由淺入深,在學習的過程中打好基礎,這樣在以後的學習中就能觸類旁通,舉一反三。就我個人經驗而言,建議先學習oca...