近日网络状况不是很好,很多服务器受到ARP攻击,造成个人电脑感染后成为新的ARP攻击主机,对于个人电脑如何防范ARP攻击呢?
首先介绍一下ARP攻击,举个简单的例子,你每天都在单位食堂老王那里打饭,有一天一个长的和老王一样的人冒充老王给了你一份饭,结果是饭里下了泻药,那么你就拉肚子了。
这就是ARP欺骗,网络中的计算机通过IP来确认彼此的身份,ARP攻击主机隐瞒自己的真实身份冒充网关,其他主机在向网关获取信息时错误的接收了ARP攻击主机的信息,而此信息是下了“药”的,造成的后果就是病毒在网络各主机中不断的传播,当一台感染主机被关掉或者被处理掉时,另一台感染主机继续担当新的ARP攻击主机,造成网络中计算机不断的中毒交叉感染。
例如在你打开任何网页的时候都会包含
这就是ARP攻击主机在你上网时加到你访问的页面中的。
那么如何预防ARP攻击和处理呢?最好的办法就是通知管理员,及时处理掉ARP攻击主机,但是如果你不能及时联系到管理员,该如何防范呢?
还是通过那个例子说明,当你单位食堂老王那里打饭时,不要只通过他的长相来断定他是不是老王,而是要查看他的身份证,验一下他的DNA,呵呵,意思就是通过真正能确定他身份的方法来预防被欺骗。
ARP是地址解析协议,是一种将IP地址转化成物理地址的协议,那么网卡的物理地址(MAC地址)就是我们避免被欺骗所要检查的内容,单纯的通过IP地址或者通过MAC地址来进行验证都是不能完全避免ARP欺骗的,所以我们要通过IP地址和MAC地址绑定,也就是说双重验证的方法来避免ARP欺骗。
IP地址和MAC地址的绑定可以通过下面的命令来实现:
运行附件中的命令提示符,输入ipconfig/all查看本机网卡的IP地址和MAC地址
然后输入ARP -s IP 网卡 MAC地址
例如: arp -s 192.168.0.1 00-20-2C-5B-BF-5A
然后可以通过ARP -a 命令来查看一下,可以看到TYPE项由原来的dynamic(动态)变成了static(静态)
当然这只是预防ARP攻击最简单的做法,这需要局域网中每台计算机包括服务器都进行绑定,而且每次开机都要执行绑定命令,这样做很麻烦,而且效果不是很理想。
下面为大家提供一个预防ARP攻击的软件,此软件应用在当服务器被攻击造成局域网中计算机上网感染病毒或者丢失帐号的情况,安装此软件后可以绑定网关的IP和MAC地址,避免通过ARP攻击主机与真实网关进行数据交流。
防ARP攻击软件下载地址:
UploadFiles/2007-6/58590.98405293.rar
使用方法:
1、填入网关IP地址,点击〔获取网关地址〕将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。
2、IP地址冲突
如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数据包,才会出现IP冲突的警告,利用Anti ARP可以防止此类攻击。需要说明的是这个功能并不管用,此功能是通过改变自己的MAC地址来避免冲突,而有些网卡的MAC地址通过此软件无法更改。
其实要做到真正的安全一定要IP+MAC+端口绑定.不过这只有在智能交换机上才有。
好了,先写到这里,如果你想了解ARP攻击更多的解决方法,请查看关于ARP攻击的其他日志。
有疑问请联系QQ:8697348
KEBLE 发表于 2007-6-6 14:29:00‖阅读全文(414) | 回复(2) | 引用通告(0) | 编辑
标签:ARP专杀工具 ARP病毒
上一篇:IFRAME病毒防范与查杀
下一篇:代理服务器遭受ARP攻击处理方法
Re:ARP攻击处理防范方法
"最好的办法就是通知管理员,及时处理掉arp攻击主机",请教一下,管理员怎么处理arp攻击呢??谢谢,我是用路由器组的局域网.只有三台机.
arp受害者(游客)发表评论于2007-6-7 19:37:19‖个人主页 | 引用 | 返回 | 删除 | 回复
Re:ARP攻击处理防范方法
路由器处理arp攻击相对来说比较简单,进入管理界面,找到ip地址和mac绑定功能进行绑定就可以了。
如果你网内已经有主机感染并成为arp主机,请看关于arp攻击主机处理的日志
u/keble/archives/2007/20076891014.html
如果你想找到网内的攻击源,你下载本日志中的防arp攻击软件就可以查看到攻击主机的mac地址,然后通过mac扫描找到ip地址,或者你只有三台电脑,一个一个查也可以。 ---
转载请注明本文标题和链接:《ARP攻击处理防范方法》
发表评论