遭受ARP攻击后现象征集
什么是ARP协议:
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
如何查看ARP缓存表:
ARP缓存表是可以查看的,也可以添加和修改。在命令提示符下,输入“arp -a”就可以查看ARP缓存表中的内容了。
用“arp -d”命令可以删除ARP表中某一行的内容;用“arp -s”可以手动在ARP表中指定IP地址与MAC地址的对应。
ARP协议的工作原理:
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
ARP攻击主要是存在于局域网网络中,局域网中若有一个人感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
ARP欺骗:
其实,此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首,是网吧老板和网管员的心腹大患。
从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。
一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。有些网管员对此不甚了解,出现故障时,认为PC没有问题,交换机没掉线的“本事”,电信也不承认宽带故障。而且如果第一种ARP欺骗发生时,只要重启路由器,网络就能全面恢复,那问题一定是在路由器了。为此,宽带路由器背了不少“黑锅”。
作为网吧路由器的厂家,对防范ARP欺骗不得已做了不少份内、份外的工作。一、在宽带路由器中把所有PC的IP-MAC输入到一个静态表中,这叫路由器IP-MAC绑定。二、力劝网管员在内网所有PC上设置网关的静态ARP信息,这叫PC机IP-MAC绑定。一般厂家要求两个工作都要做,称其为IP-MAC双向绑定。
显示和修改“地址解析协议”(ARP) 所使用的到以太网的 IP 或令牌环物理地址翻译表。该命令只有在安装了 TCP/IP 协议之后才可用。
arp -a [inet_addr] [-N [if_addr]
arp -d inet_addr [if_addr]
arp -s inet_addr ether_addr [if_addr]
参数
-a
通过询问 TCP/IP 显示当前 ARP 项。如果指定了 inet_addr,则只显示指定计算机的 IP 和物理地址。
-g
与 -a 相同。
inet_addr
以加点的十进制标记指定 IP 地址。
-N
显示由 if_addr 指定的网络界面 ARP 项。
if_addr
指定需要修改其地址转换表接口的 IP 地址(如果有的话)。如果不存在,将使用第一个可适用的接口。
-d
删除由 inet_addr 指定的项。
-s
在 ARP 缓存中添加项,将 IP 地址 inet_addr 和物理地址 ether_addr 关联。物理地址由以连字符分隔的6 个十六进制字节给定。使用带点的十进制标记指定 IP 地址。项是永久性的,即在超时到期后项自动从缓存删除。
ether_addr
指定物理地址。
arp病毒攻击有哪些典型现象
ARP欺骗木马影响严重,只需成功感染一台计算机,就可能导致整个局域网无法上网,严重的甚至导致整个网络瘫痪。
一、感染ARP欺骗木马现象:
该病毒主要通过ARP(地址解析协议)欺骗实施攻击和破坏行为,中毒现象表现为以下几点:
1. 使用校园网时会突然掉线,过一段时间后又恢复正常。
2. 用户频繁断网,IE浏览器频繁出错。
3. 一些常用软件出现故障。
4. 使用身份认证上网的用户,出现能够通过认证,但是无法上网的情况。
二、检测是否感染ARP欺骗木马方法:
1. 同时按住键盘上的“Ctrl+Alt+Del”键,选择“任务管理器”,选中“进程标签”,查看其中是否有一个名为“MIR0.dat”的进程。如果有,说明已经中毒。右键点击该进程后,选择“结束进程”。
2. 如果用户发现无法上网,可以通过如下方法验证是否中此木马病毒:
1)点“开始”-“运行”,输入cmd,再输入arp -d,回车。
2)重新尝试上网,如能短暂正常访问,则说明此次断网是受木马病毒影响。
三、目前有以下几种办法手动解决:
1. 检查是否存在“MIR0.dat”进程,如有,则结束它。
2. 清空arp缓存表。点“开始”-“运行”,输入cmd,再输入arp -d,回车。
3. 禁用网卡后,然后再次重新启动网卡。
四、 使用Anti ARP Sniffer软件保护本地计算机正常运行。
1. 下载:点击下载Anti ARP Sniffer
2. 使用说明(如图所示):
1) 在“网关地址”处,输入本网段的网关地址。
2) 点击“枚取MAC地址”,自动获取网关MAC地址。
3) 点击“自动保护”即可。
当前利用ARP协议的网络攻击有哪些?并给出相应的解决方案
arp攻击一般有两种:对内网用户以及对路由器。
对付直接攻击你机器的方法可以直接安装ARP防火墙(如360安全卫士‘其实应该有比360更好的ARP防火墙’)
而对于攻击路由器的解决办法是绑定IP和MAC地址,欺骗是通过ARP的动态实时的规则欺骗内网机器,所以我们把ARP全部设置为静态可以解决对内网PC的欺骗,同时在网关也要进行IP和MAC的静态绑定,这样双向绑定才比较保险。
绑定方法:
对每台主机进行IP和MAC地址静态绑定。
通过CMD命令,arp -s可以实现 “arp –s IP MAC地址 ”。
具体:
arp -d(删除原来的,假设已被攻击)
arp -s xxx.xxx.xxx.xxx(网管的ip地址) xx-xx-xx-xx-xx-xx(网管的实际mac地址)
例如:“arp –s 192.168.10.1 AA-AA-AA-AA-AA-AA”。
如果设置成功会在PC上面通过执行 arp -a 可以看到相关的提示:
Internet Address Physical Address Type
192.168.10.1 AA-AA-AA-AA-AA-AA static(静态)
一般不绑定,在动态的情况下:
Internet Address Physical Address Type
192.168.10.1 AA-AA-AA-AA-AA-AA dynamic(动态)
以上是绑定你对于路由器的,还要绑定路由器对你的(路由器设置中有,其实360显示的攻击地址极可能是假的,因为这个是攻击者设置的,没有人会傻到填写真实的IP的)具体如果不清楚的话建议你去搜索一下ARP的攻击原理,这样有助于你理解防护方法。
我随便搜了一下:ht tp://tieba.baidu.com/f?kz=361138214
你看一下吧。
0条大神的评论