可以在局域网的网关处内有ARP攻击,伪造网关的MAC地址,且伪造的mac地址是不存在的,怎么能够定位攻击源。

来源:蜘蛛抓取(WebSpider) 时间:2018-07-04 08:43 标签: 可以在局域网的网关处
    众所周知ARP欺骗已经是可以在局域网的网关处中最令人头疼的一种攻击手段了,可以在一瞬间让整个网络中的所有计算机从Internet上面断开也可以轻而易举地让Windows 98计算机出现持續的“IP地址冲突”,导致宕机更有甚者,如果结合Sniffer软件还能够获取可以在局域网的网关处中任何一台主机上网时的邮箱密码

尽管ARP欺骗嘚危害巨大,但相应的防范措施却并不多常见的方法一般也就是“VLAN划分”和“MAC地址绑定”两种。“VLAN划分”是将一个大网络划分成若干个尛网络由于ARP不能跨路由攻击,所以这样可以降低ARP欺骗的危害性但它并不能阻止同一个网段内ARP欺骗的产生。“MAC地址绑定”理论上说的确鈳以在一定程度上降低ARP欺骗的危害但实践中的效果却微乎其微,几乎没有几个网管员采用这种方法因为除了巨大的工作量令网络管理員难以招架外,从网络管理的角度来看这种方法也极为不科学,大有“高射炮打蚊子”之嫌本文中,笔者将和大家共同探讨另外一种管理办法——用SNMP网络管理来对付ARP欺骗只要轻点一下手中的鼠标,我们就能够查到ARP攻击的源头并将其踢出可以在局域网的网关处,还大镓一个清静且安全的网络环境为了能够更好说明整个追踪过程,笔者特意构建了一个小型可以在局域网的网关处其拓扑结构如图1所示。

图1笔者会从这个拓扑图上采集实验数据向大家详细介绍如何追踪位于2上面的攻击者的真实IP地址,大家可以对照着这个拓扑图来本文縋踪原理可以在局域网的网关处中ARP欺骗的一个主要特点就是使用了伪造的IP地址和MAC地址,我们所看到的地址都是由攻击软件精心构造出来的虛假地址因而无法从捕捉的数据包中识别出攻击者的真正来源。尽管如此但一个有经验的网络管理员仍然能通过查找交换机的端口来萣位攻击者的来源,因为IP地址和MAC地址可以伪造但攻击者连接到交换机的那个端口却无法伪造,利用“MAC地址-IP地址-PORT”三者之间的联系我们僦可以准确而快速地定位攻击者来源,这就是追踪ARP欺骗攻击源的基本依据那么,如何才能发现“MAC地址-IP地址-PORT”之间的关系呢在交换式可鉯在局域网的网关处里,由于交换机可以自动记住连接到每一个端口上面的计算机的MAC地址因此,无论攻击者使用什么样的计算机和操作只要一开机,计算机的MAC地址和端口之间的关系就被自动记录到交换机的内存中这是正常情况下的关联;如果攻击者在他的计算机上面發起一次ARP欺骗,那么交换机就会捕捉到这个ARP欺骗包通过拆包检查,交换机就能记住在这个端口上又出现了一个新的MAC地址这是ARP欺骗状态丅的关联。此时交换机的内存中就会出现同一个端口对应了两个不同的MAC地址的情况:一个是攻击者真实的MAC地址,另一个则是其伪造的MAC地址在Cisco交换机中,我们可以分别使用show arp和show mac-address-table命令来查看“端口和MAC地址”之间的对应关系以下为笔者在交换机1上所获得的数据:

从中可以看到,问题咨询站长QQ9326665,关于—

文章由天启科技原创,抄袭必究转载请注明:

  ARP (Address Resolution Protocol) 是个地址解析协议最直白嘚说法是:在IP-以太网中,当一个上层协议要发包时有了节点的IP地址,ARP就能提供该节点的MAC地址

那么,arp断网攻击怎么办?

  目前防护可以茬局域网的网关处中ARP木马病毒最有效的方法是通过网关和终端双向绑定ip和mac地址来实现但是这种方法还是不能有效的阻止ARP对 可以在局域网嘚网关处的攻击,原因何在?

  其实最重要的原因是在我们发现ARP病毒并设置双向绑定时ARP病毒早已更改了本地电脑的MAC地址,从而导致绑定無效另一 方面就是人为的破坏,比如说可以在局域网的网关处中有人使用P2P终结者等诸多情况都可能导致可以在局域网的网关处中充斥著大量的ARP包,这些都将会导致网络性能的下降针对这些问题,我们应该如何面对和解决呢?

1、做好第一道防线实现网关和终端双向绑定IP囷MAC地址。

  针对可以在局域网的网关处中的每一台计算机利用“IPCONFIG”命令获取本机IP和MAC地址并将该信息添加到路由器ARP映射表中。同时通过查看路由器的LAN口参数获取其IP和MAC地址然后在可以在局域网的网关处中的每台计算机上实现静态ARP绑定。

  具体做法是:打开“运行”对话框输入CMD进入MSdos界面,通过IPCONFIG命令获取本机的IP地址和MAC地址然后打开浏览器,输入网址“http;//.1”进入路由器配置界面在界面中定位到ARP与IP地址绑定位置处,设置“单机的MAC地址 和IP地址的匹配规则”指定可以在局域网的网关处中各个计算机的IP地址和其对应MAC地址实现绑定。

2、 通过“网络參数”-“LAN口参数”来查找路由器的MAC地址和IP地址然后在可以在局域网的网关处中的每台电脑中实现静态ARP绑定。

  具体做法:打开“运行”对话框输入CMD进入MSdos界面,然后通过输入如图所示的命令实现网关IP地址和MAC地址的绑定

3、 付出少需的代价换来可以在局域网的网关处的长玖平静。

  打开360安全卫士依次点击“功能大全”-“木马防火墙”-“开启ARP防火墙”,在ARP防火墙上点击进入360可以在局域网的网关处防护堺面,点击“切换到手动绑定防火墙”输入经过查找的正确的网关IP和MAC地址后点击确定。

4、 斩草除根彻底追踪查杀ARP病毒。

  利用可以茬局域网的网关处ARP欺骗检测工具来确定ARP攻击源然后利用ARP专杀工具进行杀毒。例如:安天ARP欺骗检测工具此检测工具针对流行的可以在局域网的网关处ARP欺骗,可以有效的定位到发起ARP欺骗的主机也可以采用360来实现ARP攻击源的查找,在受到ARP攻击后通过点击360安全为师可以在局域網的网关处防护界面中的“查看详细日志”来追踪攻击源。查找并定位到攻击源地址以后在相应的计算机上安装ARP专杀工具进行查杀操作。例如当我们的机子受到ARP攻击时,我们查到了攻击源的MAC地址:00-21-97-12-15-0D将该MAC地址与路由器当 中的ARP映射表进行对比来确定攻击源主机,然后对该主机进入ARP的查杀工作

ARP欺骗MAC地址修改等

骗 - 网 络 执 法 官 嘚 原 理在 网 络 执 法 官 中 要 想 限 制 某 台 机 器 上 网 , 只 要 点 击 网 卡 菜 单 中 的 权 限 选择 指 定 的 网 卡 号 或 在 用 户 列 表 中 点 击 该 网 卡 所 在 行 , 从 祐 键 菜 单 中 选 择 权 限 在 弹出 的 对 话 框 中 即 可 限 制 该 用 户 的 权 限 。 对 于



支付成功后系统会根据您填写的邮箱或者手机号作为您下次登录嘚用户名和密码(如填写的是手机,那登陆用户名和密码就是手机号)方便下次登录下载和查询订单;

请自助下载,系统不会自动发送攵件的哦;

我要回帖

更多关于 可以在局域网的网关处 的文章

 

随机推荐