受到ARP攻击,攻击源是网关该怎么办?
网关绑定终端MAC地址,终端绑定网关MAC地址。
ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的网络层,负责将某个IP地址解析成对应的MAC地址。
ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。
ARP攻击的局限性,ARP攻击仅能在以太网(局域网如:机房、内网、公司网络等)进行。无法对外网(互联网、非本区域内的局域网)进行攻击。
总是被ARP攻击,该怎么办啊?
步骤一.
在能上网时,进入MS-DOS窗口,输入命令:arp
–a
查看网关IP对应的正确MAC地址,将其记录下来。
注:如果已经不能上网,则先运行一次命令arp
–d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp
–a。
步骤二.
如果已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。
手工绑定可在MS-DOS窗口下运行以下命令:
arp
–s
、网关IP、
网关MAC。
例如:假设计算机所处网段的网关为218.197.192.254,本机地址为218.197.192.1在计算机上运行arp
–a后输出如下:
C:\Documents
and
Settingsarp
-a
Interface:
218.197.192.1
---
0x2
Internet
Address
Physical
Address
Type
218.197.192.254
00-01-02-03-04-05
dynamic
其中00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址类型是动态(dynamic)的,因此是可被改变。被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC,如果大家希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找做准备。
手工绑定的命令为:
arp
–s
218.197.192.254
00-01-02-03-04-05
绑定完,可再用arp
–a查看arp缓存,
C:\Documents
and
Settingsarp
-a
Interface:
218.197.192.1
---
0x2
Internet
Address
Physical
Address
Type
218.197.192.254
00-01-02-03-04-05
static
这时,类型变为静态(static),就不会再受攻击影响了。
但是,需要说明的是,手工绑定在计算机关机重开机后就会失效,需要再绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,令其杀毒或从做系统方可解决。
找出病毒计算机的方法:
如果已有病毒计算机的MAC地址,可使用NBTSCAN或Anti
ARP
Sniffer软件找出网段内与该MAC地址对应的IP,即病毒计算机的IP地址,然后可报告校网络中心对其进行查封。
NBTSCAN的使用方法:下载nbtscan.rar到硬盘后解压,然后将cygwin1.dll和nbtscan.exe两文件拷贝到c:\windows\system32(或system)下,进入MSDOS窗口就可以输入命令:
nbtscan
-r
218.197.192.0/24
(假设本机所处的网段是218.197.192,掩码是255.255.255.0;实际使用该命令时,应将斜体字部分改为正确的网段)
。
注:使用nbtscan时,有时因为有些计算机安装防火墙软件,nbtscan的输出不全,但在计算机的arp缓存中却能有所反应,所以使用nbtscan时,还可同时查看arp缓存,就能得到比较完全的网段内计算机IP与MAC的对应关系。
ARP攻击怎么解决?
楼主你好
建议你可以开启ARP防火墙
ARP防火墙,简单来说是局域网的防火墙,当你的电脑是属于局域网的电脑时,你用这个ARP防火墙时,可以防止他人用:“网络执法官、网络剪刀手、局域网终结者”之类的软件来攻击你,使你的电脑无法上网。
你可以试试腾讯电脑管家,免费专业安全软件,杀毒管理二合一,占内存小,杀毒好,防护好,无误报误杀。拥有云查杀引擎、反病毒引擎、金山云查杀引擎、AVIRA查杀引擎、小红伞和查杀修复引擎等世界一流杀毒软件内嵌杀毒引擎!保证安全。
打开电脑管家——首页——工具箱——ARP防火墙开启
0条大神的评论