网关型ARP欺骗病毒的解决方案
四招解决局域网中的arp病毒问题
四招解决局域网中的arp病毒问题1、指定ARP对应关系即强制指定ARP对应关系。
由于绝大部分ARP欺骗病毒都是针对网关MAC地址进行攻击的,使本机上ARP缓存中存储的网关信息出现紊乱,这样当机器要上网发送数据包给网关时就会因为地址错误而失败,造成计算机无法上网。
第一步:假设网关MAC信息为00-14-78-a7-77-5c,对应的IP地址为192.168.2.1。
在感染了病毒的机器上,点击“开始”->“运行”,输入cmd后回车,进入cmd命令行模式;第二步:使用arp -s命令来添加一条ARP地址对应关系,如arp -s 192.168.2.1 00-14-78-a7-77-5c命令。
这样就将网关地址的IP与正确的MAC地址绑定好了,本机网络连接将恢复正常了;第三步:系统每次重启的时,ARP缓存信息都会被全部清除。
可以将ARP静态地址添加指令写到一个批处理文件(例如:bat)中,然后将这个文件放到系统的启动项中,使程序随系统的启动而加载。
@echo off/**路由器IP地址及MAC地址**/Arp -s IP MAC/**本机在局域网中的IP地址及MAC地址**/Arp -s IP MAC注:/**…**/为注释文件,复制到文档中时去掉将文件保存为.bat形式的批处理文件,名称随意,然后将其放入到“启动”文件夹,如此每次开机就会先运行此文件。
2、清空ARP缓存一般来说ARP欺骗都是通过发送虚假的MAC地址与IP 地址的对应ARP数据包来迷惑网络设备,用虚假的或错误的MAC地址与IP地址对应关系取代正确的对应关系。
若是一些初级的ARP欺骗,可以通过ARP的指令来清空本机的ARP缓存对应关系,让网络设备从网络中重新获得正确的对应关系,具体解决过程如下:第一步:通过点击桌面上任务栏的“开始”->“运行”,然后输入cmd后回车,进入cmd(黑色背景)命令行模式;第二步:在命令行模式下输入arp -a命令来查看当前系统储存的ARP缓存中IP和MAC对应关系的信息;第三步:使用arp -d命令,将储存在本机系统中的ARP 缓存信息清空,这样错误的ARP缓存信息被删除,本机将重新从网络中获得正确的ARP信息,达到局域网机器间互访和正常上网的目的。
如果电脑遭受ARPXX办解决方法
如果电脑遭受ARPXX办解决方法电脑遭受ARP欺骗(ARP Spoofing)是一种常见的网络攻击手段,攻击者通过伪造ARP响应包,使得网络中的其他主机将攻击者主机误认为是合法的网关,从而导致网络通信流量经过攻击者主机进行转发和窃取。
为了保护电脑安全,我们需要采取一系列的解决方法来应对ARP欺骗攻击。
首先,了解如何检测和确认自己是否受到了ARP欺骗攻击是非常重要的。
一种常见的检测方法是通过发送ARP请求包(ARP请求包中的目标IP 地址设置为广播地址),然后判断网络中是否有其他主机响应了这个ARP 请求。
如果有其他主机响应了该请求,那么就有可能存在ARP欺骗攻击。
另一种方法是使用ARP监控工具,它可以实时监测和显示在网络上发送和接收的ARP请求和响应包,从而帮助我们识别和分析网络流量中的异常。
一旦确认自己受到了ARP欺骗攻击,我们可以采取以下解决方法来应对:1.使用静态ARP绑定:静态ARP绑定是一种将IP地址和MAC地址进行手动绑定的方法,可以有效防止ARP欺骗攻击。
通过在主机上配置静态ARP绑定表,将合法网关的IP地址和对应的MAC地址进行绑定,使得主机只接受来自这个MAC地址的ARP响应包,从而阻止了伪造的ARP响应包的传播。
2.启用ARP报文过滤:ARP报文过滤是一种过滤和阻止异常ARP报文的方法,可以有效防止ARP欺骗攻击。
通过在主机或交换机上配置ARP报文过滤规则,对于异常的ARP请求包和ARP响应包进行过滤和丢弃,从而保证网络流量的安全。
3.使用ARP防火墙:ARP防火墙是一种专门用于防止ARP欺骗攻击的防御设备,可以有效监测和阻止伪造的ARP报文的传输。
ARP防火墙通过创建ARP表和绑定静态ARP绑定表,实时监测网络上的ARP请求和响应包,并通过比对和验证来确定合法的ARP报文,从而阻止异常ARP报文的传输。
5.使用安全工具:使用安全工具可以帮助我们检测和预防ARP欺骗攻击。
例如,可以使用网络安全监测软件来实时监测网络流量,及时发现和阻止异常ARP报文的传输;同时,还可以使用杀毒软件和防火墙等安全工具,对主机和网络进行全面的安全防护。
ARP欺骗的处理思路
ARP问题处理思路1、什么是ARP欺骗ARP欺骗(英语:ARP spoofing),又称ARP毒化(ARP poisoning,网上上多译为ARP病毒)或ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术,通过欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致网络不通。
此种攻击可让攻击者获取局域网上的数据包甚至可篡改数据包,且可让网上上特定计算机或所有计算机无法正常连线。
最早探讨ARP欺骗的文章是由Yuri Volobuev所写的《ARP与ICMP转向游戏》(ARP and ICMP redirection games)。
2、ARP欺骗的症状(1)网络时断时通;(2)网络中断,重启网关设备,网络短暂连通(3)内网通讯正常、网关不通;(4)频繁提示IP地址冲突;(5)硬件设备正常,局域网不通;(6)特定IP网络不通,更换IP地址,网络正常;(7)禁用-启用网卡,网络短暂连通;(8)网页被重定向。
3、如何解决ARP日志中出现的ARP攻击记录ARP欺骗分为两种情况第一种情况:ARP冲突(内网双终端使用相同IP地址与路由通信)解决办法:如果mac地址熟知是哪个终端,直接到对应终端的IPV4上查询是否使用静态IP地址,故意造成冲突存在(解决办法:修改非冲突IP或者使用自动获取即可)。
如果mac地址不熟知,那么可以把IP冲突的两个设备的Mac地址添加到Mac 访问控制里,禁止这两个使用相同IP的终端上网,等待不能上网的人员联系你就OK了哈;或者从物理架构上逐一排查,从一级交换到二级交换逐层拔掉网线,验证拔到哪里时候ARP日志不再次出现,即发现设备,顺网线找到设备核准上述问题情况或者检查内网是否有其他DHCP服务端,未校验分配状态,导致双DHCP工作条件下的IP重复分发(解决办法:关闭其他DHCP服务,同局域网标准仅允许一个DHCP服务)第二种情况:ARP欺骗(一般代指网关冲突),冲突与欺骗分别对应的是所处位置的看法(一般说使用者,也就是上网终端去理解)。
解决ARP欺骗的办法
以上解决办法可以对付所有arp欺骗程序、病毒或者木马。原理为在每台客户机增加属于网关的静态arp地址条目,不接受欺骗程序的arp条目更新请求。�
解决ARP欺骗的办法
Hale Waihona Puke 方法一:掉线时控制台用户管理会有相同的IP或MAC地址,病毒可能就是那台机发出的,找出是哪台机子,并关闭其电脑,看是否正常
方法二:
1、首先,获得出口代理服务器的内网网卡地址。(例如本公司网关地址192.168.168.10的MAC地址为00-05-b7-00-29-29)
2、编写一个批处理文件rarp.bat内容如下:
@echo off
arp -d
arp -s 192.168.0.1 00-e0-4c-41-5e-5e
将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。
3、利用收费软件服务端程序(pubwin或者万象都可以)发送批处理文件rarp.bat到所有客户机的启动目录。Windows2000的默认启动目录为“C:Documents and SettingsAll Users「开始」菜单程序启动”
局域网受到ARP欺骗攻击时的解决方法介绍
局域网受到ARP欺骗攻击时的解决方法介绍【故障现象】当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和安全网关,让所有上网的流量必须经过病毒主机。
其他用户原来直接通过安全网关上网现在转由通过病毒主机上网,切换的时候用户会断一次线。
切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。
当ARP欺骗的木马程序停止运行时,用户会恢复从安全网关上网,切换过程中用户会再断一次线。
【快速查找】在WebUIà系统状态à系统信息à系统历史记录中,看到大量如下的信息:MAC SPOOF 192.168.16.200MAC Old 00:01:6c:36:d1:7fMAC New 00:05:5d:60:c7:18这个消息代表了用户的MAC地址发生了变化,在ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址)。
同时在安全网关的WebUIà高级配置à用户管理à读ARP表中看到所有用户的MAC地址信息都一样,或者在WebUIà系统状态à用户统计中看到所有用户的MAC地址信息都一样。
如果是在WebUIà系统状态à系统信息à系统历史记录中看到大量MAC Old 地址都一致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时,主机在安全网关上恢复其真实的MAC地址)。
在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址,那么我们就可以使用NBTSCAN(下载地址:/upload/nbtscan.rar)工具来快速查找它。
ARP欺骗故障现象和解决方法
ARP欺骗现象和解决方法ARP定义:ARP是地址解析协议,是将ip地址转换成mac地址的协议。
是一种广播包。
ARP表生成:在主机的cmd命令窗口下,输入arp –a 可以看到所有的ip 和对应mac的信息如:ARP表如何生成:例如:主机A想要和主机B通信,主机A会查找本地arp表,找到主机B的mac地址,然后进行传输。
如果主机A没有找到主机B的mac地址,那么主机A就会发送一个arp广播包,主机B收到这个ARP广播包后,回复主机A它的mac地址。
然后主机A就会在本地arp缓存表里,生成主机B的ip和mac地址信息。
(该表现默认会保存300秒)ARP欺骗Arp欺骗有两种方式,一种是对网关的欺骗,一种是对pc的欺骗。
网关欺骗:通过不断发送错误的mac信息给网关,使真实的mac信息无法保存在路由器的arp表中,结果网关设备发送的数据都是错误的mac地址,导致正常的pc不能收到信息。
Pc欺骗:攻击者可以伪造自己是网关,这样,pc发送的数据都到达了假的网关,不能通过正常的网关传输数据。
ARP故障现象现象一:当局域网内某台主机感染了ARP病毒时,会向本局域网内所有主机发送ARP 欺骗攻击谎称自己是这个网端的网关设备,让原本流向网关的流量改道流向病毒主机,造成主机不能正常上网现象二:局域网内有某些用户使用了ARP欺骗程序,发送ARP欺骗数据包,致使被攻击的电脑出现突然不能上网,过一段时间又能上网,反复掉线的现象。
ARP诊断如果用户发现自己不能上网,或者网络时断时续,可以进行如下操作确定是否arp欺骗点击“开始”按钮->选择“运行”->输入“arp–d”->点击“确定”按钮,然后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致。
ARP –a 显示当前arp项ARP –d 删除当前arp项ARP处理首先找出arp病毒源,1、通过抓包软件,对抓包软件抓取到的数据分析,如果发现某个ip不停的发送arp包,那么这个ip的主机就是arp病毒源。
arp欺骗的解决方案
arp欺骗的解决方案1.引言1.1 概述ARP欺骗是一种常见的网络攻击手段,攻击者利用ARP协议的漏洞,通过发送虚假的ARP响应帧来篡改目标主机的ARP缓存表,从而达到欺骗目标主机的目的。
这种攻击会给网络带来严重的安全风险,可能导致数据泄露、网络崩溃甚至入侵。
本文旨在探讨ARP欺骗的解决方案,以帮助用户更好地应对网络攻击。
文章将介绍两种主要的解决方案:使用静态ARP表和使用ARP防火墙。
这两种方案不仅可以帮助用户有效应对ARP欺骗攻击,还能提升网络的安全性和稳定性。
在介绍解决方案之前,我们先对ARP欺骗的原理和危害进行了解和分析。
通过深入理解ARP欺骗攻击的原理,我们能更好地认识到这种攻击对网络安全造成的威胁,进而更好地理解解决方案的重要性和必要性。
接下来,我们将详细介绍解决方案一:使用静态ARP表。
通过使用静态ARP表,用户可以手动将IP地址和MAC地址的映射关系设置为固定值,有效地防止ARP欺骗攻击。
我们将介绍如何正确配置和管理静态ARP 表,并探讨其优势和劣势。
然后,我们将讨论解决方案二:使用ARP防火墙。
ARP防火墙是一种软件或硬件设备,通过监测和过滤网络中的ARP请求和响应,可以检测和阻止恶意ARP欺骗行为。
我们将介绍ARP防火墙的原理和配置方法,以及其在网络安全方面的优势和不足之处。
最后,我们将对本文进行总结,并对所介绍的解决方案进行评价。
我们将从安全性、实用性和成本等方面对这两种解决方案进行评估,以帮助读者全面了解和选择适合自身需求的解决方案。
通过本文的阅读,读者将能够了解ARP欺骗攻击的危害,掌握两种常见的解决方案,并能根据自身的实际情况和需求选择适合的解决方案,提升网络的安全性和稳定性。
1.2 文章结构文章结构部分的内容可以描述文章的整体框架和组织方式,以及各部分的主要内容和目标。
具体内容可以参考以下示例:文章结构:本文主要分为以下几个部分:引言、正文和结论。
引言部分:在引言部分,我们将首先概述ARP欺骗的背景和现状,介绍该问题对计算机网络和信息安全的危害。
ARP攻击防范与解决方案
ARP攻击防范与解决方案ARP(地址解析协议)攻击是一种常见的网络攻击手段,通过欺骗网络中的设备,使得攻击者可以窃取数据、篡改数据或者拒绝服务。
为了保护网络安全,我们需要了解ARP攻击的原理和解决方案。
一、ARP攻击的原理1.1 ARP欺骗:攻击者发送虚假ARP响应包,欺骗目标设备将攻击者的MAC 地址误认为是网关的MAC地址,导致数据流经攻击者设备。
1.2 中间人攻击:攻击者在网络中伪装成网关,截取目标设备与网关之间的通信,可以窃取敏感信息。
1.3 DOS攻击:攻击者发送大量虚假ARP请求,使得网络设备无法正常通信,造成网络拥堵。
二、ARP攻击的危害2.1 数据泄露:攻击者可以窃取目标设备的敏感信息,如账号、密码等。
2.2 数据篡改:攻击者可以篡改数据包,导致目标设备收到错误的数据。
2.3 网络拒绝服务:攻击者可以通过ARP攻击使得网络设备无法正常通信,造成网络拥堵。
三、ARP攻击的防范方法3.1 ARP绑定:在网络设备中配置ARP绑定表,将IP地址和MAC地址进行绑定,减少ARP欺骗的可能性。
3.2 安全路由器:使用具有ARP防护功能的安全路由器,可以检测和阻挠虚假ARP响应包。
3.3 网络监控:定期监控网络流量和ARP表,及时发现异常情况并采取相应措施。
四、ARP攻击的解决方案4.1 使用静态ARP表:在网络设备中手动配置ARP表,避免自动学习带来的风险。
4.2 ARP检测工具:使用专门的ARP检测工具,可以检测网络中是否存在ARP攻击,并及时采取应对措施。
4.3 更新网络设备:及时更新网络设备的固件和软件,修复已知的ARP攻击漏洞,提高网络安全性。
五、ARP攻击的应急响应5.1 断开网络连接:一旦发现ARP攻击,即将断开受影响设备的网络连接,阻挠攻击继续扩散。
5.2 修改密码:及时修改受影响设备的账号密码,避免敏感信息泄露。
5.3 报警通知:向网络管理员或者安全团队报告ARP攻击事件,协助进行应急响应和网络恢复。
ARP欺骗攻击解决方法
首先点击“恢复默认”然后点击“防护地址冲突”。
如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数据包,才会出现IP冲突的警告,利用Anti ARP Sniffer可以防止此类攻击。
首先您需要知道冲突的MAC地址,windows会记录这些错误。查看具体方法如下:
右击[我的电脑]-->[管理]>查看来源为[TcpIP]--->双击事件可以看到显示地址发生冲突,并记录了该MAC地址,请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-),输入完成之后点击[防护地址冲突],为了使MAC地址生效请禁用本地网卡然后再启用网卡,在CMD命令行中输入Ipconfig /all,查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符,如果更改失败请与我联系。如果成功将不再会显示地址冲突。
找出病毒计算机的方法:
如果已有病毒计算机的MAC地址,可使用NBTSCAN软件找出网段内与该MAC地址对应的IP,即病毒计算机的IP地址,然后可报告校网络中心对其进行查封。
解决措施
NBTSCAN的使用方法:
下载nbtscan.rar到硬盘后解压,然后将cygwin1.dll和nbtscan.exe两文件拷贝到c:\windows\system32(或system)下,进入MSDOS窗口就可以输入命令:nbtscan -r 218.197.192.0/24 (假设本机所处的网段是218.197.192,掩码是255.255.255.0;实际使用该命令时,应将斜体字部分改为正确的网段)。
C:\Documents and Settings>arp -aInterface: 218.197.192.1 --- 0x2Internet Address Physical Address Type218.197.192.254 00-01-02-03-04-05 static
ARP欺骗彻底解决方案
如何应对ARP欺骗攻击?新款路由器如何应对ARP欺骗攻击:Vigor的各系列新款路由器,都已经加入了IP MAC绑定功能,只要在路由器端绑定了PC的IP/MAC地址,同时在PC端使用ARP Client工具绑定网关的IP MAC地址,即可完全不受ARP 欺骗攻击的困扰。
由于ARP欺骗攻击既可以攻击网关,也可以直接作用到每台PC,所以任何一方的单方面绑定都无法杜绝ARP欺骗攻击带来的断网。
因此,不带IP/MAC绑定的Vigor老型号无法彻底解决ARP 欺骗攻击。
目前,带IP/MAC绑定功能的型号有VigorPro 200B,Vigor 3300B plus,Vigor 3300/V,Vigor 2910,VigorPro 100,Vigor 2800。
使用Vigor 3300B plus旧版firmware的用户可以通过升级Firmware 来得到IP/MAC绑定功能。
Vigor ARP欺骗攻击的解决方案,请参考:/support/Solutioncontentshow.php?solarticle_id=29旧型号路由器如何应对ARP欺骗攻击:对于没有IP MAC绑定功能的旧型号Vigor路由器,仍然可以使用ARP Client做PC端绑定,减少ARP欺骗攻击的危害。
ARP欺骗攻击,从攻击目标来看,可以分为定向攻击和非定向攻击两种。
对于非定向攻击来说,攻击目标是所有网内设备,因此,无论是网关还是PC,都是它攻击的目标,对于这种攻击,唯一的防范方式就是双向绑定。
还有一种攻击是定向攻击,只针对特定的一台/多台PC进行攻击,这样的攻击可能并不攻击路由器,这样一来,如果PC端锁定了网关的IP/MAC对应,就可以保证将上网封包发到路由器,路由器也可以正确的进行转发,上网完全不受ARP欺骗攻击的影响。
也就是说,PC端单向绑定对于定向攻击是可以起到很好的作用的。
ARP欺骗彻底解决方案由于ARP欺骗工作在互联网OSI 7层模型的第二层,ARP欺骗封包可以直接通过交换机传到路由器和PC,这一过程路由器无法干涉PC端接收并更新ARP的动作,PC端也无法干预路由器使其不更新ARP 信息,因此无论从路由器还是从PC端都无法单方面解决ARP欺骗问题。
ARP欺骗解决终极办法(传说中的虚拟网关)详解
192.168.0.0 255.255.255.0 192.168.0.129 192.168.0.129 10
192.168.0.129 255.255.255.255 127.0.0.1 127.0.0.1 10
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.129 10
任何IP 任何IP 网关IP 本机IP 优先等级(10是最小)
这行的意思是
如果我要访问Internet的话 从本机(192.168.0.129)通过网关(192.168.0.1)到任何Internet的服务器
Default Gat======================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
一条静态路由已经添加了。。
别人的教程里说这样已经可以了。。但实际使用当中还不行。。
接下来。我们做个P处理,把下面的复制下来。保存为BAT。如果嫌开机有黑框,那去找个BAT转EXE的。
route add 0.0.0.0 mask 0.0.0.0 xxx.xxx.xxx.xxx metric 1 (把xxx.xxx.xxx.xxx换成你真实的网关)
现在我们CMD-route print看下路由表。第一行的网关IP变成了你刚才设置的IP了。。而且这个网关IP是上不了网的。。。中国人都知道。。
接下来。我们仍旧在CMD下输入 route add -p 0.0.0.0 mask 0.0.0.0 XXX.XXX.XXX.XXX metric 1 (把xxx.xxx.xxx.xxx换成你真实的网关) 回车,我们加入一条静态的路由表 优先权限是1 (最大的)
ARP欺骗解决方案
ARP欺骗解决方案一、什么是ARPARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的低层协议,负责将某个IP 地址解析成对应的MAC地址。
在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。
在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。
但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。
所谓…地址解析“就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。
ARP 协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
二、ARP的工作原理在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,在命令提示符下,输入“arp -a”就可以查看ARP缓存表中的内容了:注:用“arp -d”命令可以删除ARP表的内容;用“arp -s”可以手动在ARP表中指定IP地址与MAC地址的对应。
我们以主机A(192.168.1.5)向主机B(192.168.1.1)发送数据为例。
当发送数据时,主机A会在自己的ARP 缓存表中寻找是否有目标IP地址。
如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.1.1的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。
这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。
同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。
局域网ARP欺骗和攻击解决方法
打开“ARP 映射表”窗口如下: 4、这是路由器动态学习到的 ARP 表,可以看到状态这 一栏显示为“未绑定”。 如果确认这一个动态学习的表没有 错误,也就是说当时不存在 arp 欺骗的情况下(如果网络是 正常运行的,而且不同的 IP 对应的 MAC 地址不一样,一般 是没有错误的) ,我们把这一个表进行绑定,并且保存为静 态表,这样路由器重启后这些条目都会存在,达到一劳永逸 的效果。 点击“全部绑定”,可以看到下面界面: 5、可以看到状态中已经为已绑定,这时候,路由器已 经具备了防止 ARP 欺骗的功能,上面的示范中只有三个条目, 如果您的电脑多,操作过程也是类似的。有些条目如果没有 添加,也可以下次补充上去。除了这种利用动态学习到的 ARP 表来导入外,也可以使用手工添加的方式,只要知道电脑的 MAC 地址,手工添加相应条目就可。 为了让下一次路由器重新启动后这些条目仍然存在,我 们点击了“全部导入”,然后再次打开“静态 ARP 绑定设置” 窗口: 6、可以看到静态条目已经添加,而且在绑定这一栏已 经打上勾,表示启用相应条目的绑定。到此,我们已经成功 设 置 路 由 器 来 防 止 192.168.1.111、 192.168.1.112、 222.77.77.1 这三个 IP 受 ARP 欺骗的攻击,如果有更多的电 脑,只是条目数不同,设置过程当然是一样的,不是很难吧? 三、设置电脑防止 ARP 欺骗
ቤተ መጻሕፍቲ ባይዱ
局域网 ARP 欺骗和攻击解决方法
步骤如下: 一、设置前准备 1、当使用了防止 ARP 欺骗功能(IP 和 MAC 绑定功能)后, 最好是不要使用动态 IP,因为电脑可能获取到和 IP 与 MAC 绑定条目不同的 IP,这时候可能会无法上网,通过下面的步 骤来避免这一情况发生吧。 2、把路由器的 DHCP 功能关闭:打开路由器管理界面, “DHCP 服务器”->“DHCP 服务”,把状态由默认的“启用” 更改为“不启用”,保存并重启路由器。 3、给电脑手工指定 IP 地址、网关、DNS 服务器地址, 如果您不是很清楚当地的 DNS 地址,可以咨询您的网络服务 商。 二、设置防止 ARP 欺骗 路由器 1、具备这种一功能的路由器产品很多,下面我们以某 一款路由器为例,设置路由器防止 ARP 欺骗。 打开路由器的管理界面可以看到如下的左侧窗口: 2、可以看到比之前的版本多出了“IP 与 MAC 绑定”的 功能,这个功能除了可以实现 IP 和 MAC 绑定外,还可以实 现防止 ARP 欺骗功能。 打开“静态 ARP 绑定设置”窗口如下: 3、注意,默认情况下 ARP 绑定功能是关闭,请选中启 用后,点击保存来启用。
arp欺骗类型病毒处理方法及流程
ARP欺骗类型病毒处理方法及流程最近公司网络网络变满或者出现时断时续的情况经查明为多为ARP欺骗病毒:一、故障原因:ARP欺骗类型病毒感染方式较多,此病毒全称为PWsteal.lemir.gen的一种木马,此类型病毒主要针对传奇,魔兽世界,QQ等程序。
此木马存在多个变种,病毒名称只是通称,并且每个变种导致的现象都不一样。
为此,查询了此病毒的多个变种的危害,发现其中一个变种会在局域网中进行ARP欺骗,其发作从而导致对局域网的连通性(时断时续)照成重大影响。
二病毒原理:当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和交换机,让所有上网的流量必须经过病毒主机。
其他用户原来直接通过交换机上网现在转由通过病毒主机上网,由交换机切换到病毒主机的时候用户会断一次线。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。
当ARP欺骗的木马程序停止运行时,用户会恢复通过交换机上网(此时交换机MAC地址表正常),切换过程2.接到客户端的广播请求后,冒充网关进行回应MAC地址,但是此MAC地址为伪造3.客户端获得网关的MAC地址,试图进行通讯,但是此MAC为伪造,导致通讯失败4.客户端无法上网四、1.首先找到ARP欺骗病毒发作的网络,在3层交换机上察看arp表,如果能够发现很多ip被同一mac占用,基本可以肯定就是这个maco另外arp传播能力并不强,基本上杀一个少一个,也可以在交换机上监听看看到底哪个地址在不停的发arp的包,确定了这个地址就是病毒源。
2.找到网络中感染ARP病毒的机器后,使用杀毒软件(升级最新病毒库)或专杀工具查杀。
五、WIN2K对于此病毒解决办法:1.此病毒文件名为KB5786825.LOQ将自己存放在WINNT目录下,看上去类似windows安装补丁之后产生的LOG文件,事实上此病毒为dll文件,只不过被修改了后缀,并采用注入到其他程序运行而达到隐蔽自己的目的,并且在每次开机通过注册表键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\Applnit_DLLs 来加载自己,达到每次开机即运行的目的2.目前防病毒软件的病毒定义码已经可以识别此病毒,但是由于是DLL文件,所以可能无法清除,可以采用以下的手动清除方法3.册IJ 除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs 的内容,注意是删除内容,不是删除此键值4.重新启动计算机5.访问WINNT目录,手动删除KB5786825.LOG文件六、防范措施:1.在防火墙上作策略,将查出ARP欺骗包丢弃掉。
ARP_网关欺骗的解决方法
ARP_网关欺骗的解决方法
步骤一:安装360安装卫士。
若电脑中未安装360安全卫士,请安装
U盘中的“360safe.exe”文件,下一步下一步就可以;
注意:如果该机器已安装有金山卫士,先卸载之;,再安装360安全卫士。
步骤二:配置360安装卫士
1.双击进入安全卫士软件界面,如图:
2.单击其中的“木马防火墙按钮”,进入360
木马防火墙界面.如图:
3.检查其第8项——ARP木马防
火墙是否开启,正常状态下应为图示这样为“开启”。
如果为灰色“关闭”,请开启,开启后该软件就会安装ARP木马防火墙,安装完成后会提示重启。
重启计算机。
并进行下一步配置。
步骤三:手动指定网关IP——MAC地址
1.点击木马防火墙“设置”按钮,进入
设置对话框:
2.选择“手工指定网关/DNS”项,并保存
一定要保存!
3.手工绑定网关:选择上方的“手工绑定网关”按钮进入手工绑定
网关界面:
4.在“添加保护网关IP/DNS”界面
中,选择“添加网关”项,进行如下配置:
填入以下内容:
网关IP为:192.168.0.1
网关MAC为:00-23-89-e4-03-d3
填写完成后点——确定。
5.回到以下界面后按“保存”按钮:
5.正确配置、保存后ARP防火墙配置应如下:
步骤四:打开IE浏览器测试是否能访问互联网;。
检查和处理ARP地址欺骗的方法
检查和处理“ ARP 欺骗”木马的方法
1、检查本机的“ ARP 欺骗”木马染毒进程
同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键,选择“任务管理器”,点选“进程”标签。
察看其中是否有一个名为“ MIR0.dat ”的进程。
如果有,则说明已经中毒。
右键点击此进程后选择“结束进程”。
2 .检查网内感染“ ARP 欺骗”木马染毒的计算机
在“开始” - “程序” - “附件”菜单下调出“命令提示符”。
输入并执行以下命令:
ipconfig
记录网关IP 地址,即“ Default Gateway ”对应的值,例如“10.87.58.126 ”。
再输入并执行以下命令:
arp –a
在“ Internet Address ”下找到上步记录的网关IP 地址,记录其
对应的物理地址,即“ Physical Address ”值,例如
“00-00-0c-07-ac-0f ”。
在网络正常时这就是网关的正确物理地址,在网络受“ ARP 欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。
3 .设置ARP 表避免“ ARP 欺骗”木马影响的方法
本方法可在一定程度上减轻中木马的其它计算机对本机的影响。
用上边介绍的方法确定正确的网关IP 地址和网关物理地址,然后在“命令提示符”窗口中输入并执行以下命令:
arp –s 网关IP 网关物理地址。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网关型 AR P欺骗病毒的解决方案
欧黄海 , 俊 , 袁 兰瑞 乐
( 西 师 范 学院 信 息 网络 中心 , 西 南宁 5 02 ) 广 广 3 0 3 摘 要 : 据 网关 型 A 根 RP欺骗 病毒 的特 点 , 出 了一 套针 对 该 病 毒 的 解 决 方 案 , D P服 务 器 提 取 用 户信 息 , 提 从 HC 在
Ke y wor s: d AR P p of ARP ius;A RP— ius g e so ; vr v r at way
1 AR P欺 骗 的简 介
由于 网络协 议 本身 的问题 , 使得 当今 的网络 十分
脆弱 , 容 易 受到 攻 击 , 是 当 初 网络协 议 的设计 者 很 这 始 料未 及 的 , 年 来 , P欺 骗病 毒 尤 为 猖獗 , 近 AR 所到
网关 设 备 上 将 用 户 的 I 址 和 MAC地 址 进 行 绑 定 , 而 解 除该 病 毒 对 局 域 网 的 影 响 。该 方 案无 须 增 加 专 用 的 设 P地 从 备 , 而 易 行 , 处 理 速 度 较 快 。根 据 该 方 案 , 计 了 一 整 套 程 序 , 将 该 程 序 应 用 到 广 西 几 所 高 校 的校 园 网 中 , 简 且 设 并 效
依据 其首 部的 MAC地 址来 目的主机 的MAC地址 才能 向其 发送数 据 。 P AR 协议 的作 用就 在于把 逻辑 地址 转 换成物 理地址 , 即 也
是把 3 bt P地址 变换 成4 bt 以太 网地址 。 2 i 的I 8i的 为避
免 频 繁 发 送 AR P包 进 行 寻 址 , 台 主 机 都 有 一 个 每 AR P高速 缓 存 , 中记 录 了最 近一 段 时 间 内其 它 I 其 P
第2 8卷 第 6期 20 年 l 08 2月
桂 林 电 子 科 技 大 学 学 报
J u na f Gu ln Uni e s t fElc r ni c o o y o r lo i i v r i y o e t o c Te hn l g
V0 . 8 No 6 12 , .
之处 都造 成局 域 网大面积 瘫痪 。
正常 模式 下 的网卡监 听 网络链路 上 的数据 包 , 将
监 听到 的数据 包 的 以太 网首部 中的 目的主 机 的 MAC 地址 与 固化 在 网卡 中的 MAC地 址 比较 , 如果 二 者 相
Ab t a t B n l zn h h r c e it so sr c : y a ay i g t e c a a t rs i fARP h a i g a t c tt e g t wa c —c e t t a k a h a e y,t i p p rp o o e o u i n t n h s a e r p s d as l t o o r mo e t e i f e c ft e v r s a h e v h n l n e o h iu tt e LAN.Ac o d n o t e s l t n,we c n f s ik u h s r ’ n o ma u c r ig t h o u i o a i t pc p t e u e s i f r — r t n fo t eDHCP a d t e i d t eu e ’ I n AC t g t e tt eg t wa e ie ti a y a d q i i r m h o n h n b n h s rS P a d M o e h ra h a e y d vc .I se s n u c a d k, n n e s n x r q i me t A e f p o e u e a e n d sg e n p l d t h e d o e ta e u p n . s t o r c d r s h s b e e i n d a d a p i o t e LAN n a f w o lg s i e i e c l e n e Gu n x ,wh c a e b e r v d t ee f c i e i e l g wi h agi ih h v e n p o e o b fe tv n d a i t t eARP—c e tn ta k a h a e y o c o l n h h a i g a t c tt eg t wa fs h o nt r e wo k.
S l i ns t o uto o ARP he tn t a k a a e c a i g a t c t g t wa y
OU ua H ng- i,y A N n,LA Ⅳ Ruil ha Ju -e
(n o ma in New o k C n e , u n x a h r ’ d c t n Un v ri I fr to t r e tr G a g i Te c es E u a i iest o y,Na nn 3 0 3, h n ) n ig 5 0 2 C i a
果 显著 , 好 地 解 决 了 网 关型 AR 较 P欺 骗 病 毒 对 校 园 网 的影 响 。
关 键 词 : RP攻 击 ;A P病 毒 ;网 关 型 A A R RP病 毒
中图分类号 : P 0 . T 395
文献标识码 : A
文章编号 :17 —0X(0 8 0 —4 60 6 38 8 2 0 )60 8 —3