解决局域网ARP攻击造成的断网问题
四招解决局域网中的arp病毒问题
四招解决局域网中的arp病毒问题1、指定ARP对应关系即强制指定ARP对应关系。
由于绝大部分ARP欺骗病毒都是针对网关MAC地址进行攻击的,使本机上ARP缓存中存储的网关信息出现紊乱,这样当机器要上网发送数据包给网关时就会因为地址错误而失败,造成计算机无法上网。
第一步:假设网关MAC信息为00-14-78-a7-77-5c,对应的IP地址为192.168.2.1。
在感染了病毒的机器上,点击“开始”->“运行”,输入cmd后回车,进入cmd命令行模式;第二步:使用arp -s命令来添加一条ARP地址对应关系,如arp -s 192.168.2.1 00-14-78-a7-77-5c命令。
这样就将网关地址的IP与正确的MAC地址绑定好了,本机网络连接将恢复正常了;第三步:系统每次重启的时,ARP缓存信息都会被全部清除。
可以将ARP静态地址添加指令写到一个批处理文件(例如:bat)中,然后将这个文件放到系统的启动项中,使程序随系统的启动而加载。
@echo off/**路由器IP地址及MAC地址**/Arp -s IP MAC/**本机在局域网中的IP地址及MAC地址**/Arp -s IP MAC注:/**…**/为注释文件,复制到文档中时去掉将文件保存为.bat形式的批处理文件,名称随意,然后将其放入到“启动”文件夹,如此每次开机就会先运行此文件。
2、清空ARP缓存一般来说ARP欺骗都是通过发送虚假的MAC地址与IP 地址的对应ARP数据包来迷惑网络设备,用虚假的或错误的MAC地址与IP地址对应关系取代正确的对应关系。
若是一些初级的ARP欺骗,可以通过ARP的指令来清空本机的ARP缓存对应关系,让网络设备从网络中重新获得正确的对应关系,具体解决过程如下:第一步:通过点击桌面上任务栏的“开始”->“运行”,然后输入cmd后回车,进入cmd(黑色背景)命令行模式;第二步:在命令行模式下输入arp -a命令来查看当前系统储存的ARP缓存中IP和MAC对应关系的信息;第三步:使用arp -d命令,将储存在本机系统中的ARP 缓存信息清空,这样错误的ARP缓存信息被删除,本机将重新从网络中获得正确的ARP信息,达到局域网机器间互访和正常上网的目的。
解决ARP攻击断网问题
解决ARP攻击断网问题最近抚顺广播电视局内的局域网总是不稳定连连出现断网的现象。
给同事们网络办公带来很多不便。
由于整个通过局域网共享internetr 的方式连接互联网起初我们还以为是楼内Internet出口的故障呢可是掉线情况越来越频繁经过我们认真的走访发现楼内有的电脑正常没有发生过掉线现象。
这下我们认定问题出现在单位内部并断定是病毒在捣鬼根据局域网内计算机频繁掉线的现象我们认为单位内的某台电脑可能中了ARP病毒ARP是“AddressResolutionProtocol”“地址解析协议”的缩写这种病毒有些杀毒软件很难根除病毒发作时其症状表现为计算机网络连接正常却无法打开网页或由于ARP欺骗的木马程序病毒发作时发出大量的数据包导致局域网内用户上网不稳定极大地影响了用户的正常使用给整个局域网的安全带来严重的隐患。
于是我们便在整个网络内展开了ARP病毒的捕杀过程。
ARP病毒发作时候的具体特征:当局域网内某台主机运行ARP欺骗的木马程序时会欺骗局域网内所有主机和交换机让所有上网的流量必须经过病毒主机。
其他用户原来直接通过交换机上网现在转由通过病毒主机上网切换的时候用户会断一次线。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制用户会感觉上网速度越来越慢。
当ARP欺骗的木马程序停止运行时用户会恢复从交换机上网此时交换机MAC地址表正常切换过程中用户会再断一次线。
该病毒发作时仅影响同网段内机器的正常上网。
1 找出病毒的根源首先我们通过局办公室的协助打开局域网内所有的电脑随后下载了一款名为“Anti Arp Sniffer”的工具这是一款ARP防火墙软件该软件通过在系统内核层拦截虚假ARP数据包来获取中毒电脑的IP地址和MAC地址。
此外该软件能有效拦截ARP病毒的攻击保障该电脑数据流向正确。
使用“Anti Arp Sniffer”查找感染毒电脑时启动该程序随后我们在右侧的“网关地址”项中输入该局域网内的网关IP随后单击“枚取MAC”这时该程序会自动获取到网关电脑网卡的MAC地址见图1。
局域网遭受ARP攻击无法上网怎么办
局域网遭受ARP攻击无法上网怎么办局域网遭受ARP攻击无法上网怎么办当局域网中的电脑遭受ARP攻击时,通常会造成电脑上网速度减慢或根本无法上网,下面是店铺给大家整理的一些有关介局域网遭受ARP攻击无法上网的解决方法,希望对大家有帮助!局域网遭受ARP攻击无法上网的解决方法当局域网电脑网速出现时断时连的情况下,通过情况下都是由ARP攻击所造成的。
对此我们需要进入如下操作:按“WIN+R”打开“运行”对话框,输入“CMD”进入MSDOS界面。
接着在打开的MSDOS界面中,输入命令“arp -a”查看网关信息,如果此时存在多条网关路由,则可确定此时局域网中存在ARP攻击。
然后我们找到正常的网关MAC地址和IP地址,使用命令"ARP -s 网关IP 网关MAC“将网关与对应MAC绑定即可。
当前以上方法需要每次重启电脑后再次进行绑定,一种比较好的解决方法是利用“360流量防火墙”实现自动绑定。
打开360流量防火墙程序。
切换至“局域网防护”选项卡,点击“手动绑定”网关按钮。
接下来手动输入网关IP和MAC进行绑定即可。
利用“大势至内网安全卫士”(在百度中直接搜索,并从搜索结果列表中任意选择一个地址下载即可)实现对局域网ARP攻击的检测功能。
在打开的程序主界面中选择网卡的类型,然后点击“开始监控”按钮。
同时勾选“发现ARP攻击时输出警报信息”项,如果局域网再次产生ARP攻击,就会自动报警啦。
如果通过以上方法仍然不能解决问题,则可以判断出造成网速时断时连的原因可能是其它方面。
对此我们需要利用360断网急救箱来排查和解决问题。
直接运行“360断网急救箱”程序。
如果通过以上方法仍然不能解决问题,则可以判断出造成网速时断时连的原因可能是其它方面。
对此我们需要利用360断网急救箱来排查和解决问题。
直接运行“360断网急救箱”程序。
END。
局域网无线网络一直断开怎么办
局域网无线网络一直断开怎么办在企事业单位中,越来越频繁使用局域网共享上网,但有时候会因为一台电脑中病毒或者其他原因,引发ARP攻击,造成整个局域网内所有电脑上网很慢。
下面是店铺收集整理的防止局域网ARP攻击引起的掉线,希望对大家有帮助~~防止局域网ARP攻击引起的掉线工具/原料360安全卫士方法/步骤下载安装360安全卫士,这个软件比较常见。
在软件主界面上方选择“功能大全”在弹出的窗口中,选择“360木马防火墙”如果没有“360木马防火墙”,可在当前窗口的右下角选择“添加小工具”找到“360木马防火墙”之后,点击右侧的“添加”即可打开“360木马防火墙”,在当前界面找到“”局域网防护(ARP),可看见默认是关闭的鼠标按住“已关闭”按钮不丢,往左拖动,它会变成绿色的“已开启”使用的是利用无线网络连接的台式电脑或笔记本电脑,如果您正在为网络时不时就断开而感到头疼.下面是店铺收集整理的局域网无线网络一直断开怎么办,希望对大家有帮助~~局域网无线网络一直断开解决办法方法/步骤首先,如果您使用的是固定的无线网络的话(如家中、办公地点的无线网络),回想一下您是否曾经连上过其它无线网络。
笔者的情况是,曾经在停电的时候尝试连上过一些没有设置密码的无线网络,之后再使用常用wifi的时候就反复出现网络断开又重新连上、断开又重连的问题。
双击任务栏中的网络连接图标,打开如图所示提示框后点击查看无线网络。
如果网络没有连上,双击图标就可以直接打开网络连接。
点击更改首选网络顺序。
查看箭头所指示的这块区域。
如果有多个无线网络的话,则删除您不常用的那些,留下1个或2个您常用的无线网络,并确定您正在使用的那个无线网位于第一位。
因为无线网络在连接后默认是(自动),而当您使用常用的无线网的时候,排在后面的无线网就会频繁地跳到第一位,电脑只能断开您当前的网络连接那些跳出来的网络。
但是那些网路又无法连上,于是只能再度断开连上您当前的网络。
局域网总是断网的解决方法
局域网总是断网的解决方法
在我们生活中让局域网电脑经常掉线的重要原因是局域网遭受ARP攻击所致,当局域网中ARP后,默认网关IP地址被伪造,造成局域网中大多数电脑瘫痪而无法正常上网。
下面是店铺为大家整理的关于局域网总是断网,一起来看看吧!
局域网总是断网的解决方法
解除局域网遭受ARP攻击最有效的方法有两种:一是手动指定局域网网关地址,即将网关IP地址与其对应的MAC进行绑定并建议静态路由。
以下是具体的设置方法:
打开电脑“运行”对话框,输入CMD进入DOS界面。
接着输入“arp -s 网关IP 网关MAC地址”并按回车即可。
另一种方法是隔离局域网中处于混乱模式的网卡。
通常我们是通过相关软件来实现操作。
比如“局域网安全卫士”。
大家可以直接在百度中搜索“局域网安全卫士”,然后选择任意一个地址进行下载安装即可使用啦。
在打开的程序界面中,选择要监控的网卡,点击“开始监控”按钮。
接着勾选“检测到混乱模式网卡时报警”项,并点击“检测”按钮。
经过以上设置之后,当局域网中存在混乱模式网卡时会自动报警,同时我们可以根据其所提供的IP地址信息对其进行隔离或更进一步的处理操作。
解决ARP攻击造成的局域网断网问题
无线局域网内的ARP攻击引起的上网掉线的原因和解决方法在家庭和公司的宽带局域网中,经常会遇到的就是ARP病毒攻击,最常见的症状是电脑老是掉线,网页经常打不开,QQ无法登陆之类的现象。
就是能浏览网页也会很卡,这不是无线路由器出故障了,也不是网速问题,大多都是遇到ARP攻击了,这对上网的体验影响很大,对业务以来网络的公司来说更是意味着金钱的损失。
下面就来给大家解释一下原因和相应的解决办法,顺带也说说ARP攻击的演化。
首先,我们先来了解一下什么是ARP攻击。
ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术。
此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接。
最早探讨ARP攻击的文章是由Yuri Volobue所写的《ARP与ICMP转向游戏》。
ARP攻击的演化初期:这种有目的的发布错误ARP广播包的行为,被称为ARP欺骗。
ARP欺骗,最初为黑客所用,成为黑客窃取网络数据的主要手段。
黑客通过发布错误的ARP广播包,阻断正常通信,并将自己所用的电脑伪装成别人的电脑,这样原本发往其他电脑的数据,就发到了黑客的电脑上,达到窃取数据的目的。
中期:ARP恶意攻击后来,有人利用这一原理,制作了一些所谓的“管理软件”,例如网络剪刀手、执法官、终结者等,这样就导致了ARP恶意攻击的泛滥。
往往使用这种软件的人,以恶意破坏为目的,多是为了让别人断线,逞一时之快。
特别是在网吧中,或者因为商业竞争的目的、或者因为个人无聊泄愤,造成恶意ARP攻击泛滥。
随着网吧经营者摸索出禁用这些特定软件的方法,这股风潮也就渐渐平息下去了。
现在:综合的ARP攻击最近这一波ARP攻击潮,其目的、方式多样化,冲击力度、影响力也比前两个阶段大很多。
首先是病毒加入了ARP攻击的行列。
以前的病毒攻击网络以广域网为主,最有效的攻击方式是DDOS攻击。
但是随着防范能力的提高,病毒制造者将目光投向局域网,开始尝试ARP攻击,例如最近流行的威金病毒,ARP攻击是其使用的攻击手段之一。
局域网受到ARP断网攻击的解决方法
局域网受到ARP断网攻击的解决方法
当局域网电脑遭受ARP攻击时,其重要特征为电脑无法正常访问网络,且存在IP冲突的情况,对此我们该如何解决呢?下面是店铺收集整理的局域网受到ARP断网攻击的解决方法,希望对大家有帮助~~
局域网受到ARP断网攻击的解决方法
打开“腾讯电脑管家”,点击“工具箱”按钮,从其应用列表中点击“ARP防火墙”按钮。
从弹出的窗口中点击“立即安装”按钮。
待”ARP防火墙“下载完成后会自动安装并运行,点击”已禁用“按钮来启用ARP防火墙。
切换至”设置“选项卡,勾选”手动配置网关/DNS“项,同时点击”绑定网关/DNS“按钮。
然后点击”添加网关/DNS“按钮来绑定网关IP地址和其MAC地址。
接下来就可以有效防止局域网受到ARP的断网攻击。
还有一种方法就是利用”聚生网管“来实现局域网中所有电脑的IP与其MAC地址的绑定操作,从而从根本上解决局域网受ARP断网影响的问题。
直接在百度中搜索”聚生网管“就可以获取下载地址。
运行”聚生网管“程序,在程序主界面中点击”安全防护“按钮,从中选择”IP-MAC绑定“按钮。
接着勾选”启用IP-MAC绑定“项,然后点击”手工添加绑定“按钮,并输入IP地址和与之对应的MAC地址来实现绑定操作。
绑定完成后,点击”保存配置“按钮完成设置。
最后选择以”网关模式“运行监控,就可以有效防止局域网遭受ARP攻击。
解决arp引起的断网问题
操作完毕后,将其保存为.bat形式的批处理文件,名称可以随意。
然后将其放入到"启动"文件夹,这样每次开机就会先运行一下,我们所编写绑定路由器及本地IP地址的命令,从而可以防范ARP病毒的地址欺骗。
而后以同样的方法,在台式机上绑定其路由器,以及本地IP地址,在利用杀毒软件进行全面杀毒,将ARP病毒从主机内赶走即可。
当然不排除绑定以上地址信息后,病毒仍然有地址欺骗的行为,并且还会引发断网的异常状况。
因此我们需要利用路由器实现更深层的绑定,才能彻底解决地址欺骗的根本问题。
下面以常见的TP-Link路由器为例,在笔记本电脑内,打开IE浏览器,输入192.168.1.1地址进入到TP-Link路由器登录界面,然后分别输入其账号和密码,进入到TP-Link管理界面。
而后打开台式机,使路由器正确为其分配IP地址并获得它的MAC地址。
然后依次展开左侧"IP与MAC绑定"→"ARP映射表"选项,就可在其右侧看到已接到路由器的IP地址和MAC 地址,我们单击"全部导入"按钮,就可将其配置存入到路由器内。
此时单击左侧"静态ARP绑定设置"选项,在右侧勾选上所有客户机的绑定功能,并启用ARP绑定就可实现对地址的更深层绑定,从而可以彻底防范ARP病毒,因发送欺骗信息而引发的断网情况。
最后为了将其病毒赶走,你可以先升级杀毒软件后,在对其电脑主机进行全面杀毒。
或者根据IT168以往所介绍过清除ARP病毒的相关文章,进行照猫画虎的操作一遍,同样也可达到清除该病毒的效果。
被ARP攻击怎么解决
被ARP攻击怎么解决
局域网中的计算机在受到ARP攻击时,通常会导致断网。
由于这种现象并不是由病毒所致,因此对其防范处理有一定的难度。
不过,我们仍然可以通过以下方法达到制止来自局域网的ARP攻击,下面就是具体的解决办法。
1、将IP和MAC地址进行邦定:
通过是在路由器端将局域网中各计算机的IP地址与其对应的网卡MAC地址实行邦定。
具体操作方法:打开路由器管理界面,点击“IP 与MAC邦定”→“静态ARP邦定设置”项,然后在右侧点击“添加单个项目”按钮。
2、在打开的“ARP静态邦定”窗口中,输入要邦定的IP和MAC,然后点击“保存”按钮即可。
用同样的方法添对局域网中其它计算机进行IP与MAC地址邦定。
最后点击“使所有条目生效”按钮即可。
3、利用网络防护类软件对网关IP进行邦定
打开“360安全卫士”,在程序主界面中点击“更多”按钮。
4、在程序列表中点击“流量防火墙”,然后在打开的窗口中切换至“局域网防护”选项卡。
5、然后将“网关邦定”模式设置为“手机邦定”,点击“详情/设置”按钮。
6、在打开的“添加保护网关IP和MAC”窗口中,点击“添加网关”按钮来手动邦定网关IP和MAC地址。
7、至此,局域网ARP冲突现象就得到有效遏制。
此时网速就正常了。
arp断网攻击怎么办
arp断网攻击怎么办
导语:ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
应该如何解决呢?
下面,我们就来看看arp断网攻击怎么解决。
1、首先启动360安全卫士,点击功能大全中的流量防火墙功能。
2、如果在主界面中没有找到流量防火墙,就点击功能大全旁边的更多按钮,在已添加的功能中就能找到。
3、在顶部的工具栏中选择局域网防护功能按钮。
4、对外Arp攻击拦截选择成已开启状态。
设置完毕,这样Arp防火墙就开启了,就可以为我们抵御Arp攻击了。
5、再点击防蹭网功能按钮,扫描一下同一局域网内的上网设备,最好在其他设备上也做以上设置,开通Arp防火墙这样就可以杜绝Arp攻击了。
6、最后在做一次全盘病毒扫描查杀一下病毒。
局域网被arp攻击怎么解决
局域网被arp攻击怎么解决当局域网中的电脑遭受ARP攻击时,通常会造成电脑上网速度减慢或根本无法上网,那么你知道局域网被arp攻击怎么解决吗?下面是店铺整理的一些关于局域网被arp攻击怎么解决的相关资料,供你参考。
局域网被arp攻击的解决方法一、彻底解决ARP攻击事实上,由于路由器是整个局域网的出口,而ARP攻击是以整个局域网为目标,当ARP攻击包已经达到路由器的时候,影响已经照成。
所以由路由器来承担防御ARP攻击的任务只是权宜之计,并不能很好的解决问题。
我们要真正消除ARP攻击的隐患,安枕无忧,必须转而对“局域网核心”――交换机下手。
由于任何ARP包,都必须经由交换机转发,才能达到被攻击目标,只要交换机据收非法的ARP包,哪么ARP攻击就不能造成任何影响。
我们提出一个真正严密的防止ARP攻击的方案,就是在每台接入交换机上面实现ARP绑定,并且过滤掉所有非法的ARP包。
这样可以让ARP攻击足不能出户,在局域网内完全消除了ARP攻击。
因为需要每台交换机都具有ARP绑定和相关的安全功能,这样的方案无疑价格是昂贵的,所以我们提供了一个折衷方案。
局域网被arp攻击的解决方法二、一般ARP攻击现在最常用的基本对治方法是“ARP双向绑定”。
由于ARP攻击往往不是病毒造成的,而是合法运行的程序(外挂、网页)造成的,所杀毒软件多数时候束手无策。
所谓“双向绑定”,就是再路由器上绑定ARP表的同时,在每台电脑上也绑定一些常用的ARP表项。
“ARP双向绑定”能够防御轻微的、手段不高明的ARP攻击。
ARP攻击程序如果没有试图去更改绑定的ARP表项,那么ARP攻击就不会成功;如果攻击手段不剧烈,也欺骗不了路由器,这样我们就能够防住50%ARP攻击。
但是现在ARP攻击的程序往往都是合法运行的,所以能够合法的更改电脑的ARP表项。
在现在ARP双向绑定流行起来之后,攻击程序的作者也提高了攻击手段,攻击的方法更综合,另外攻击非常频密,仅仅进行双向绑定已经不能够应付凶狠的ARP攻击了,仍然很容易出现掉线。
电脑遭受ARP断网攻击的原因及应对方法
电脑遭受ARP断网攻击的原因及应对方法ARP协议是地址解析协议的缩写。
ARP协议用于把IP地址解析成LAN硬件使用的MAC地址。
IP数据包常通过以太网发送,但以太网设备并不识别32位IP地址,它们是以48位以太网地址传输以太网数据包。
因此,必须把IP目的地址转换成以太网目的地址。
下面,我们就来看看简单方法巧妙应付ARP断网攻击。
一、原因根据实际经验,这个问题无非有两种情况!1、电脑中了ARP病毒,这种感觉病毒传播速度很快,一般局域网内有一台中毒,其它也很难幸免,所以要找到ARP攻击主机!如果有一天你的电脑老掉线或极慢,就要考虑你的电脑是否也感染了病毒!2、局域网内内有人使用了类似P2P技术的软件,来抢了你的'流量,这个问题你就要找和你用一根网线的用户谈谈了!二、系统自带防御--防御等级★★1、开启系统自带的防火墙,其实系统自带的防火墙也能应付一般性ARP攻击的!但很少人用。
首先点击开始菜单,进入控制面板!2、在控制面板页面选择“系统与安全”选项进入。
3、在系统与安全界面选择进入windows防火墙下面的检查防火墙状态!4、在windows防火墙状态页面,点击右侧菜单的“打开或关闭windows防火墙”!5、在开关防火墙页面,将所有网络环境下的防火墙开启!三、360防火墙--防御等级★★★★1、其实我们电脑上常用的360安全卫士也能应付一般性难度的ARP攻击,只是需要我们开启设置,首先进入360安全卫士主页面,点击右侧的功能大全--更多!2、在功能大全页面,点击流量防火墙,没有的可以在下方列表中自行添加!3、启动流量防火墙后点击,点击局域网防护菜单,在此页面打开“局域网ARP保护”开关。
四、专业ARP防火墙--防御等级★★★★★1、如果上述方法都解决不了的话,那只能使用专业的彩影ARP 防火墙软件了,它可以直接追踪主机详细情况,替你彻底解决问题!注意这个软件单击个人版是可以免费使用的!直接百度搜索彩影ARP防火墙即可找到下载链接!下载后直接安装即可!2、启动软件,可以自动监控,这与至于设置方面,都很容易上手的!你如果希望关闭报警提示,具体方法:在工具栏点高级参数设置--“报警” 将里面的三个复选框的勾都去掉即可,然后点击确定按钮!3、在选项里的网络流量分析你可以很容易找到攻击的源头!其它设置我们基本使用默认就可以了!4、至于高级参数设置你可以参考我下面的这个设置!选择”始终启用“,输入40。
网吧电脑掉线ARP攻击原理及解决方法
网吧电脑掉线<ARP攻击原理及解决方法>
问题描述:由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。
当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。
解决过程:【解决思路】
1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。
2、设置静态的MAC-->IP对应表,不要让主机刷新你设定好的转换表。
3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
4、使用ARP服务器。
通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。
确保这台ARP服务器不被黑。
5、使用"proxy"代理IP的传输。
6、使用硬件屏蔽主机。
设置好你的路由,确保IP地址能到达合法的路径。
(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
7、管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP 响应的真实性。
8、管理员定期轮询,检查主机上的ARP缓存。
9、使用防火墙连续监控网络。
注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。
经验总结:找到arp欺骗的应用程序是防止arp欺骗发生的关键!!!。
彻底解决局域网因ARP引起的掉线
彻底解决局域网因ARP引起的掉线作者:俞席忠来源:《电脑知识与技术》2010年第09期摘要:该文从创新的角度提出了彻底解决因ARP引起的掉线、网速慢、内部数据被盗等问题,以一个实例来说明如何在局域网中使用点对点协议完成局域网共享上网。
关键词:局域网;掉线;ARP;PPPoE;ROS软路由中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)09-2128-02因ARP攻击而导致局网络瘫痪的例子举不胜举,很多学校和企业面对攻击束手无策,对于ARP攻击原理及常规防止方法,本文不再详细列出,各大技术网站都有专栏说明。
本文将以一个实例来说明如何在局域网中使用点对点协议完成局域网共享上网。
在局域网内部架设PPPoE 服务器,对于传统的局域网,似乎是多此一举。
大家对PPPoE协议并不会陌生,家庭用户目前用的ADSL就是采用此协议,的确在以前作局域网时没有人会考虑用PPPoE协议来上网,但现在情况不一样了,因为ARP病毒来了,当双向绑定无效,使用各种补丁后仍掉线严重时,我们可以考虑用PPPoE这个点对点的协议来换掉广播式的ARP了。
大家都知道局域网站设置好IP地址、网关和DNS后即可路由器或代理服务器上网,通过ARP协议建立MAC与IP的对应关系,也就是ARP地址映射表,当有工作站打开了带有ARP攻击的网页或游戏外挂时,此工作站便会生成一个伪ARP地址映射表,并向局域网中所有机器发出ARP欺骗包,导致学校、网吧、企业办公网等局域网用户频繁掉线,目前防范ARP攻击的方法也是五花八门,软的硬的都有,但总是跟不上ARP变种的速度,ARP欺骗已成为局域网的一个顽疾,如何从根本上解决ARP欺骗问题,最根本的解决方法就是不用ARP协议共享Internet,工作站通过PPPoE像家用的ADSL一样上网。
以下通过ROS软路由PPPoE设置和工作站端设置等方面介绍。
1 ROS软路由PPPoE设置1.1 设置IP地址池进入winbox,单击IP→Pool如图1所示。
局域网断网ARP攻击怎么检测和修复
局域网断网ARP攻击怎么检测和修复
局域网用户连接网络时常断开怎么办?当局域网用户计算机受到ARP攻击时,会导致连接网络中断或者联网失败。
下面是店铺收集整理的局域网断网ARP攻击怎么检测和修复,希望对大家有帮助~~
局域网断网ARP攻击检测和修复的方法
方法/步骤
局域网ARP攻击的检测方法:打开“运行”窗口,输入“CMD”进入MSDOS界面。
在打开的“MSDOS”界面中,输入“arp -a”查看arp列表,其中如果存在多条与网关IP相对应的MAC地址时,表明局域网存在ARP攻击。
此外,我们还可以通过许多软件来检测局域网ARP攻击,例如“聚生网管”软件,直接在百度中搜索来获取下载地址。
运行“聚生网管”软件,在其主界面中点击“安全防御”-“安全检测工具”项进入。
在打开的“安全检测工具”界面中,点击“局域网攻击检测工具开始检测”按钮。
并在弹出的窗口中点击“开始检测”按钮,并在弹出的窗口中点击“是”按钮,即可自动检测局域网中的攻击源并列表。
对于局域网ARP攻击,有效的防护措施是利用ARP绑定,将网关IP和其Mac地址进行绑定即可。
这可以利用“360流量防火墙”来实现。
或者利用“聚生网管”跌“安全防御”-》“IP和MAC绑定”项来实现。
局域网受到ARP断网攻击该怎么办
局域网受到ARP断网攻击该怎么办当局域网中存在ARP攻击时,因导致局域网电脑无法正常上网,甚至造成整个局域网的崩溃。
下面是小编给大家整理的一些有关局域网受到ARP断网攻击的解决方法,希望对大家有帮助!局域网受到ARP断网攻击的解决方法可以通过以下方法来判断局域网是否遭受ARP攻击,按“Win+R”打开“运行”窗口,输入“CMD”并按“确定”以打开命令提示符界面。
对于最近的操作系统而言,有可以需要提升权限才能对ARP 攻击进行检测,对此在搜索框中输入“cmd"并从搜索结果页面中选择“命令提示符(管理员)”项进入。
从打开的“命令提示符”界面中,如果发现有多条与网关(路由器)IP地址相对应的静态或动态记录,则可以确定当前局域网存在ARP攻击。
如图所示,小编所在的局域网没有受到ARP攻击。
当局域网受到ARP断网攻击时,有效的解决办法是通过“360流量防火墙”来实现防护操作。
如图所示,只需要开启所有防护功能即可。
当然我们还可以借助“聚生网管”(直接在百度中搜索以获取程序下载地址)来实现局域网ARP的拦截及追踪操作。
安装并运行“聚生网管”程序,从打开的“监控网段管理”界面中,创建一个基于当前网卡的监控网段,并点击“开始监控”按钮即可进入程序主界面。
在程序主界面中,点击“启用监控”按钮,此时将自动列出当前局域网所有联网计算机。
也可以通过当前局域网结构从“监控模式”下拉列表中选择对应的选项。
接下来在“状态检测”界面中,勾选“输出ARP攻击”项,此时如果局域网中存在ARP攻击,则自动列出ARP攻击源的相关信息,以便网管理员进行排查及隔离操作。
END看了“局域网受到ARP断网攻击该怎么办”的人还看了1.局域网电脑受到ARP断网攻击怎么办2.局域网频繁受到ARP断网攻击怎么办3.局域网电脑遭受ARP断网攻击该怎么办4.ARP断网攻击怎么办。
遭受ARP攻击的解决办法
遭受ARP攻击的解决办法电脑遭受ARP攻击之后,通常最明显的现象是电脑无故出现断网,并且网络时连时断。
同时中ARP的电脑,也会成为扰乱局域网中其它电脑上网的罪魁祸首。
下面是店铺收集整理的遭受ARP攻击的解决办法,希望对大家有帮助~~遭受ARP攻击的解决办法工具/原料个人专属电脑(位于局域网中)具有ARP防护功能的杀毒软件DOS防护法1首先,我们必须先要了解自己的IP以及路由器的相关信息,才能知已知彼,不战不怠。
点击“开始”- “运行”,打开运行对话框,在其中输入“CMD”,进入Windows的命令提示符下,键入命令“ipconfig /all”查看一下本机电脑的IP地址信息,在这里,我们还能看到网关及DNS信息。
2通过网络管理员来询问路由器的相关信息,其中最重要的是网关的IP地址和MAC地址,我们也可以通过在DOS命令提示符下输入命令“arp -a”来查看,在获取了网关(即路由器)的IP地址和MAC地址后,就可以在本地主机上实现静态地址邦定。
之所之要实现静态邦定,就是让本机在获取网关信息时能够唯一确定,不会因为局域网存在ARP攻击而导使本机获取无效的网关地址信息,这样就可以确保网络的正常链接。
3实现网关(即路由器)的IP和MAC地址邦定。
针对WindowXP 用户,其操作方法是在DOS命令提示符下输入命令“arp -s 192.168.1.1 00-19-e0-aa-9b-e4 ”即可实现邦定。
4对于Windows7用户来说,实现方面为在DOS命令提示符下输入命令“netsh interface ipv4 show interface” 回车,查看你电脑所有网卡的idx,然后从中确定你要进行邦定的idx,在本机网络环境中我们需要进行邦定的idx为11,然后输入命令“netsh interface ipv4set neighbors 11 192.168.1.1 00-19-e0-aa-9b-e4”实现静态邦定。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
解决局域网ARP攻击造成的断网问题【字号:大中小】实战:解决局域网ARP攻击造成的断网问题家里通过连接老妈学校的局域网上网(不用出上网费,^_^ )~~从06年8月起,局域网中上网经常性掉线,通过科来网络分析系统发现,局域网中出现了arp欺骗攻击。
经过我不断查找资料,2月初终于实现完美预防,下面就做个总结,希望对其他人有帮助~~:)1. ARP概念ARP,全称Address Resolution Protocol,中文名为地址解析协议,它工作在数据链路层,在本层和硬件接口联系,同时对上层提供服务。
IP数据包常通过以太网发送,以太网设备并不识别32位IP地址,它们是以48位以太网地址传输以太网数据包。
因此,必须把IP目的地址转换成以太网目的地址。
在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。
但这个目标MAC 地址是如何获得的呢?它就是通过地址解析协议获得的。
ARP协议用于将网络中的IP地址解析为的硬件地址(MAC地址,每个网卡一个,据我观察分析,装系统时系统自动给予编号,形如00-03-0F-01-3E-0A),以保证通信的顺利进行。
1. 1 ARP和RARP报头结构ARP和RARP使用相同的报头结构,如图1所示。
(图1ARP/RARP报头结构)硬件类型字段:指明了发送方想知道的硬件接口类型,以太网的值为1;协议类型字段:指明了发送方提供的高层协议类型,IP为0800(16进制);硬件地址长度和协议长度:指明了硬件地址和高层协议地址的长度,这样ARP报文就可以在任意硬件和任意协议的网络中使用;操作字段:用来表示这个报文的类型,ARP请求为1,ARP响应为2,RARP请求为3,RARP响应为4;发送方的硬件地址(0-3字节):源主机硬件地址的前3个字节;发送方的硬件地址(4-5字节):源主机硬件地址的后3个字节;发送方IP(0-1字节):源主机硬件地址的前2个字节;发送方IP(2-3字节):源主机硬件地址的后2个字节;目的硬件地址(0-1字节):目的主机硬件地址的前2个字节;目的硬件地址(2-5字节):目的主机硬件地址的后4个字节;目的IP(0-3字节):目的主机的IP地址。
1.2 ARP工作原理1. 首先,每台主机都会在自己的ARP缓冲区(ARP Cache)中建立一个ARP列表,以表示IP地址和MAC地址的对应关系。
2. 当源主机需要将一个数据包要发送到目的主机时,会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址,如果有﹐就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。
此ARP 请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。
3. 网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。
如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP 地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个ARP响应数据包,告诉对方自己是它需要查找的MAC地址;4. 源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。
如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。
例如:A的地址为:IP:192.168.1.1 MAC: AA-AA-AA-AA-AA-AAB的地址为:IP:192.168.1.2 MAC: BB-BB-BB-BB-BB-BB根据上面的所讲的原理,我们简单说明这个过程:A要和B通讯,A就需要知道B的以太网地址,于是A发送一个ARP请求广播(谁是192.168.1.2 ,请告诉192.168.1.1),当B收到该广播,就检查自己,结果发现和自己的一致,然后就向A发送一个ARP单播应答(192.168.1.2 在BB-BB-BB-BB-BB-BB)。
1.3 ARP通讯模式通讯模式(Pattern Analysis):在网络分析中,通讯模式的分析是很重要的,不同的协议和不同的应用都会有不同的通讯模式。
更有些时候,相同的协议在不同的企业应用中也会出现不同的通讯模式。
ARP在正常情况下的通讯模式应该是:请求-> 应答-> 请求-> 应答,也就是应该一问一答。
2. 常见ARP攻击类型个人认为常见的ARP攻击为两种类型:ARP扫描和ARP欺骗。
2.1 ARP扫描(ARP请求风暴)通讯模式(可能):请求-> 请求-> 请求-> 请求-> 请求-> 请求-> 应答-> 请求-> 请求-> 请求...描述:网络中出现大量ARP请求广播包,几乎都是对网段内的所有主机进行扫描。
大量的ARP请求广播可能会占用网络带宽资源;ARP扫描一般为ARP攻击的前奏。
出现原因(可能):*病毒程序,侦听程序,扫描程序。
*如果网络分析软件部署正确,可能是我们只镜像了交换机上的部分端口,所以大量ARP请求是来自与非镜像口连接的其它主机发出的。
*如果部署不正确,这些ARP请求广播包是来自和交换机相连的其它主机。
2.2 ARP欺骗ARP协议并不只在发送了ARP请求才接收ARP应答。
当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。
所以在网络中,有人发送一个自己伪造的ARP应答,网络可能就会出现问题。
这可能就是协议设计者当初没考虑到的!2.2.1 欺骗原理假设一个网络环境中,网内有三台主机,分别为主机A、B、C。
主机详细信息如下描述:A的地址为:IP:192.168.1.1 MAC: AA-AA-AA-AA-AA-AAB的地址为:IP:192.168.1.2 MAC: BB-BB-BB-BB-BB-BBC的地址为:IP:192.168.1.3 MAC: CC-CC-CC-CC-CC-CC正常情况下A和C之间进行通讯,但是此时B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.1.3(C的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。
当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A被欺骗了),这时B就伪装成C了。
同时,B同样向C发送一个ARP应答,应答包中发送方IP地址四192.168.1.1(A的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(A的MAC地址本来应该是AA-AA-AA-AA-AA-AA),当C收到B伪造的ARP应答,也会更新本地ARP缓存(C也被欺骗了),这时B就伪装成了A。
这样主机A和C都被主机B欺骗,A和C之间通讯的数据都经过了B。
主机B完全可以知道他们之间说的什么:)。
这就是典型的ARP欺骗过程。
注意:一般情况下,ARP欺骗的某一方应该是网关。
2.2.2 两种情况ARP欺骗存在两种情况:一种是欺骗主机作为―中间人‖,被欺骗主机的数据都经过它中转一次,这样欺骗主机可以窃取到被它欺骗的主机之间的通讯数据;另一种让被欺骗主机直接断网。
第一种:窃取数据(嗅探)通讯模式:应答-> 应答-> 应答-> 应答-> 应答-> 请求-> 应答-> 应答->请求->应答...描述:这种情况就属于我们上面所说的典型的ARP欺骗,欺骗主机向被欺骗主机发送大量伪造的ARP应答包进行欺骗,当通讯双方被欺骗成功后,自己作为了一个―中间人―的身份。
此时被欺骗的主机双方还能正常通讯,只不过在通讯过程中被欺骗者―窃听‖了。
出现原因(可能):*木马病毒(例如一款传奇木马)*嗅探*人为欺骗第二种:导致断网通讯模式:应答-> 应答-> 应答-> 应答-> 应答-> 应答-> 请求…描述:这类情况就是在ARP欺骗过程中,欺骗者只欺骗了其中一方,如B欺骗了A,但是同时B 没有对C进行欺骗,这样A实质上是在和B通讯,所以A就不能和C通讯了,另外一种情况还可能就是欺骗者伪造一个不存在地址进行欺骗。
对于伪造地址进行的欺骗,在排查上比较有难度,这里最好是借用TAP设备(呵呵,这个东东好像有点贵勒),分别捕获单向数据流进行分析!出现原因(可能):* 木马病毒(同上)*人为破坏*一些网管软件的控制功能3. 常用的防护方法3.1对于arp攻击的解决思路1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。
2、设置静态的MAC-->IP对应表,不要让主机刷新你设定好的转换表。
3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
4、使用ARP服务器。
通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。
确保这台ARP服务器不被黑。
5、使用"proxy"代理IP的传输。
6、使用硬件屏蔽主机。
设置好你的路由,确保IP地址能到达合法的路径。
(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
7、管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。
8、管理员定期轮询,检查主机上的ARP缓存。
9、使用防火墙连续监控网络。
注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。
3.2我个人的解决方案及结果目前对于ARP攻击防护问题出现最多是绑定IP和MAC和使用ARP防护软件,也出现了具有ARP防护功能的路由器。
3.2.1 静态绑定最常用的方法就是做IP和MAC静态绑定,在网内把主机和网关都做IP和MAC绑定。
欺骗是通过ARP的动态实时的规则欺骗内网机器,所以我们把ARP全部设置为静态可以解决对内网PC的欺骗,同时在网关也要进行IP和MAC的静态绑定,这样双向绑定才比较保险。
方法:对每台主机进行IP和MAC地址静态绑定。
通过命令,arp -s可以实现―arp –s IP MAC地址‖。
例如:―arp –s 192.168.10.1 AA-AA-AA-AA-AA-AA‖。
如果设置成功会在PC上面通过执行arp -a 可以看到相关的提示:Internet Address Physical Address Type192.168.1.1 AA-AA-AA-AA-AA-AA static(静态)一般不绑定,在动态的情况下:Internet Address Physical Address Type192.168.1.1 AA-AA-AA-AA-AA-AA dynamic(动态)说明:对于网络中有很多主机,如果我们这样每一台都去做静态绑定,工作量是非常大的。