影音先锋男人资源av站_狠狠色综合激情丁香五月_爱爱爱爱看视频_在线播放免费人成视频在线观看_少妇人妻综合久久中文字幕_国产午夜无码精品免费看_久久久久久夜精品精品免费啦_男人女人午夜视频免费_日本xxxx裸体xxxx_丰满人妻熟妇乱又仑精品

電子科大論壇-非清水河畔

標題: 網絡掉線的罪魁禍首——ARP欺騙/攻擊 [打印本頁]
作者: zhouabc2007    時間: 2007-11-26 19:14
標題: 網絡掉線的罪魁禍首——ARP欺騙/攻擊
現(xiàn)在企業(yè)局域網中感染ARP病毒的情況比較多,給局域網的正常使用造成了很大的影響,同時清理和防范都比較困難,給不少的網絡管理員造成了很多的困擾。下面飛魚星工程師把處理此類問題的一些經驗與大家分享。

什么是ARP病毒
  ARP協(xié)議本身并不是病毒,只是很多木馬程序、病毒都采用了該協(xié)議,這些木馬病毒也經常出現(xiàn)在游戲的外掛中。
在一般的網絡中,路由器和PC均帶有ARP緩存,因此這兩類設備最容易受到ARP攻擊。如同路由器受到ARP攻擊時數(shù)據(jù)包不能到達PC一樣,上網PC受到ARP攻擊時,數(shù)據(jù)包也不會發(fā)送到路由器上,而是發(fā)送到一個錯誤的地方,當然也就無法通過路由器上網了。
ARP欺騙攻擊的癥狀
計算機網絡連接正常,有時候PC無法訪問外網,重新啟動路由器又好了,過一會又不行了;
用戶私密信息(如QQ、網游等帳號)被竊取;
局域網內的ARP廣播包巨增,使用ARP查詢時發(fā)現(xiàn)不正常的MAC地址,或者是錯誤的MAC地址,還有一個MAC地址對應多個IP的情況;
局域網內出現(xiàn)網絡擁塞,甚至一些網絡設備當機。

ARP欺騙攻擊的原理
ARP欺騙攻擊的包一般有以下兩個特點:
第一, 以太網數(shù)據(jù)包頭的源地址、目標地址和ARP數(shù)據(jù)包的協(xié)議地址不匹配;
第二, ARP數(shù)據(jù)包的發(fā)送和目標地址不在自己網絡網卡MAC數(shù)據(jù)庫內,或者與自己網絡MAC數(shù)據(jù)庫MAC/IP不匹配。
簡單的來打個比方來說,APR欺騙攻擊類似于:
ARP欺騙攻擊網關,路人甲到郵局冒充自己是路人乙,在郵局將路人乙的包裹領走了,而路人乙去郵局領包裹的時候,郵局沒有辦法給出包裹;
ARP欺騙攻擊PC,路人甲主動告訴路人乙自己是郵局工作人員,讓路人乙把需要郵寄的包裹交給了路人甲,回頭路人甲把包裹占為己有,并不會為路人乙郵寄包裹。

ARP欺騙攻擊的解決辦法
  針對ARP欺騙攻擊的防御,飛魚星科技于2005年率先提出針對ARP欺騙攻擊的主動防御理念,目前國內同類產品也以類似方式防御,即:增大路由器ARP信息主動廣播密度,從而減少PC遭受ARP欺騙攻擊的可能。
  現(xiàn)在市面上某些產品或軟件加強了ARP主動廣播的密度,意圖通過高密度廣播達到減緩或抑制內網PC遭受ARP欺騙的目的,但實際運用效果來看,加強廣播密度的做法:一方面,高密度的內網廣播,給網絡帶來了繁重的負擔,甚至產生廣播風暴,導致整個網絡的癱瘓;另一方面,如果內網中毒過重,那單純依靠某臺設備的高密度廣播也是有限的,隨著內網中毒PC數(shù)量的增加,ARP欺騙攻擊廣播勢必會壓過路由器或軟件主動廣播的密度,從而斷網問題仍然懸而未決,用戶怨聲載道。
因此,為減少網絡廣播壓力,有效抑制網絡廣播風暴,飛魚星工程師推薦用戶采用雙向IP/MAC地址綁定的方式來解決和防止ARP欺騙攻擊所導致網絡的時斷時續(xù)。
1、在PC上綁定路由器的IP和MAC地址:
方法一、安裝智能網關IP/MAC地址綁定軟件
推薦使用:“網關智能綁定精靈 正式版 2.0”,通過該軟件的下載和安裝,PC重啟后自動綁定網關IP/MAC地址,軟件還提供兩個附加IP/MAC地址的手動綁定策略(支持綁定服務器等附加綁定),針對本地ARP信息變更,提供報警提示服務。
下載地址:http://download.pchome.net/internet/tools/66075.html(PCHOME提供)
方法二、手動綁定網關IP/MAC
  (1)首先,獲得路由器的內網的MAC地址(例如,飛魚星高性能寬帶路由器局域網口的IP地址為:192.168.160.1,MAC地址為:00-3c-01-50-3f-66)。
  (2)用記事本編寫一個批處理文件Varp.bat內容如下:
  @echo off
  arp -d
  arp -s 192.168.160.1 00-3c-01-50-3f-66
  (將文件中的網關IP地址和MAC地址更改為您自己的網關局域網口的IP地址和MAC地址即可。)
將“Varp.bat”批處理軟件拖動(移動)到“開始”-->“程序”-->“啟動”中。
2、在路由器上綁定內網所有PC的IP和MAC地址:
  以飛魚星Volans-4920GP高性能寬帶路由器為例,在設備配置頁面“網絡安全”的“IP-MAC綁定” 中的“掃描MAC”,掃描到的未綁定主機通過“>>>”功能鍵添加掃描地址至綁定列表



雙向地址綁定結合飛魚星高性能寬帶路由器完善的攻擊防御體系,讓您的網絡更安全,更穩(wěn)定
3、找到感染ARP病毒的機器
  通過飛魚星路由器配置界面的“系統(tǒng)狀態(tài)”-->“系統(tǒng)日志”,查看ARP欺騙攻擊的對應日志信息。(如圖三所示)

  通過飛魚星路由器后臺命令提示符下管理,查看路由器ARP信息,最終查找到攻擊來源MAC地址對應IP地址,從而及時、有效的解決故障機問題。

其他排查辦法:
(1)在未綁定PC上Ping路由器網關的IP地址,然后使用“arp -a”命令,查看網關對應的MAC地址是否與實際情況相符,如有不符,可去查找與該MAC地址對應的PC。
(2)使用抓包工具,分析所得到的ARP數(shù)據(jù)報。有些ARP病毒是會把通往網關的路徑指向自己,有些是發(fā)出虛假ARP回應包來混淆網絡通信。第一種處理比較容易,第二種處理比較困難,如果殺毒軟件不能正確識別病毒的話,往往需要手工查找感染病毒的電腦和手工處理病毒,比較困難。
(3)使用MAC地址掃描工具,Nbtscan掃描全網段IP地址和MAC地址對應表,有助于判斷感染ARP病毒對應MAC地址和IP地址。

4、飛魚星工程師提醒您:
(1)經常更新內網所有PC操作系統(tǒng)的補丁;
(2)安裝正版的殺毒軟件,及時更新病毒庫,并做定期的病毒掃描;
(3)無論網絡規(guī)模大小,盡量使用手動指定IP地址方式管理,而不是使用DHCP來分配IP地址。
本文轉自:http://www.pconline.com.cn/network/solution/0709/1120035_1.html
作者: acer888    時間: 2007-11-27 21:12
頂了,前段時間是飽受煎熬啊!
作者: redboy0909    時間: 2007-11-29 10:51

是的,剛剛經受了考驗



歡迎光臨 電子科大論壇-非清水河畔 (http://www.hallmarkedu.com/) Powered by Discuz! X3.4