所谓的ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接。
1.对ARP攻击的防护方法
个人建议开启360安全卫士中的局域网防护(ARP防火墙)和绑定IP地址和MAC地址了。
方法如下:
开始→运行→ cmd →打开命令提示符,输入 ipconfig /all
Physical Adress 后面的就是MAC物理地址
IP Adress 后面的就是IP地址
再在命令提示符中输入ARP -s IP Adress(您的IP地址) Physical Adress (您的MAC地址)
[我打了空格的在DOS命令行下都要打空格]
2.对ARP病毒的解决
一般出现ARP缓存攻击、网关欺骗或开启360安全卫士局域网防护(ARP防火墙)和绑定MAC和IP地址仍然出现ARP攻击。这些现象说明是局域网有一台机子中了ARP病毒,在向别的机子发送ARP欺骗广播。解决方法是这样的,先定位ARP病毒主机,然后查杀该电脑中的ARP病毒。
(1)定位方法
一、DOS命令法
在DOS命令窗口下运行arp -a命令。
输入后的返回信息如下(注意:这是我列的假设):
Internet Address Physical Address Type
192.168.0.1 00-50-56-e6-49-56 dynamic
这时,由于这个电脑的ARP表是错误的记录,因此,该MAC地址不是真正网关的MAC地址,而是中毒
电脑的MAC地址!这时,再根据网络正常时,全网的IP—MAC地址对照表,查找中毒电脑的IP地址
就可以了。由此可见,在网络正常的时候,保存一个全网电脑的IP—MAC地址对照表是多么的重要
。可以使用nbtscan工具扫描全网段的IP地址和MAC地址,保存下来,以备后用。
nbtscan工具的使用方法:
就以上例,查找一台MAC地址为“00-50-56-e6-49-56 ”的病毒主机。
【1】将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下(或放在DOS命令的默认路径C:\Wi
ndows\System32下)
【2】在Windows开始—运行—打开,输入cmd(windows98输入“command”),在出现的DOS窗口中
输入:C: \nbtscan -r 192.168.16.1/24(这里需要根据用户实际网段输入[命令:“nbtscan -r
192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254);或“
nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段,即192.168.16.25-192.168.16.137。
输出结果第一列是IP地址,最后一列是MAC地址。]),回车。
【3】通过查询IP--MAC对应表,查出“00-50-56-e6-49-56 ”的病毒主机的IP地址为“192.168.0.
1”。
二、利用抓包软件
使用Sniffer抓包
在网络内任意一台主机上运行抓包软件,捕获所有到达本机的数据包。如果发现有某个IP不断发送
ARP Request请求包,那么这台电脑一般就是病毒源。原理:无论何种ARP病毒变种,行为方式有
两种,一是欺骗网关,二是欺骗网内的所有主机。最终的结果是,在网关的ARP缓存表中,网内所
有活动主机的MAC地址均为中毒主机的MAC地址;网内所有主机的ARP缓存表中,网关的MAC地址也
成为中毒主机的MAC地址。前者保证了从网关到网内主机的数据包被发到中毒主机,后者相反,使
得主机发往网关的数据包均发送到中毒主机。
(2)查杀ARP病毒,这个可以去百度搜下ARP病毒专杀,如趋势ARP病毒专杀!
这是我在360论坛发的ARP攻击解决贴,希望对您有帮助!
找到发起攻击的主机,并让他断网查毒。
哪台机子,在那台机子上装上360安全卫士,打开360arp防火墙,选上结束本机发出的攻击,就ok了。最好是杀杀毒,杀掉就好了。
去下载个ARP防火墙(QQ电脑管家就有)。
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024