对ARP病毒攻击的防范和处理及相应工具方法

最新推荐文章于 2024-04-03 15:49:26 发布
最新推荐文章于 2024-04-03 15:49:26 发布
阅读量7.1k 收藏 41
点赞数 10
分类专栏: 网络 文章标签: arp arp攻击 网络掉线 arp病毒 伪网关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jamesdodo/article/details/81180078
版权

如果在使用网络时速度越来越慢,直至掉线,而过一段时间后又可能恢复正常,或者,重启路由器后又可正常上网。故障出现时,网关ping 不通或有数据丢失,那么很有可能是受到了ARP病毒攻击。下面我就谈谈对这种情况处理的一些意见。 
一、首先诊断是否为ARP病毒攻击 
1、当发现上网明显变慢,或者突然掉线时,我们可以用arp-命令来检查ARP表:(点击 开始 按钮->选择运行->输入 cmd 点击 确定 按钮,在窗口中输入 arp -a 命令)如果发现网关的MAC地址发生了改变,或者发现有很多IP指向同一个物理地址,那么肯定就是ARP欺骗所致。 
2、利用Anti ARP Sniffer软件查看(详细使用略)。 
二、找出ARP病毒主机 
1、用“arp –d”命令,只能临时解决上网问题,要从根本上解决问题,就得找到病毒主机。通过上面的arp –a命令,可以判定改变了的网关MAC地址或多个IP指向的物理地址,就是病毒机的MAC地址。哪么对应这个MAC地址的主机又是哪一台呢,windows中有ipconfig/all命令查看每台的信息,但如果电脑数目多话,一台台查下去不是办法,因此可以下载一个叫“NBTSCAN”的软件,它可以取到PC的真实IP地址和MAC地址。 
命令:“nbtscan -r 192.168.80.0/24”(搜索整个192.168.80.0/24网段, 即 192.168.80.1-192.168.80.254);或“nbtscan 192.168.80.25-137”搜索192.168.80.25-137 网段,即192.168.80.25-192.168.80.137。输出结果第一列是IP地址,最后一列是MAC地址。这样就可找到病毒主机的IP地址。 
2、如果手头一下没这个软件怎么办呢?这时也可在客户机运行路由跟踪命令如:tracert –d www.163.com ,马上就发现第一条不是网关机的内网ip,而是本网段内的另外一台机器的IP,再下一跳才是网关的内网IP;正常情况是路由跟踪执行后的输出第一条应该是默认网关地址,由此判定第一跳的那个非网关IP 地址的主机就是罪魁祸首。 
当然找到了IP之后,接下来是要找到这个IP具体所对应的机子了,如果你每台电脑编了号,并使用固定IP,IP的设置也有规律的话,那么就很快找到了。但如果不是上面这种情况,IP设置又无规律,或者IP是动态获取的那该怎么办呢?难道还是要一个个去查?非也!你可以这样:把一台机器的IP地址设置成与作祟机相同的相同,然后造成IP地址冲突,使中毒主机报警然后找到这个主机。 
三、处理病毒主机 
1、用杀毒软件查毒,杀毒。 
2、建议重装系统,一了百了。(当然你应注意除系统盘外其他盘有无病毒) 
四、如何防范ARP病毒攻击 
1、从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。因此很多人建议用户采用双向绑定的方法解决并且防止ARP欺骗,这个确实是最好解决的办法,但如果电脑数量多的情况下,在路由器上作绑定工作量将很大,我个人认为主要做好在PC上绑定路由器的IP和MAC地址就行了,在PC上绑定可以按下面方法做: 
1)首先,获得路由器的内网的MAC地址(例如网关地址172.16.1.254的MAC地址为0022aa0022ee)。 
2)编写一个批处理文件rarp.bat内容如下: 
@echo off 
arp -d 
arp -s 172.16.1.254 00-22-aa-00-22-ee 
将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。将这个批处理软件拖到“windows--开始--程序--启动”中。 
这样即减轻了一台台设置的麻烦,也避免了由于电脑重新启动使得数据又要重做的麻烦。当然最好电脑要有还原卡和保护系统,使得这个批处理不会被随意删除掉。 
2、作为网络管理员,我认为应该充分利用一些工具软件,备一些常用的工具,就ARP而言,推荐在手头准备这样几个软件: 
①“Anti ARP Sniffer”(使用Anti ARP Sniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包,并能查找攻击主机的IP及MAC地址)。 
②“NBTSCAN”(NBTSCAN可以取到PC的真实IP地址和MAC地址,利用它可以知道局域网内每台IP对应的MAC地址) 
③“网络执法官” (一款局域网管理辅助软件,采用网络底层协议,能穿透各客户端防火墙对网络中的每一台主机、交换机等配有IP的网络设备进行监控;采用网卡号(MAC)识别用户,主要功能是依据管理员为各主机限定的权限,实时监控整个局域网,并自动对非法用户进行管理,可将非法用户与网络中某些主机或整个网络隔离,而且无论局域网中的主机运行何种防火墙,都不能逃避监控,也不会引发防火墙警告,提高了网络安全性) 
3、定时检查局域网病毒,对机器进行病毒扫描,平时给系统安装好补丁程序,最好是局域网内每台电脑保证有杀毒软件(可升级) 
4、指导好网络内使用者不要随便点击打开QQ、MSN等聊天工具上发来的链接信息,不要随便打开或运行陌生、可疑文件和程序,如邮件中的陌生附件,外挂程序等。 
5、建议对局域网的每一台电脑尽量作用固定IP,路由器不启用DHCP,对给网内的每一台电脑编一个号,每一个号对应一个唯一的IP,这样有利用以后故障的查询也方便管理。并利用“NBTSCAN”软件查出每一IP对应的MAC地址,建立一个“电脑编号-IP地址-MAC地址”一一对应的数据库。

jamesdodo
关注
  • 10
    点赞
  • 41
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
小贴士:无线路由器被ARP攻击处理方法
08-04
本文主要讲解了无线路由器以及ARP攻击的相关内容。如何具体的排除技巧和相关的故障处理,首先就是路由器ARP的排除技巧了。之后对于连接错误等问题在进行一下解析。
ARP攻击与欺骗及防御 和 ettercap工具的使用
H_zcn的博客
11-12 452
Ettercap是一款专业的中间人攻击工具。其利用ARP的缺陷进行攻击,在目标主机与服务器之间充当中间人,嗅探两者之间的数据流量,从中窃取目标主机的数据资料。该工具有窗口操作和文本两种模式。窗口模式ettercap -G 以root权限启动启动命令进来之后就是应该默认配置的页面,Primary interface是设置默认网卡的地方,应为我这里是使用的kali来进行的实验,所以默认的网卡是eth0,点击 √ 就开始主机发现。
谈谈网络安全的ARP攻击防护以及工具分享
卑贱的湘伦很无知的专栏
04-08 1418
ARP定义:ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的底层协议,对应于数据链路层,负责将某个IP地址解析成对应的MAC地址。 ARP攻击:就是通过造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络
ARP攻击或欺骗实验
最新发布
plumberry的博客
04-03 755
比如现在受害者1要使用telnet服务远程控制受害者2,当受害者1输入telnet远程控制账号和密码时,攻击者可以通过Cain软件自带的抓包功能(Cain抓取到的包会自动获取到当中的有用的内容,直接点击相应的选项可以直接查看)获取通信内容。当受害者1ping受害者2时,受害者1的主机上会形成ARP缓存记录受害者2的MAC地址,而此时受害者2的主机上也会在ARP缓存中记录受害者1的MAC地址。正常情况下,受害者1和受害者2的主机在未相互通过信时,双方的主机上是没有ARP缓存的。
ARP攻击怎么解决最安全
llllaaaaiiii0421的博客
03-08 1568
需要注意的是,ARP攻击的解决方法虽然可以缓解ARP攻击的影响,但并不能完全阻止ARP攻击的发生。因此,在网络中,还需要定期检查网络设备的安全性,更新软件补丁,加强安全措施等方式来保障网络安全。同时,网络管理员应该定期监控网络流量,以便及时发现和解决网络安全问题。ARP攻击是指攻击者通过网络中的ARP协议数据包,欺骗其他计算机的网络通信,从而实现中间人攻击等目的。
arp计算机病毒解决办法,“ARP病毒的解决方案”的解决方案
weixin_28889765的博客
07-14 4265
此方案适用XP VISTA WIN7 系统【问题描述】:中arp病毒【原因分析】:ARP(地址解析协议)是在仅知道主机的IP地址时确定其物理地址的一种协议。当电脑收到ARP数据包时,可以肯定是当前局域网内某台电脑(非本机)利用工具造IP地址和MAC地址实现ARP欺骗,这时候应该尽快联系一下网络管理员并且安装ARP防护软件。【解决方案】:方案一:使用安全软件检测是否有ARP存在1. 首先开启...
站长百科:arp欺骗攻击怎么解决?
05-02 1141
3.和实际网关mac地址作对比,若不一样,可以确定mac地址的电脑中了arp病毒;它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。arp欺骗攻击是一种黑客攻击手段,分为对路由器arp表的欺骗和对内网PC的网关欺骗。此外,选择安全可靠的服务器也是预防arp攻击的有效方法
arp断网攻击解决办法
beijing20120926的专栏
02-20 2867
局域网中有这个提示arp断网攻击是正常的,说明防火墙已经拦截了,是有人用P2P工具控制你的网速,或者是局域网有机器中病毒了也会有这样的提示,不过不用担心,今天给大家带来几个防止arp断网攻击的办法,希望能帮助到有需要的朋友。     ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接
站长百科:如何解决arp攻击
05-02 303
3、保证网关IP-MAC始终正确的机构,在免疫网络中是一套安全机制。首先,它能够做到把从路由器中取到的真实网关信息,分发到每一个网内终端,而安装有驱动的终端,只接受这样的信息,其他信息不能接受,保证了网关的唯一正确性。在驱动中的看守式绑定,就是把正确的网关信息存贮在非公开的位置加以保护,任何对网关信息的更改,由于看守程序的严密监控,都是不能成功的,这就完成了对终端绑定牢固可靠的要求。ARP防火墙的使用范围很广,它是通过在终端电脑上对网关进行绑定,保证不受网络中假网关的影响,从而保护自身数据不被窃取的措施。
解决ARP欺骗和攻击方法.docx
10-24
解决ARP欺骗和攻击方法
ARP攻击检测工具,比较不错的局域网软件
09-05
本软件ARP攻击检测工具来自网络或由网友发布,本站提供免费下载,软件ARP攻击检测工具仅供学习网络安全技术所用,软件经过本站软件测试,为了安全,大家还是自行测试。学习过程中请遵循国家相关法律法规。 版权申明:本站软件大部分来自网络,如有问题可以联系网站管理员,谢谢!如果觉得本站对你有用,可以收藏本站到收藏夹.
ARP病毒入侵原理和解决方案
06-30
ARP病毒入侵原理和解决方案 局域网内有人使用ARP欺骗的木马程序(比如:传奇盗号的软件,某些传奇外挂中也被恶意加载了此程序
教你三招快速找到ARP病毒
05-03
教你三招快速找到ARP病毒源 教你三招快速找到ARP病毒
服务器的ARP欺骗攻击防范的两种解决方法
01-11
网页被挂木马,实在烦死了,深圳的龙岗电信机房实在是够恶心的,不得已,我只好寻找一些防范ARP攻击方法,目前发现可以使用静态地址法和使用专用软件的方法防范ARP欺骗攻击。 静态地址法指的是,在本地服务器上...
浅析对ARP攻击的定位防范技术
07-06
ARP网络欺骗是一种专业化的攻击手段,其对用户上网和网络数据安全造成了巨大的隐患,在出现ARP攻击后,必须采取有效措施,对ARP攻击进行定位和防护。文章简要介绍了ARP攻击原理及危害等,并提出了一些反ARP措施来保证...
arp计算机病毒解决办法,如果电脑中了ARP病毒导致无法上网如何解决
weixin_39798579的博客
07-14 4121
ARP病毒是对利用arp协议的漏洞进行传播的一类病毒的总称,是一种入侵电脑的木马病毒。此类攻击的手段有两种:路由欺骗和网关欺骗。arp病毒主要是通过将网关地址解析成入侵的电脑MAC地址,导致用户无法正常上网。那么我们应该如何解决电脑中了ARP病毒导致无法上网的问题呢?1、按Win+R键,打开运行,输入cmd回车进入命令提示符;2、在命令提示符下输入:ipconfig /all,查看本机的IP及M...
防御ARP攻击ARP欺骗并查找攻击主机
2301_79294878的博客
08-07 3752
网络管理员在网络维护阶段需要处理各种各样的故障,出现最多的就是网络通信故障。除物理原因外,这种现象一般是ARP攻击ARP欺骗导致的。
环路和arp攻击检测工具
07-17
### 回答1: 环路是指数据在网络中循环传输,从而导致网络拥塞和性能下降的问题。为了解决环路问题,可以使用环路检测工具。 环路检测工具可以监测并识别网络中的环路,并及时采取措施解决环路问题。当网络中有环路出现时,环路检测工具会发送探测数据包,通过检测返回的数据包路径信息来确认是否存在环路,然后进行相应的环路隔离或删除操作。 ARP攻击是指ARP协议被恶意利用,进行欺骗性的网络攻击ARP攻击者通过发送造的ARP响应消息,欺骗目标设备,使其将通信数据发送到攻击者指定的错误目标地址上。为了检测和防止ARP攻击,可以使用ARP攻击检测工具ARP攻击检测工具可以识别和监测网络中的ARP攻击行为。它通过监测网络中的ARP请求和响应消息,对比IP地址和MAC地址的一致性,以及反向匹配检查等方式,来判断是否存在ARP攻击。当检测到ARP攻击时,该工具会及时进行警报或阻止攻击者继续进行攻击。 总结来说,环路和ARP攻击检测工具都是用来监测和防止网络中的问题和攻击行为。环路检测工具可以帮助解决网络中的环路问题,提高网络性能和稳定性;而ARP攻击检测工具可以识别和拦截恶意的ARP攻击,保护网络安全。 ### 回答2: 环路和ARP攻击网络安全领域中常见的攻击方式。在对环路和ARP攻击进行检测时,有一些专用的工具可以帮助我们实现。 对于环路攻击的检测,有一个常用的工具是Traceroute。Traceroute可以追踪数据包在网络中的路径,并通过确定是否存在环路来检测攻击。它通过向目标主机发送一系列的数据包,每个包都带有递增的TTL值(Time To Live),当某个数据包在网络中过期(TTL值为0)时,目标主机返回一个错误信息给源主机。通过检查这些错误信息,Traceroute可以判断网络中是否存在环路。 对于ARP攻击的检测,常用的工具ARPWatch和ArpON。ARPWatch可以监视本地网络上的ARP流量,当检测到ARP欺骗攻击时,它会生成日志或发送警报通知管理员。ArpON是另一个常用的ARP防护和检测工具,它通过监听和分析网络上的ARP流量,识别和阻止不正常的ARP行为,如欺骗攻击。除了这些工具外,还有一些网络流量分析工具可以进行深入的ARP攻击检测,如Wireshark和tcpdump。 总的来说,环路和ARP攻击检测工具可以帮助网络管理员及时发现和防范网络中的攻击行为。但需要注意的是,这些工具仅仅是检测和监视工具,对于实际的攻击防御仍然需要采取其他的安全措施,如使用安全协议、加密通信等。 ### 回答3: 环路和ARP攻击是计算机网络中常见的安全威胁,为了及时发现和阻止这些攻击,可以使用专门的环路和ARP攻击检测工具。 环路检测工具主要用于检测网络中是否存在环路。环路是网络设备之间的链路形成一个闭合回路,导致网络流量在网络中无限循环,造成网络拥堵和性能下降。环路检测工具使用网络链路状态数据,通过分析链路之间的连接关系,快速识别和报告网络中的环路问题。它可以提供实时监测和警报功能,帮助网络管理员及时采取措施消除环路,提高网络的可靠性和性能。 ARP攻击检测工具主要用于检测网络中的ARP攻击行为。ARP(地址解析协议)攻击是一种利用ARP协议漏洞的攻击方式,攻击造或修改网络设备的ARP缓存信息,导致网络设备将流量重定向到攻击者控制的恶意主机上。ARP攻击检测工具通过监视网络中的ARP请求和响应数据包,分析和识别异常的ARP流量模式,例如重复的ARP响应或重复的ARP请求。工具还可以进行流量监控和分析,帮助管理员及时发现和定位ARP攻击源,保护网络安全。 总结来说,环路和ARP攻击检测工具可以帮助网络管理员及时发现并应对网络中的环路和ARP攻击问题,提高网络的可靠性和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值