ARP网络攻击解决方案:如何查找攻…

最新推荐文章于 2024-06-13 11:09:57 发布
最新推荐文章于 2024-06-13 11:09:57 发布
阅读量7.3k 收藏 8
点赞数
分类专栏: 基础知识积累
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rxm1989/article/details/39550443
版权

本文转自:http://www.antiarp.com/docs_68.html


ARP攻击现在经常发生,遇到这些问题怎么办呢?请看下面笔者给出的解决方法!

  前段时间经常有用户打电话抱怨上网时断时续,有时甚至提示连接受限、根本就无法获得IP(我们单位用的是动态IP)。交换机无法ping通,而指示灯状态正常。重启交换机后客户机可以上网,但很快又涛声依旧!严重影响了用户使用,甚至给用户造成了直接经济损失,(我们单位很多人都在炒股、炒基金,由于无法及时掌握行情,该出手时无法出手。)

  根据用户描述的情形和我们多次处理的经验,可以肯定是由于网络中存在ARP攻击(ARP欺骗)所致。至于什么是ARP攻击,我就不用再说了吧。知道了问题所在,但如何解决呢?

  虽然可以采用在交换机绑定MAC地址和端口、在客户机绑定网关IP和MAC地址的“双绑”办法预防,但由于网管的工作量太大,且不能保证所有的用户都在自己的电脑上绑定网关IP和MAC地址,所以我们采取以下措施来预防和查找ARP攻击。

  我们推荐用户在自己的电脑上安装ColorSoft开发的ARP防火墙(原名Anti ARP Sniffer),该软件通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址,可以保障安装该软件的电脑正常上网;拦截外部对本机的ARP攻击和本机对外部的ARP攻击。

  如果发现内部ARP攻击,直接处理本机就行了;如果发现外部ARP攻击,则根据实际情况通过攻击者的IP地址和/或MAC地址查找该攻击者电脑。

  好了,让我们一起行动吧。

  1、在同一网段的电脑下载ARP防火墙(WWW.AntiARP.COM)、安装、运行。第一天,一切正常,没发现攻击行为。第二天,开机不到半小时就发现了ARP攻击,如图1。

查找ARP攻击者1

图1 ARP防火墙发现外部ARP攻击

  2、为了不冤枉好人,进一步确认攻击者的MAC地址。进入核心交换机,查看该网段的MAC地址表。我们的核心交换机是华为的,键入命令“Display arp vlan xx”(xx为所要查找ARP攻击网段的VLAN号),回车。显示如图2所示结果。

查找ARP攻击者2

图2 核心交换机上显示的MAC地址表

  为了方便查看,我们将该数据拷贝到Word中并按MAC地址排序。在Word中,选中该数据,从“表格”菜单中选择“排序”菜单项,弹出“排序文字”窗口,“主要关键字”选“域 3”即MAC地址,如图3。

查找ARP攻击者3

图3 排序MAC地址表

排序后很容易就可以看到有四个IP地址对应于同一个MAC地址(如表1)!我们知道MAC地址是全球唯一的,这与ARP防火墙检测到的结果相吻合,现在MAC地址0011-5b2d-5c03所对应的电脑肯定有问题了。这些IP中应该只有xxx. xxx. xx.92是真实的,其余的都是伪造的。由于我们的电脑一直在监测,该攻击者电脑刚对外攻击,就被检测到了,所以它伪造的IP地址还不多,我曾经发现过伪造了近10个IP地址的情形,而该网段总共有二十多台电脑。

 

  表1 伪造的IP地址

xxx. xxx. xx.1780011-5b9d-7246
xxx. xxx. xx.1880011-5b9d-7246
xxx. xxx. xx.1970011-5b9d-7246
xxx. xxx. xx.920011-5b9d-7246

  3、查找ARP攻击者。

  如果是静态IP,找出IP地址登记表,很容易就可找到发送ARP攻击的电脑。由于我们用的是动态IP,又没有每台电脑的MAC地址,所以虽然知道了攻击者的IP地址和MAC地址,但是万里长征还只迈出了第一步。

  我们的DHCP服务器是基于Microsoft Windows 2003的,打开DHCP管理器,从地址租约里查看IP地址xxx. xxx. xx.92对应的计算机名,是随机的,没什么意义。(有时候根据计算机名,可以推断出该计算机的主人。)

  登录到有所要查找网段VLAN的各接入层交换机上,逐一查看该交换机上的MAC地址表。

  我们用的是安奈特的交换机,在Web界面下按VLAN查询MAC地址表,看是否有MAC地址为0011-5b9d-7246的记录。一直查到第15台交换机,才终于找到罪魁祸首,结果如图4,可以看出该MAC地址对应于交换机的第16口。别的厂家的可网管交换机也都有查看MAC地址的功能。

查找ARP攻击者4

图4 接入层交换机上的MAC地址表

  4、剩下工作的就简单了,先将该交换机的第16口Disable,然后查找用户上网登记信息,通知该用户处理自己的电脑。

  不知道本文是否对您有所帮助。最后,推荐几点防范ARP攻击的措施:

  1、在交换机上划分VLAN,这样即使网络中存在ARP攻击,也仅影响该VLAN的用户,缩小受影响范围和查找范围。

  2、要求用户安装ARP防火墙。既可防止来自外部的ARP攻击,也可防止本机向外发送ARP攻击。一旦发现攻击及时与网管联系。

相关文档:使用“ARP防火墙单机版软件”快速定位ARP攻击源 (/newsopen2.asp?ArticleID=43)

Rachel-Zhang3
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
查找ARP攻击
weixin_30376163的博客
05-29 1652
问题: 内网有电脑中了ARP病毒,但是网络拓扑比较复杂、电脑数量较多,排查起来很困难。有什么方法可以找出ARP攻击源?【推荐3】排查方法: 1.使用Sniffer抓包。在网络内任意一台主机上运行抓包软件,捕获所有到达本机的数据包。如果发现有某个IP不断发送请求包,那么这台电脑一般就是病毒源。 原理:无论何种ARP病毒变种,行为方式有两种,一是欺骗网关,二是欺骗网内的所...
ARP攻击的发现,攻击原理,攻击方式,防护
热门推荐
朱海燕的博客日记
01-03 4万+
目录 ARP协议概述 APR攻击发现 ARP攻击过程 攻击方式: arp攻击的防护 ARP协议概述  ARP协议(address resolution protocol)地址解析协议 一台主机和另一台主机通信,要知道目标的IP地址,但是在局域网中传输数据的网卡却不能直接识别IP地址,所以用ARP解析协议将IP地址解 析成MAC地址。ARP协议的基本功能就是通过目标设备的IP地址,...
如何跟踪并找到ARP攻击
01-02
如何跟踪并找到ARP攻击源如何跟踪并找到ARP攻击
通过wireshark抓包研究ARP欺骗攻击手法与防御措施
最新发布
nxist_gcy的博客
06-13 685
Kali 攻击机ip地址:192.168.2.128Centos7 受害机ip地址:192.168.2.129。
查找网内arp攻击
cuiqiang1269的博客
04-05 522
今天早上无聊自己做测试,发动了下ARP攻击,学着找攻击源。 下面记录一下主要思路吧。首先,在系统中用arp -a查到仿冒路由的那个mac地址,记录下来。登陆到上层的路由,sh arp。查看改mac地址对应的接口。 用sh c...
ARP ARP攻击查找
zs12344444的专栏
12-25 1278
ARP是地址转换协议(Address Resolution Protocol)的英文缩写,它是一个链路层协议,工作在OSI模型的第二层,在本层和硬件接口间进行联系,同时对上层(网络层)提供服务。     二层的以太网交换设备并不能识别32位的IP地址,它们是以48位以太网地址(就是我们常说的MAC地址)传输以太网数据包的。也就是说IP数据包在局域网内部传输时并不是靠IP地址而是靠MAC地址来识别
Cisco:防止VLAN间的ARP攻击解决方案
09-30
Cisco防止VLAN间的ARP攻击解决方案 本文主要介绍了Cisco防止VLAN间的ARP攻击解决方案ARP攻击是一种常见的网络攻击方式,攻击者可以通过发送大量ARP请求报文来攻击网络,导致网络瘫痪。为了防止这种攻击,Cisco...
煤矿信息化网络ARP攻击原理及解决方案
07-06
介绍了ARP的概念、工作原理及ARP攻击的原理等,并针对煤矿信息网络的特点,提出了相应的解决方案,希望能解决煤矿信息网络的安全问题。
ARP攻击解决方案
10-12
目前,因为ARP而导致企业网络瘫痪的例子举不胜举,很多企业面对这些攻击束手无策,为此收集整理了众多针对ARP相关的解决方法和防范策略,希望对广大网管人员有实际的帮助。
ARP网络攻击防范技术白皮书.pdf
10-12
ARP网络攻击防范技术白皮书》是一份详细介绍如何应对ARP攻击的专业文档,主要关注了地址解析协议(ARP)在网络安全中的重要性及其可能带来的威胁。ARP是局域网通信中一个关键的协议,用于将IP地址转换为物理MAC...
ARP网络攻击防范技术白皮书.docx
10-12
ARP网络攻击防范技术白皮书》详细阐述了如何应对日益严重的ARP(Address Resolution Protocol)攻击,这是一种在局域网中广泛存在的网络安全问题。ARP协议是TCP/IP协议栈中的一个重要组成部分,负责将IP地址解析为...
教你三招快速找到ARP病毒源
05-03
教你三招快速找到ARP病毒源 教你三招快速找到ARP病毒源
获取arp攻击源的几种方法
01-10
获取arp攻击源的几种方法
防御ARP攻击ARP欺骗并查找攻击主机
2301_79294878的博客
08-07 4157
网络管理员在网络维护阶段需要处理各种各样的故障,出现最多的就是网络通信故障。除物理原因外,这种现象一般是ARP攻击ARP欺骗导致的。
arp攻击实验(一)用一条指令让对方瞬间无法上网
一个分享技术的个人博客
05-30 3万+
【前言】本实验主要是利用局域网主机在进行2-3层通信时,协议上的漏洞。利用ARP欺骗,造成局域网内主机通信的失败。原文出自:泰泰博客:www.taitaiblog.com,更多相关资源可访问该网站。实现原理其主要原理是局域网内的"攻击机"通过冒充同网络号下的"受害者主机"的物理地址(mac地址),通过欺骗网关,让网关原来应该发给“受害者主机”的数据包转而发给“攻击机”,这就导致了“受害者主机”无法...
arp 华为 查看 路由器_华为交换机如何识别arp攻击
weixin_39928993的博客
12-22 1060
局域网中经常会发生ARP攻击,整个网络拥塞、缓慢、怨言四起,作为网络管理员你除了重启之外还需要识别ARP攻击,下面是学识网小编给大家整理的一些有关华为交换机识别arp攻击的方法,希望对大家有帮助!华为交换机识别arp攻击的方法1、 网络主机侧攻击识别1.1 Windows系统如遇到主机不能与网关正常通信时,则在DOS界面下,输入arp –a命令,查看本主机的ARP缓存表:C:\Documents ...
怎么处理ARP攻击
不会处理故障的运维不是好程序员,WX:li669216072 只帮忙协助博客所遇到的类似问题
06-10 1万+
ARP故障说明: ping 的时候可能好久才能接收到一个响应,或者说干脆就Ping不通。网络时好时坏,通过ARP -a命令不能看到同网段的在线用户,但是net view 可以看到全网开放共享的电脑名,这时候就需要注意了,可能是ARP攻击。 有些人觉得,通过arp -a可以查出是否有ARP攻击,但是有时候无法看到arp列表存在异常IP,或者使用ARP防火墙,360防火墙、金山贝壳防火墙,防御个鬼...
什么是ARP?
chinalog的专栏
07-30 845
 什么是ARP?    ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。什么是ARP欺骗?    从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。    第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的
arp攻击(arp攻击解决办法)
keven_zeng的专栏
04-20 2392
http://www.heibai.net/articles/defense/fangyujiqiao/2010/0929/10229.html 如果你发现经常网络掉线,或者发现自己的网站所有页面都被挂马,但到服务器上,查看页面源代码,却找不到挂马代码,就要考虑到是否自己机器或者同一IP段中其他机器是否中了ARP病毒。除了装ARP防火墙以外,还可以通过绑定网关的IP和MAC来预防一下。这
ARP欺骗攻击:现象、解决方案与防范策略
ARP欺骗是一种常见的网络攻击手段,攻击者通过伪造ARP响应,误导网络中的计算机将数据包发送到错误的物理地址,从而实现窃取密码、数据包嗅探或干扰网络服务的目的。 1. ARP欺骗攻击现象: - 网络用户账号的频繁...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值