ARP斷網攻擊有什么征兆?
1、局域網內頻繁性區(qū)域或整體掉線、IP地址沖突;
2、網速時快時慢;
3、極其不穩(wěn)定,嚴重影響了網絡的正常通訊;
4、安全軟件會提示受到ARP網絡攻擊。
以上任何一條問題出現在用戶計算機中都會讓人氣憤不已,有什么辦法可以通過排查ARP斷網攻擊來源呢?
一、首先診斷是否為ARP病毒攻擊
1、當發(fā)現上網明顯變慢,或者突然掉線時,我們可以用:arp -a 命令來檢查ARP表:
點擊“開始”按鈕-選擇“運行”-輸入“cmd”點擊“確定”按鈕,在窗口中輸入:arp -a 命令。
檢查ARP列表
如果發(fā)現網關的MAC地址發(fā)生了改變,或者發(fā)現有很多IP指向同一個物理地址,那么肯定就是ARP欺騙所致。這時可以通過 arp -d 清除arp列表,重新訪問。
2、利用ARP防火墻類軟件(如:360ARP防火墻、Anti ARP Sniffer等……)。
二、找出ARP病毒主機
1、用 arp -d 命令,只能臨時解決上網問題,要從根本上解決問題,就得找到病毒主機。通過上面的 arp -a 命令,可以判定改變了的網關MAC地址或多個IP指向的物理地址,就是病毒機的MAC地址。哪么對應這個MAC地址的主機又是哪一臺呢,Windows中有 ipconfig /all 命令查看每臺的信息,但如果電腦數目多話,一臺臺查下去不是辦法,因此可以下載一個叫“NBTSCAN”的軟件,它可以掃描到PC的真實IP地址和MAC地址。
2、如果手頭一下沒這個軟件怎么辦呢?這時也可在客戶機運行路由跟蹤命令如:tracert -d www.xitongjiazhi.net馬上就發(fā)現第一條不是網關機的內網IP,而是本網段內的另外一臺機器的IP,再下一跳才是網關的內網IP;正常情況是路由跟蹤執(zhí)行后的輸出第一條應該是默認網關地址,由此判定第一跳的那個非網關IP地址的主機就是罪魁禍首。
查找訪問外網路徑
當然找到了IP之后,接下來是要找到這個IP具體所對應的機子了,如果你每臺電腦編了號,并使用固定IP,IP的設置也有規(guī)律的話,那么就很快找到了。但如果不是上面這種情況,IP設置又無規(guī)律,或者IP是動態(tài)獲取的那該怎么辦呢?難道還是要一個個去查?非也!你可以這樣:把一臺機器的IP地址設置成與作祟機相同的相同,然后造成IP地址沖突,使中毒主機報警然后找到這個主機。
三、處理病毒主機
1、用殺毒軟件查毒,殺毒。
2、建議重裝系統(tǒng),一了百了。(當然你應注意除系統(tǒng)盤外其他盤有無病毒)
四、如何防范ARP斷網攻擊?
1、IP/MAC雙向綁定
由于ARP病毒的種種網絡特性,可以采用一些技術手段進行網絡中ARP病毒欺騙數據包免疫。即便網絡中有ARP中毒電腦,在發(fā)送欺騙的ARP數據包,其它電腦也不會修改自身的ARP緩存表,數據包始終發(fā)送給正確的網關,普遍使用的一種方式是“雙向綁定法”。雙向綁定法,顧名思義,就是要在兩端綁定IP-MAC地址,其中一端是在路由器中,綁定下面局域網內部計算機的IP和MAC地址。
2、作為網絡管理員,應該充分利用一些工具軟件,備一些常用的工具,就ARP而言,推薦在手頭準備這樣幾個軟件:
?。?)飛魚星網關智能綁定精靈,一鍵綁定。
(2)“Anti ARP Sniffer”(使用Anti ARP Sniffer可以防止利用ARP技術進行數據包截取以及防止利用ARP技術發(fā)送地址沖突數據包,并能查找攻擊主機的IP及MAC地址)。
?。?)“NBTSCAN”(NBTSCAN可以取到PC的真實IP地址和MAC地址,利用它可以知道局域網內每臺IP對應的MAC地址)
?。?)“網絡執(zhí)法官”(一款局域網管理輔助軟件,采用網絡底層協(xié)議,能穿透各客戶端防火墻對網絡中的每一臺主機、交換機等配有IP的網絡設備進行監(jiān)控;采用網卡號(MAC)識別用戶,主要功能是依據管理員為各主機限定的權限,實時監(jiān)控整個局域網,并自動對非法用戶進行管理,可將非法用戶與網絡中某些主機或整個網絡隔離,而且無論局域網中的主機運行何種防火墻,都不能逃避監(jiān)控,也不會引發(fā)防火墻警告,提高了網絡安全性)
3、定時檢查局域網病毒,對機器進行病毒掃描,平時給系統(tǒng)安裝好補丁程序,最好是局域網內每臺電腦保證有殺毒軟件(可升級)
4、指導好網絡內使用者不要隨便點擊打開QQ、MSN等聊天工具上發(fā)來的鏈接信息,不要隨便打開或運行陌生、可疑文件和程序,如郵件中的陌生附件,外掛程序等。
5、建議對局域網的每一臺電腦盡量作用固定IP,路由器不啟用DHCP,對給網內的每一臺電腦編一個號,每一個號對應一個唯一的IP,這樣有利用以后故障的查詢也方便管理。并利用“NBTSCAN”軟件查出每一IP對應的MAC地址,建立一個“電腦編號-IP地址-MAC地址”一一對應的數據庫。
防御ARP斷網攻擊最好的方法,其實就是退出局域網,重新牽一條網線,一勞永逸,不過有時候我們很少考慮這個條件,既然如此,我們就需要使用以上方法抓出禍首,以儆效尤。