ARP病毒入侵原理
天下维客,你可以修改的网络知识库
机器以前可正常上网的,突然出现可认证,不能上网的现象(无法ping通网关),重启机器或在MSDOS窗口下运行命令ARP -d后,又可恢复上网一段时间。这是APR病毒欺骗攻击造成的。→更多相关内容请参见ARP病毒
目录 |
解决ARP攻击的方法
| ARP病毒防治 | |||||||
| ARP病毒检测方法 | ARP病毒解决办法 | ARP病毒问题的处理 | |||||
| Vista下ARP病毒的查杀 | 防止ARP病毒反复发作的方法 | 诺博NB1200+ 路由器解决ARP病毒 | |||||
| 侠诺针对ARP病毒路由器的解决方法 | Qno侠诺路由器关于酒店用户对ARP病毒的解决方法 | ARP病毒攻击防制进阶 | |||||
- 故障原因
- 故障原理
- 故障现象
- HiPER用户快速发现ARP欺骗木马
MAC Chged 10.128.103.124 MAC Old 00:01:6c:36:d1:7f MAC New 00:05:5d:60:c7:18
这个消息代表了用户的MAC地址发生了变化,在ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址),同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。
如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时,主机在路由器上恢复其真实的MAC地址)。
在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址,那么我们就可以使用NBTSCAN(下载地址:http://www.utt.com.cn/upload/nbtscan.rar)工具来快速查找它。
NBTSCAN可以取到PC的真实IP地址和MAC地址,如果有”传奇木马”在做怪,可以找到装有木马的PC的IP/和MAC地址。
命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即
192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段,即192.168.16.25-192.168.16.137。输出结果第一列是IP地址,最后一列是MAC地址。 →更多相关内容请参见NBTSCAN
- 解决思路
- 不要把你的网络安全信任关系建立在IP基础上或MAC基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。
- 设置静态的MAC-->IP对应表,不要让主机刷新你设定好的转换表。
- 除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
- 使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
- 使用""proxy""代理IP的传输。
- 使用硬件屏蔽主机。设置好你的路由,确保IP地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
- 管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。
- 管理员定期轮询,检查主机上的ARP缓存。
- 使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。
- HiPER用户的解决方案
- 建议用户采用双向绑定的方法解决并且防止ARP欺骗。
- 在PC上绑定路由器的IP和MAC地址:
- 首先,获得路由器的内网的MAC地址(例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa局域网端口MAC地址>)。
- 编写一个批处理文件rarp.bat内容如下:
@echo off arp -d arp -s 192.168.16.254 00-22-aa-00-22-aa
将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。
将这个批处理软件拖到“windows--开始--程序--启动”中。
相关知识
相关条目
局域网 - MAC - ARP - 局域网安全 - TCP/IP协议
外部链接
http://www.qqread.com/z/network/arp/ 巧巧读书ARP专题
| ARP基础知识 | ARP病毒 | Arp命令 | ARP防火墙 | ARP病毒专杀工具 | ARP欺骗 | ARP欺骗的防范 | ★→ARP的所有文章 |
