返回
谈谈如何防范arp攻击

谈谈如何防范arp攻击

ID:21642240

大小:70.00 KB

页数:5页

时间:2018-10-23

谈谈如何防范arp攻击_第1页
谈谈如何防范arp攻击_第2页
谈谈如何防范arp攻击_第3页
谈谈如何防范arp攻击_第4页
谈谈如何防范arp攻击_第5页
资源描述:

《谈谈如何防范arp攻击》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、谈谈如何防范ARP攻击宁夏马莲台电厂的网络是典型的三层交换,采用了思科的设备,核心层是一台Cisco6500,汇聚层是两台Cisco6500,分别连接生产楼和生活区的设备,在生产区楼里如集控室、化验楼、燃供楼、检修间、除灰楼、小车库都挂着Cisco3550作为接入层。全厂一共有200多台计算机通过交换机连成一个局域网。马莲台电厂网络拓扑2、网络故障现象局域网内的计算机出现外部网站访问速度缓慢,甚至无法打开的现象,客户端用户频繁出现断网并发现IP冲突最严重的时候出现部分生产楼网络瘫痪。3、故障分析:故障

2、原因查找在开始不能上网的计算机上运行arp-a,说明:是网关地址,后面的OO-OO-Oc-07-0a-01是网关的物理地址。此物理地址默认情况下是不会发生改变的,如果发现物理地址不是此地址说明自己己经受到了arp病毒的攻击。查找过程:(1)、执行arp-a列出了:00-0F-EA-11-00-5E00-0F-EA-11-00-5E(网关)由于之前我们已经知道网关的正确物理地址是00-00-Oc-O7-0a-01,此时却变成了00-0F-EA-11-00-5E,说明正在利用arp进行欺骗,冒充网关。(2

3、)、执行arp-d清除ARP列表信息。重新运行arp-a看数据类表的可疑IP地址是否存在,不存在说明此IP地址正常;存在,说明该机器肯定有ARP病毒。(3)使用tracert命令在任意一台受影响的主机上,在DOS命令窗口下运行如下命令:tracert(外网IP地址)。假定设置的缺省网关为,在跟踪一个外网地址时,第一跳却是,那么,就是病毒源。ARP攻击原理分析ARP,全称AddressResolutionProtocol,中文名为地址解析协议,它工作在数据链路层,在本层和硬件接口联系,同时对上层提供服务

4、。ARP病毒造成网络瘫痪的原因可以分为对路由器ARP表的欺骗,和对内网PC的网关欺骗两种。第一种必须先截获网关数据。它使路由器就收到一系列错误的内网MAC地址,并按照一定的频率不断更新学习进行,使真实的地址信息无法通过更新保存在路由器中造成的PC主机无法正常收到回应信息。第二种是通过交换机的MAC地址学习机制,当局域网内某台主机己经感染ARP欺骗的木马程序,就会欺骗局域网内所有主机和路由器,让所有上网的流量都必须经过病毒主机。4、调查结论:通过以上查找分析,局域网内有计算机感染ARP病毒中毒的机器的网

5、卡不断发送虚假的ARP数据包,告诉网内其他计算机网关的MAC地址是中毒机器的MAC地址,是其他计算机将本来发送网关的数据发送到中毒机器上,导致整个局域网都无法上网,严重乃至整个网络的瘫痪。我们知道局域网中的数据流向是:网关一本机;如果网络有ARP欺骗之后,数据的流向是:网关一攻击者一本机,因此攻击者能随意窃听网络数据,截获局域网中任一台机器收发的邮件,WEB浏览信息等,还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用

6、户造成了很大的不便和巨大的经济损失。5、防范所采取措施5、1用户端防范措施:安装arp防火墙或者开启局域网ARP防护,比如360安全卫士等arp病毒专杀工具,并且实时下载安装系统漏洞补丁,关闭不必要的服务等来减少病毒的攻击。如果在没有防范软件安装的情况下,也可以通过编写简单的批处理程序来绑定网关来防止ARP欺骗,步骤如下:(1)首先,获得安全网关的内网的MAC地址。以windowsxp为例。点击“开始”-*“运行”-*输入cmd,点击“确定”后,将出现相关网络状态及连接信息,输入arp-a,可以查看网

7、关的MAC地址(2)编写批处理文件内容如下:echooffarp-darp-s(安全网关)00-09_ac-82_0d(网关的MAC地址)注:arp-s是用来手动绑定网络地址(IP)对应的物理地址(MAC)(1)编写完以后,点击“文件”一“另存为”。注意,文件名一定要是*.bat,点击保存就可以。(2)将这个批处理文件拖到“windows—开始一程序—启动”中,最后重起电脑即可。网管员采取的防范措施(1)学会使用Sniffer抓包软件。ARP病毒最典型的现象就是网络时通时断,用Sniffer抓包分析,

8、会发现有很多的ARP包。(2)在全网部署安装ARP防火墙服务端及客户端软件(3)使用多层交换机或路由器:接入层采用基于IP地址交换进行路由的第三层交换机。由于第三层交换技术用的是IP路由交换协议,以往的链路层的MAC地址和ARP协议失效,因而ARP欺骗攻击在这种交换环境下起不了作用。6、结束语ARP欺骗在相当长的时间内还会继续存在,ARP欺骗也在不断的发展和变化中,希望广大网络管理员密切注意它,从而减少对我们网络的影响。参考文献:[1]王奇.以太网中AR

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。