ARP攻击怎样防御?
用antiarp就行 至于原理,就是病毒通过修改mac本机mac地址,伪装成网关,然后网内其它机器要通过网关上网的话,就会连到有病毒的机器。
病毒会每隔几分钟掉一次线,于是网内的其它机器掉线以后(比如玩网游的)要重新输入用户名密码登陆,这时病毒就会检索数据包,盗取用户名和密码。
户受到一种名为"ARP欺骗木马程序(病毒)"的攻击(ARP是"Address Resolution Protocol""地址解析协议"的缩写),极大地影响了政务网用户的正常使用,给整个政务网的安全带来严重的隐患。
一、故障现象 通常上网计算机的网关设为192.168.X.254,这个地址是核心交换机(三层交换机)的IP地址。
将网关改为路由器的IP地址192.168.X.253后可正常上网。
病毒发作时其症状表现为计算机网络连接正常,却无法打开网页;或由于ARP欺骗的木马程序(病毒)发作时发出大量的数据包,导致政务网用户上网不稳定,时断时通。
中毒机器在局域网中发送假的APR应答包进行APR欺骗, 造成其他客户机无法获得网关和其他客户机的网卡真实MAC地址,导致无法上网。
计算机重新启动后短时间内可以上网,稍过一会儿就出现只有网络连接,但打不开网页的现象。
二、ARP 欺骗病毒原理分析 在局域网中,一个主机要和另一个主机进行直接通信,除知道目标主机的IP地址外还必须要知道目标主机的MAC地址。
但这个目标MAC地址是如何获得的呢?就是通过地址解析协议获得的。
所谓"地址解析"就是主机在发送数据前将目标IP地址转换成目标MAC地址的过程。
ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
即ARP协议是用来来完成IP地址转换为MAC地址(即第二层物理地址)的。
在局域网中,网络中实际传输的是"帧",帧里面是有目标主机的MAC地址的。
每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,默认情况下,ARP从缓存中读取IP-MAC条目,缓存中的IP-MAC条目是根据ARP响应包动态变化的。
因此,只要网络上有ARP响应包发送到本机,即会更新ARP高速缓存中的IP-MAC条目。
在DOS窗口输入命令arp -a 可以看到如下所示的对应关系。
C:\Documents and Settings\Administrator>arp -a Internet Address Physical Address Type 192.168.1.1 aa-aa-aa-aa-aa-aa dynamic 主机A 192.168.1.2 bb-bb-bb-bb-bb-bb dynamic 主机B 192.168.1.3 cc-cc-cc-cc-cc-cc dynamic 主机C 192.168.1.4 dd-dd-dd-dd-dd-dd dynamic 主机D Internet Address 指IP地址,Physical Address 指物理地址,type 指类型。
通过以上示例可以看出IP地址为192.16.16.1的IP地址对应的物理地址 (即MAC地址)为aa-aa-aa-aa-aa-aa,其类型为动态。
我们以主机A(192.168.1.1)向主机B(192.168.1.2)发送数据为例。
当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。
如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是"FF.FF.FF.FF.FF.FF",这表示向同一网段内的所有主机发出这样的询问: "192.168.1.2的MAC地址是什么?"网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应: "192.168.1.2的MAC地址是bb-bb-bb-bb-bb-bb"。
这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。
同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。
ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。
从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。
对目标A进行欺骗,A去Ping主机C却发送到了 DD-DD-DD-DD-DD-DD这个地址上。
如果进行欺骗的时候,把C的MAC地址骗为DD-DD-DD-DD-DD-DD,于是A发送到C上的数据包都变成发送给D的了。
这不正好是D能够接收到A发送的数据包了么,欺骗成功。
ARP协议对网络安全具有重要的意义。
通过伪造IP地址和MAC地址实现ARP欺骗,从而在网络中产生大量的ARP通信量使网络阻塞。
用伪造源MAC地址发送ARP响应包,是对ARP高速缓存机制的攻击。
攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
当攻击者大量向局域网中发送虚假的ARP信息后,就会造成局域网中的机器ARP缓存的崩溃。
三、定位ARP攻击源头 1.通过NBTSCAN(下载地址:http://bbs.ywan.com/down/2007-03-09/8067.html)查找病毒主机 关闭所有二层交换机,将管理员的计算机接在核心交换机上,此时管理员的计算机可正常上网。
Ping三层交换机的地址(即在dos窗口下输入命令ping 172.16.X.254),查看172.16.X.254的MAC地址(即在dos窗口下输入命令arp -a),并记下来,通过三层交换机IP地址得到三...
ARP被攻击,最好的修复防御软件是什么?
通过“安全模式”进入系统,关闭网络连接,拔掉网线:根据ARP攻击原理:删除调用系统里的npptools.dll文件。
如果你把这个DLL文件删除了,之后随便弄个DLL改名为npptools.dll即可。
如果C盘是NTFS分区格式就把权限都去掉,如果是FAT格式弄个只读就可以了。
防攻击文件:C:\WINDOWS\system32\ npptools.dll处理方法:新建一个空文本文档,改名为npptools.dll然后把它复制到system32文件夹里,覆盖原有的npptools.dll,如果没关闭文件保护,先关闭。
再把system32\dllcache里的npptools.dll也覆盖了,然后把它们的属性改为只读、隐藏,最后再把它们的everyone权限都去掉,即可!npptools.dll文件的属性改为只读、隐藏后,再把它们的everyone的权限去掉,病毒就不能替换也不能使用它了,arp就不会起作用,从而达到防范ARP的目的。
关于该类问题,我的百度回答列表:http://zhidao.baidu.com/question/385531010.htmlhttp://zhidao.baidu.com/question/381609729.htmlhttp://zhidao.baidu.com/question/382168451.htmlhttp://zhidao.baidu.com/question/381474284.htmlhttp://zhidao.baidu.com/question/380857989.htmlhttp://zhidao.baidu.com/question/373797743.htmlhttp://zhidao.baidu.com/question/372725782.htmlhttp://zhidao.baidu.com/question/372146860.htmlhttp://zhidao.baidu.com/question/372072811.htmlhttp://zhidao.baidu.com/question/371191204.htmlhttp://zhidao.baidu.com/question/370287024.htmlhttp://zhidao.baidu.com/question/367513089.htmlhttp://zhidao.baidu.com/question/367437740.htmlhttp://zhidao.baidu.com/question/367406912.htmlhttp://zhidao.baidu.com/question/367296546.html
最强的ARP攻击软件
展开全部现在的公司遇到arp攻击问题很多,像传统的解决arp攻击问题,就像你路由器的设置无非就是一个arp防火墙的软件,如,双绑,arp防火墙等都解决不了根本问题,arp属于以太网中正常的协议行为。
arp欺骗属于以太网自身的协议漏洞。
现在网络环境中arp攻击现象很多,往往遭到攻击时网速会很卡很慢甚至全网瘫痪,很麻烦,现在防止arp的措施也是很有限,无非就是做双绑,arp防火墙等但是这些效果都不是很好,就拿arp防火墙来说吧,ARP个人防火墙也有很大缺陷:1、它不能保证绑定的网关一定是正确的。
如果一个网络中已经发生了ARP欺骗,有人在伪造网关,那么,ARP个人防火墙上来就会绑定这个错误的网关,这是具有极大风险的。
即使配置中不默认而发出提示,缺乏网络知识的用户恐怕也无所适从。
2 、ARP是网络中的问题,ARP既能伪造网关,也能截获数据,是个“双头怪”。
在个人终端上做ARP防范,而不管网关那端如何,这本身就不是一个完整的办法。
ARP个人防火墙起到的作用,就是防止自己的数据不会被盗取,而整个网络的问题,如掉线、卡滞等,ARP个人防火墙是无能为力的。
因为arp攻击的原理是:1、终端对网关的绑定要坚实可靠,这个绑定能够抵制被病毒捣毁。
2、接入路由器或网关要对下面终端IP-MAC的识别始终保证唯一准确。
3、网络内要有一个最可依赖的机构,提供对网关IP-MAC最强大的保护。
它既能够分发正确的网关信息,又能够对出现的假网关信息立即封杀。
所以建议你们网络升级为免疫网络,大家共享的网络谁也别想攻击,网络环境干净了。
自然不会影响使用...
ARP攻击与防御在网络中如何应用?
IT技术方兴未艾,然而在其发展的背后,随之而来的就是计算机技术网络安全问题的思考,这种安全隐患无时无刻不对的互联网技术产生影响。
网络安全问题就成了我们当下最热门讨论的问题。
随之而来网络安全的防护也成为了风靡网络技术之一,保护着互联网正常有序的发展。
随着无线通信技术的广泛应用,传统局域网络已经越来越不能满足人们的需求,于是无线局域网(Wireless Local Area Network,WLAN)应运而生,且发展迅速。
从专业角度讲,无线局域网就是通过无线信道来实现网络设备之间的通信,并实现通信的移动化、个性化和宽带化。
广阔的应用前景、广泛的市场需求以及技术上的可实现性,促进了无线局域网技术的完善和产业化,已经渐渐开始商用化的802.11n网络也正在证实这一点。
而在学术界、医疗界、制造业、仓储业等,无线网络也扮演着越来越重要的角色。
无线网络将势必进入发展的黄金时期。
与此同时这方面的专业人才也成了行业内的“香饽饽”被各大企业竞相争抢。
培养这方面的人才也成为各大培训学校的重要责任。
安博亚威的在固有的CCNA课程的基础上,经过资深专家多年的研究与设计自主开发了安全无线、语音课程。
致力于Cisco人才的培养。
安博亚威是国内第一家自主研发并开设网络安全、无线语音课程的培训机构,也是中国Cisco培训第一品牌,在国内享有极高的知名度。
在新开设的网络安全课程中,以ARP的防御和攻击为例。
(“ARP”,全称Address Resolution Protocol,中文名为地址解析协议,它工作在数据链路层,在本层和硬件接口联系,同时对上层提供服务。
)这种大多数人熟知的安全方向问题来说IP数据包常通过以太网发送,以太网设备并不识别32位IP地址,它们是以48位以太网地址传输以太网数据包。
因此,必须把IP目的地址映射为以太网目的地址。
在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。
但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。
ARP协议用于将网络中的IP地址解析为的硬件地址(MAC地址),以保证通信的顺利进行。
ARP可以被用来检测重复的IP地址,这是通过传送一种叫做无偿ARP的ARP请求来完成的。
无偿ARP就是一个发往自己IP地址的ARP请求。
在无偿ARP中,SPA(发送者协议地址)和TPA(目标协议地址)被设置成同一个IP地址。
如果节点发送一个发往自己IP地址的ARP请求,就不应收到任何一个ARP回应帧,这样节点就可以判断没有其他节点使用跟它相同的IP地址。
如果节点发送一个发往自己IP地址的ARP请求,结果收到ARP回应,这样此节点就可以判断有另外一个节点使用同样的IP地址。
如果发送了3个无偿ARP后,都没有收到ARP回应,IP就假定此IP地址在此网络段中是唯一的。
学员通过系统的学习后能可掌握1.基本的微波通信和射频知识,了解WLAN物理层相应知识2.通过试验,理论结合实际,学会配制独立/轻量级AP,学会通过WLC来实现LWAPP管理AP3.无线安全的基础知识,包括WEP,WPA以及WPA2的知识4.无线应用软件的调试以及连接5.维护和配制管理WCS服务器,以及了解无线站点勘测的内容.6通过综合试验和真实项目的讲解,学会设计和实施小型无线网络的设计与实施等知识。
相信您对网络安全无线语音的课程学习后有进一步的了解与收获,增加了您在求职应聘中的技能砝码,让您在职场发展中脱颖而出,成为炙手可热的IT职业人。
ARP攻击怎么防御?
360其实一样的垃圾,还是基于一种桌面系统安全去解决的。
ARP个人防火墙也有很大缺陷:1、它不能保证绑定的网关一定是正确的。
如果一个网络中已经发生了ARP欺骗,有人在伪造网关,那么,ARP个人防火墙上来就会绑定这个错误的网关,这是具有极大风险的。
即使配置中不默认而发出提示,缺乏网络知识的用户恐怕也无所适从。
2 、ARP是网络中的问题,ARP既能伪造网关,也能截获数据,是个“双头怪”。
在个人终端上做ARP防范,而不管网关那端如何,这本身就不是一个完整的办法。
ARP个人防火墙起到的作用,就是防止自己的数据不会被盗取,而整个网络的问题,如掉线、卡滞等,ARP个人防火墙是无能为力的。
因此,ARP个人防火墙应用起来有风险。
最重要的是,它是跟网络稳定可靠无关的措施,它是个人的,不是网络的。
在这里还是建议使用免疫网络解决方案。
内网对ARP先天免疫。
我的电脑老是遭到arp攻击就断网了怎么解决????要软件!
反ARP攻击的绝招,让你在ARP的炮雨攻击下永不掉线 你的局域网经常掉线吗?你受过ARP攻击吗?出现过烦人的IP冲突吗?如果有,或者以防后患,请看下文,教你反ARP攻击的绝招,让你在ARP的炮雨攻击下永不掉线。
所遇情况: 第一。
局域网中经常有人用网络执法官、剪刀手等工具限制其他人上网,虽然有反网络执法官等软件,但是用起来甚是不爽啊! 第二。
局域网中有人中了病毒,自动发送大量ARP攻击到局域网中。
原理: ARP协议是windows网络中查找IP和网卡的基础。
所以不能绕开它。
所有的防御ARP攻击的方法,都必须许可ARP协议。
以致目前用着还算可以的网络工具比如360安全卫士,都只能监测到攻击信息,却奈何不了他什么。
具体方法: 解决ARP攻击最根本的办法只有一个-----建虚拟网卡。
可以使用泡泡鱼虚拟网卡,在大的下载站都有下载。
把虚拟网卡的IP指定为你正常使用的网卡的网关的IP地址,比如你的网卡的地址现在是10.176.168.33,网关是 10.176.168.1,那么给新的虚拟网卡10.176.168.1地址,然后再把新的虚拟网卡点右键禁用掉。
这个网卡必须禁用,否则你上网,都跑到 虚拟网卡了,其实它是不通的。
小区宽带怎么防御ARP攻击?我接的是私人运营的光钎接入宽带.算是
在局域网中难免受到一些人的恶意攻击,也许是想霸占网络资源(呵呵,抢带宽上网啊),也许是出于尝试新软件的好奇,总之这都给我们正常的网络使用带来不少麻烦。
一般攻击者会使用如同“网络执法官”这类的软件,发送数据包改变ARP缓存中的网关ip对应的MAC地址,导致找不到真正的网关而不能连如internet。
原来解决这种攻击的办法是修改自己的MAC地址,使得攻击者暂时失去真正的目标,然后重新连入网络,获取网关的正确MAC地址,以便在以后被攻击后好恢复网络。
方法如下:进入到虚拟的DOS模式下ping自己的网关,然后用arp -a 命令可以看到缓存中网关对应的MAC地址,然后记录下来。
当再次受到攻击导致无法上网时候可以在DOS下用arp -s 网关ip 网关MAC地址 的方式手动建立映射关系重新恢复和网关的通信。
但是这种方法在碰到恶意的连续攻击的情况下是很麻烦的,严整影响了正常使用,因为你不得不常常去修改你的缓存。
还好找到了ColorSoft出的Anti Arp sniffer小东西,使用起来很简单,直接把你记录到的网关正确MAC填进去,在把自己的网卡MAC填进去,然后打开自动防护和防护地址冲突就可以了,他会自动过滤掉攻击的欺骗数据包,从而使你网络更稳定。
呵呵,再也不怕因为攻击而游戏掉线了。
现在Anti Arp sniffer出到了2.0版,但是感觉还是不够方便,不能自动获得当前本机的网卡MAC,在受到连续攻击的时候不停弹出受攻击的提示,十分碍眼。
不过总体说来还是不错的好东东了。