IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置:首頁(yè)系統(tǒng)集成網(wǎng)絡(luò)故障 → ARP病毒,網(wǎng)絡(luò)掉線罪魁禍?zhǔn)着c解決之道

ARP病毒,網(wǎng)絡(luò)掉線罪魁禍?zhǔn)着c解決之道

時(shí)間:2015/6/28來(lái)源:IT貓撲網(wǎng)作者:網(wǎng)管聯(lián)盟我要評(píng)論(0)

現(xiàn)今,網(wǎng)吧或企業(yè)網(wǎng)絡(luò)中感染ARP病毒的情況極為多見,給網(wǎng)絡(luò)的正常使用造成了很大的影響,在清理和防范都比較困難,給不少的網(wǎng)絡(luò)管理員造成了很大的困擾,很多網(wǎng)絡(luò)管理員都在尋找一個(gè)穩(wěn)定、快速的解決之道。下面飛魚星技術(shù)工程師通過(guò)對(duì)ARP病毒的深度解析后,把處理此類問題的一些經(jīng)驗(yàn)在這里與大家分享。

  什么是ARP和ARP病毒

  ARP協(xié)議是"Address Resolution Protocol"(地址解析協(xié)議)的縮寫。在局域網(wǎng)中,網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖?quot;幀",幀里面是有目標(biāo)主機(jī)的MAC地址的。在以太網(wǎng)中,一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信,必須要知道目標(biāo)主機(jī)的MAC地址。然而怎么獲取呢?需通過(guò)地址解析協(xié)議獲得。所謂"地址解析"就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過(guò)程。ARP協(xié)議的基本功能就是通過(guò)目標(biāo)設(shè)備的IP地址,查詢目標(biāo)設(shè)備的MAC地址,以保證通信的順利進(jìn)行。

  ARP協(xié)議本身并不是病毒,但很多木馬程序、病毒都利用了該協(xié)議,就成為讓人憎恨的ARP病毒。在一般的網(wǎng)絡(luò)中,路由器和PC均帶有ARP緩存,因此這兩類設(shè)備最容易受到ARP攻擊。如同路由器受到ARP攻擊時(shí)數(shù)據(jù)包不能到達(dá)PC一樣,上網(wǎng)PC受到ARP攻擊時(shí),數(shù)據(jù)包也不會(huì)發(fā)送到路由器上,而是發(fā)送到一個(gè)錯(cuò)誤的地方,當(dāng)然也就無(wú)法通過(guò)路由器上網(wǎng)了。

    ARP欺騙攻擊的癥狀

    1、計(jì)算機(jī)網(wǎng)絡(luò)連接正常,有時(shí)候PC無(wú)法訪問外網(wǎng),重新啟動(dòng)路由器又好了,過(guò)一會(huì)又不行了;

    2、用戶私密信息(如網(wǎng)銀、QQ、網(wǎng)游等帳號(hào))被竊取;

    3、局域網(wǎng)內(nèi)的ARP廣播包巨增,使用ARP查詢時(shí)發(fā)現(xiàn)不正常的MAC地址,或錯(cuò)誤的MAC地址,還有一個(gè)MAC對(duì)應(yīng)多個(gè)IP的情況;局域網(wǎng)內(nèi)出現(xiàn)網(wǎng)絡(luò)擁塞,甚至一些網(wǎng)絡(luò)設(shè)備當(dāng)主機(jī)。

    ARP欺騙攻擊的原理

    ARP欺騙攻擊的一般有以下兩個(gè)特點(diǎn):

    第一, 以太網(wǎng)數(shù)據(jù)包頭的源地址、目標(biāo)地址和ARP數(shù)據(jù)包的協(xié)議地址不匹配;

    第二, ARP數(shù)據(jù)包的發(fā)送和目標(biāo)地址不在自己網(wǎng)絡(luò)網(wǎng)卡MAC數(shù)據(jù)庫(kù)內(nèi),或者與自己網(wǎng)絡(luò)MAC數(shù)據(jù)庫(kù)MAC/IP不匹配。

    ARP欺騙攻擊的解決辦法

  針對(duì)ARP欺騙攻擊的防御,飛魚星科技于2005年率先提出針對(duì)ARP欺騙攻擊的主動(dòng)防御理念,隨后,國(guó)內(nèi)同類產(chǎn)品也提出了類似方式防御,即:增大路由器ARP信息主動(dòng)廣播密度,從而減少PC遭受ARP欺騙攻擊的可能。

  現(xiàn)市面上某些產(chǎn)品或軟件加強(qiáng)了ARP主動(dòng)廣播的密度,意圖通過(guò)高密度廣播達(dá)到減緩或抑制內(nèi)網(wǎng)PC遭受ARP欺騙的目的,但實(shí)際運(yùn)用效果來(lái)看,加強(qiáng)廣播密度的做法:一方面,高密度的內(nèi)網(wǎng)廣播,給網(wǎng)絡(luò)帶來(lái)了繁重的負(fù)擔(dān),甚至產(chǎn)生廣播風(fēng)暴,導(dǎo)致整個(gè)網(wǎng)絡(luò)的癱瘓;另一方面,如果內(nèi)網(wǎng)中毒過(guò)重,那單純依靠某臺(tái)設(shè)備的高密度廣播也是有限的,隨著內(nèi)網(wǎng)中毒PC數(shù)量的增加,ARP欺騙攻擊廣播勢(shì)必會(huì)壓過(guò)路由器或軟件主動(dòng)廣播的密度,從而斷網(wǎng)問題仍然懸而未決,用戶怨聲載道。

  因此,為減少網(wǎng)絡(luò)廣播壓力,有效抑制網(wǎng)絡(luò)廣播風(fēng)暴,飛魚星工程師推薦用戶采用雙向IP/MAC地址綁定的方式來(lái)解決和防止ARP欺騙攻擊所導(dǎo)致網(wǎng)絡(luò)的時(shí)斷時(shí)續(xù)。

 1、在PC上綁定路由器的IP和MAC地址:

    方法一、安裝智能網(wǎng)關(guān)IP/MAC地址綁定軟件

    推薦使用:"網(wǎng)關(guān)智能綁定精靈 正式版 2.0",通過(guò)該軟件的下載和安裝,PC重啟后自動(dòng)綁定網(wǎng)關(guān)IP/MAC地址,軟件還提供兩個(gè)附加IP/MAC地址的手動(dòng)綁定策略(支持綁定服務(wù)器等附加綁定),針對(duì)本地ARP信息變更,提供報(bào)警提示服務(wù))

    方法二、手動(dòng)綁定網(wǎng)關(guān)IP/MAC

    (1)首先,獲得路由器的內(nèi)網(wǎng)的MAC地址(例如,飛魚星高性能寬帶路由器局域網(wǎng)口的IP地址為:192.168.160.1,MAC地址為:00-3c-01-50-3f-66)。

    (2)用記事本編寫一個(gè)批處理文件Varp.bat內(nèi)容如下:

    @echo off

    arp -d

    arp -s  192.168.160.1  00-3c-01-50-3f-66

    (將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為您自己的網(wǎng)關(guān)局域網(wǎng)口的IP地址和MAC地址即可。)

    將此批處理文件拖動(dòng)(移動(dòng))到"開始"-->"程序"-->"啟動(dòng)"中。

    2、在路由器上綁定內(nèi)網(wǎng)所有PC的IP和MAC地址:

  以飛魚星高性能寬帶路由器為例,在設(shè)備配置頁(yè)面"網(wǎng)絡(luò)安全"的"IP-MAC綁定" 中的"掃描MAC",掃描到的未綁定主機(jī)通過(guò)">>>"功能鍵添加掃描地址至綁定列表中。(如圖一所示)

t1

 雙向地址綁定結(jié)合飛魚星高性能寬帶路由器完善的攻擊防御體系,讓您的網(wǎng)絡(luò)更安全,更穩(wěn)定。(如圖二所示) 

t2

 3、找到感染ARP病毒的機(jī)器

  通過(guò)飛魚星路由器配置界面的"系統(tǒng)狀態(tài)"-->"系統(tǒng)日志",查看ARP欺騙攻擊的對(duì)應(yīng)日志信息。(如圖三所示)

t3

通過(guò)飛魚星路由器后臺(tái)命令提示符下管理,查看路由器ARP信息,最終查找到攻擊來(lái)源MAC地址對(duì)應(yīng)IP地址,從而及時(shí)、有效的解決故障機(jī)問題。(如圖四所示)

t4

對(duì)于一些不適合傳統(tǒng)IP/MAC雙向綁定的網(wǎng)絡(luò)環(huán)境,例如客人流動(dòng)頻繁的商務(wù)酒店、經(jīng)?寺/還原系統(tǒng)的網(wǎng)吧、頻繁添加電腦的企業(yè)和學(xué)校。ARP信任機(jī)制在無(wú)雙向綁定的情況下,可自動(dòng)學(xué)習(xí)、判斷和更新內(nèi)網(wǎng)主機(jī)的ARP信息,確保路由器獲得真實(shí)可靠的用戶ARP信息,既保證上網(wǎng)的便捷性,又保證上網(wǎng)的安全性。

最后,在不斷的深入研究之后,飛魚星科技推出了全新的安全聯(lián)動(dòng)解決方案,通過(guò)三層設(shè)備(飛魚星路由器)和二層設(shè)備(飛魚星交換機(jī))的協(xié)同安全聯(lián)動(dòng),輕松解決因內(nèi)網(wǎng)個(gè)別電腦中毒,攻擊其他電腦導(dǎo)致整網(wǎng)癱瘓的問題,基于硬件端口的防御方式,整個(gè)網(wǎng)絡(luò)將不會(huì)受到任何威脅。同時(shí)高性能的自防御系統(tǒng),可有效的防御網(wǎng)絡(luò)中其他的常見攻擊。同時(shí),簡(jiǎn)單、易操作的理念將大大減輕網(wǎng)管員的工作量,使得網(wǎng)管員有更多時(shí)間考慮網(wǎng)絡(luò)的日常維護(hù)和網(wǎng)絡(luò)規(guī)劃,不再一天到晚疲于應(yīng)付安全事件的發(fā)生。

   t5

 其他排查辦法:

    (1)在未綁定PC上Ping路由器網(wǎng)關(guān)的IP地址,然后使用"arp -a"命令,查看網(wǎng)關(guān)對(duì)應(yīng)的MAC地址是否與實(shí)際情況相符,如有不符,可去查找與該MAC地址對(duì)應(yīng)的PC。

    (2)使用抓包工具,分析所得到的ARP數(shù)據(jù)報(bào)。有些ARP病毒是會(huì)把通往網(wǎng)關(guān)的路徑指向自己,有些是發(fā)出虛假ARP回應(yīng)包來(lái)混淆網(wǎng)絡(luò)通信。第一種處理比較容易,第二種處理比較困難,如果殺毒軟件不能正確識(shí)別病毒的話,往往需要手工查找感染病毒的電腦和手工處理病毒,比較困難。

    (3)使用MAC地址掃描工具,Nbtscan掃描全網(wǎng)段IP地址和MAC地址對(duì)應(yīng)表,有助于判斷感染ARP病毒對(duì)應(yīng)MAC地址和IP地址。

關(guān)鍵詞標(biāo)簽:ARP病毒,網(wǎng)絡(luò)掉線

相關(guān)閱讀

文章評(píng)論
發(fā)表評(píng)論

熱門文章 提示dns服務(wù)錯(cuò)誤怎么辦 dns錯(cuò)誤問題多種解決提示dns服務(wù)錯(cuò)誤怎么辦 dns錯(cuò)誤問題多種解決IS-IS同時(shí)下發(fā)缺省路由出現(xiàn)路由環(huán)路問題的解IS-IS同時(shí)下發(fā)缺省路由出現(xiàn)路由環(huán)路問題的解IBGP鄰居無(wú)法建立連接問題的解決方法IBGP鄰居無(wú)法建立連接問題的解決方法對(duì)稱結(jié)構(gòu)承載網(wǎng)流量出現(xiàn)異常問題的故障解決對(duì)稱結(jié)構(gòu)承載網(wǎng)流量出現(xiàn)異常問題的故障解決

相關(guān)下載

人氣排行 光纖上網(wǎng) 路由器設(shè)置頁(yè)面進(jìn)不去怎么辦登錄SSH服務(wù)器失敗問題的分析及解決無(wú)線網(wǎng)卡連接不上怎么辦_無(wú)線網(wǎng)卡連接不上解決方法提示dns服務(wù)錯(cuò)誤怎么辦 dns錯(cuò)誤問題多種解決方法本機(jī)IP設(shè)置不當(dāng)造成路由異常故障分析路由設(shè)置不當(dāng) 導(dǎo)致VPN無(wú)法訪問外網(wǎng)無(wú)線路由器無(wú)不能上網(wǎng)的秘密ADSL頻繁掉線如何解決?