一区二区国产高清视频在线_真人性做爰A片免费_强伦人妻BD在线电影_亚洲熟妇无码AV_免费人成视频在线观看网站_亚洲欧美精品午睡沙发_在线观看无码的免费网站_中文字幕无码A片久久_日韩欧美国产一区精品_久久精品女人天堂av

重慶醫(yī)科大學(xué)論壇

標(biāo)題: 網(wǎng)絡(luò)掉線的罪魁禍?zhǔn)住狝RP欺騙/攻擊 [打印本頁]
作者: zhouabc2007    時間: 2007-11-26 19:14
標(biāo)題: 網(wǎng)絡(luò)掉線的罪魁禍?zhǔn)住狝RP欺騙/攻擊
現(xiàn)在企業(yè)局域網(wǎng)中感染ARP病毒的情況比較多,給局域網(wǎng)的正常使用造成了很大的影響,同時清理和防范都比較困難,給不少的網(wǎng)絡(luò)管理員造成了很多的困擾。下面飛魚星工程師把處理此類問題的一些經(jīng)驗與大家分享。

什么是ARP病毒
  ARP協(xié)議本身并不是病毒,只是很多木馬程序、病毒都采用了該協(xié)議,這些木馬病毒也經(jīng)常出現(xiàn)在游戲的外掛中。
在一般的網(wǎng)絡(luò)中,路由器和PC均帶有ARP緩存,因此這兩類設(shè)備最容易受到ARP攻擊。如同路由器受到ARP攻擊時數(shù)據(jù)包不能到達PC一樣,上網(wǎng)PC受到ARP攻擊時,數(shù)據(jù)包也不會發(fā)送到路由器上,而是發(fā)送到一個錯誤的地方,當(dāng)然也就無法通過路由器上網(wǎng)了。
ARP欺騙攻擊的癥狀
計算機網(wǎng)絡(luò)連接正常,有時候PC無法訪問外網(wǎng),重新啟動路由器又好了,過一會又不行了;
用戶私密信息(如QQ、網(wǎng)游等帳號)被竊取;
局域網(wǎng)內(nèi)的ARP廣播包巨增,使用ARP查詢時發(fā)現(xiàn)不正常的MAC地址,或者是錯誤的MAC地址,還有一個MAC地址對應(yīng)多個IP的情況;
局域網(wǎng)內(nèi)出現(xiàn)網(wǎng)絡(luò)擁塞,甚至一些網(wǎng)絡(luò)設(shè)備當(dāng)機。

ARP欺騙攻擊的原理
ARP欺騙攻擊的包一般有以下兩個特點:
第一, 以太網(wǎng)數(shù)據(jù)包頭的源地址、目標(biāo)地址和ARP數(shù)據(jù)包的協(xié)議地址不匹配;
第二, ARP數(shù)據(jù)包的發(fā)送和目標(biāo)地址不在自己網(wǎng)絡(luò)網(wǎng)卡MAC數(shù)據(jù)庫內(nèi),或者與自己網(wǎng)絡(luò)MAC數(shù)據(jù)庫MAC/IP不匹配。
簡單的來打個比方來說,APR欺騙攻擊類似于:
ARP欺騙攻擊網(wǎng)關(guān),路人甲到郵局冒充自己是路人乙,在郵局將路人乙的包裹領(lǐng)走了,而路人乙去郵局領(lǐng)包裹的時候,郵局沒有辦法給出包裹;
ARP欺騙攻擊PC,路人甲主動告訴路人乙自己是郵局工作人員,讓路人乙把需要郵寄的包裹交給了路人甲,回頭路人甲把包裹占為己有,并不會為路人乙郵寄包裹。

ARP欺騙攻擊的解決辦法
  針對ARP欺騙攻擊的防御,飛魚星科技于2005年率先提出針對ARP欺騙攻擊的主動防御理念,目前國內(nèi)同類產(chǎn)品也以類似方式防御,即:增大路由器ARP信息主動廣播密度,從而減少PC遭受ARP欺騙攻擊的可能。
  現(xiàn)在市面上某些產(chǎn)品或軟件加強了ARP主動廣播的密度,意圖通過高密度廣播達到減緩或抑制內(nèi)網(wǎng)PC遭受ARP欺騙的目的,但實際運用效果來看,加強廣播密度的做法:一方面,高密度的內(nèi)網(wǎng)廣播,給網(wǎng)絡(luò)帶來了繁重的負(fù)擔(dān),甚至產(chǎn)生廣播風(fēng)暴,導(dǎo)致整個網(wǎng)絡(luò)的癱瘓;另一方面,如果內(nèi)網(wǎng)中毒過重,那單純依靠某臺設(shè)備的高密度廣播也是有限的,隨著內(nèi)網(wǎng)中毒PC數(shù)量的增加,ARP欺騙攻擊廣播勢必會壓過路由器或軟件主動廣播的密度,從而斷網(wǎng)問題仍然懸而未決,用戶怨聲載道。
因此,為減少網(wǎng)絡(luò)廣播壓力,有效抑制網(wǎng)絡(luò)廣播風(fēng)暴,飛魚星工程師推薦用戶采用雙向IP/MAC地址綁定的方式來解決和防止ARP欺騙攻擊所導(dǎo)致網(wǎng)絡(luò)的時斷時續(xù)。
1、在PC上綁定路由器的IP和MAC地址:
方法一、安裝智能網(wǎng)關(guān)IP/MAC地址綁定軟件
推薦使用:“網(wǎng)關(guān)智能綁定精靈 正式版 2.0”,通過該軟件的下載和安裝,PC重啟后自動綁定網(wǎng)關(guān)IP/MAC地址,軟件還提供兩個附加IP/MAC地址的手動綁定策略(支持綁定服務(wù)器等附加綁定),針對本地ARP信息變更,提供報警提示服務(wù)。
下載地址:http://download.pchome.net/internet/tools/66075.html(PCHOME提供)
方法二、手動綁定網(wǎng)關(guān)IP/MAC
  (1)首先,獲得路由器的內(nèi)網(wǎng)的MAC地址(例如,飛魚星高性能寬帶路由器局域網(wǎng)口的IP地址為:192.168.160.1,MAC地址為:00-3c-01-50-3f-66)。
  (2)用記事本編寫一個批處理文件Varp.bat內(nèi)容如下:
  @echo off
  arp -d
  arp -s 192.168.160.1 00-3c-01-50-3f-66
  (將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為您自己的網(wǎng)關(guān)局域網(wǎng)口的IP地址和MAC地址即可。)
將“Varp.bat”批處理軟件拖動(移動)到“開始”-->“程序”-->“啟動”中。
2、在路由器上綁定內(nèi)網(wǎng)所有PC的IP和MAC地址:
  以飛魚星Volans-4920GP高性能寬帶路由器為例,在設(shè)備配置頁面“網(wǎng)絡(luò)安全”的“IP-MAC綁定” 中的“掃描MAC”,掃描到的未綁定主機通過“>>>”功能鍵添加掃描地址至綁定列表



雙向地址綁定結(jié)合飛魚星高性能寬帶路由器完善的攻擊防御體系,讓您的網(wǎng)絡(luò)更安全,更穩(wěn)定
3、找到感染ARP病毒的機器
  通過飛魚星路由器配置界面的“系統(tǒng)狀態(tài)”-->“系統(tǒng)日志”,查看ARP欺騙攻擊的對應(yīng)日志信息。(如圖三所示)

  通過飛魚星路由器后臺命令提示符下管理,查看路由器ARP信息,最終查找到攻擊來源MAC地址對應(yīng)IP地址,從而及時、有效的解決故障機問題。

其他排查辦法:
(1)在未綁定PC上Ping路由器網(wǎng)關(guān)的IP地址,然后使用“arp -a”命令,查看網(wǎng)關(guān)對應(yīng)的MAC地址是否與實際情況相符,如有不符,可去查找與該MAC地址對應(yīng)的PC。
(2)使用抓包工具,分析所得到的ARP數(shù)據(jù)報。有些ARP病毒是會把通往網(wǎng)關(guān)的路徑指向自己,有些是發(fā)出虛假ARP回應(yīng)包來混淆網(wǎng)絡(luò)通信。第一種處理比較容易,第二種處理比較困難,如果殺毒軟件不能正確識別病毒的話,往往需要手工查找感染病毒的電腦和手工處理病毒,比較困難。
(3)使用MAC地址掃描工具,Nbtscan掃描全網(wǎng)段IP地址和MAC地址對應(yīng)表,有助于判斷感染ARP病毒對應(yīng)MAC地址和IP地址。

4、飛魚星工程師提醒您:
(1)經(jīng)常更新內(nèi)網(wǎng)所有PC操作系統(tǒng)的補丁;
(2)安裝正版的殺毒軟件,及時更新病毒庫,并做定期的病毒掃描;
(3)無論網(wǎng)絡(luò)規(guī)模大小,盡量使用手動指定IP地址方式管理,而不是使用DHCP來分配IP地址。
本文轉(zhuǎn)自:http://www.pconline.com.cn/network/solution/0709/1120035_1.html
作者: acer888    時間: 2007-11-27 21:12
頂了,前段時間是飽受煎熬啊!
作者: redboy0909    時間: 2007-11-29 10:51

是的,剛剛經(jīng)受了考驗



歡迎光臨 重慶醫(yī)科大學(xué)論壇 (http://www.espacio12.com/) Powered by Discuz! X3.4