1. 首頁 > 生活百科 > >

反arp攻擊_現在防止arp攻擊有什么好的方法嗎?

生活百科

如何解決ARP攻擊并且反擊反ARP攻擊的絕招 , 讓你在ARP的炮雨攻擊下永不掉線
你的局域網經常掉線嗎?你受過ARP攻擊嗎?出現過煩人的IP沖突嗎?如果有,或者以防后患 , 請看下文 , 教你反ARP攻擊的絕招,讓你在ARP的炮雨攻擊下永不掉線 。
所遇情況:
第一 。局域網中經常有人用網絡執法官、剪刀手等工具限制其他人上網,雖然有反網絡執法官等軟件,但是用起來甚是不爽?。?
第二 。局域網中有人中了病毒,自動發送大量ARP攻擊到局域網中 。
原理:
ARP協議是windows網絡中查找IP和網卡的基礎 。所以不能繞開它 。所有的防御ARP攻擊的方法,都必須許可ARP協議 。以致目前用著還算可以的網絡工具比如360安全衛士,都只能監測到攻擊信息,卻奈何不了他什么 。
具體方法:
解決ARP攻擊最根本的辦法只有一個-----建虛擬網卡 ??梢允褂门菖蒴~虛擬網卡,在大的下載站都有下載 。
把虛擬網卡的IP指定為你正常使用的網卡的網關的IP地址,比如你的網卡的地址現在是10.176.168.33,網關是 10.176.168.1,那么給新的虛擬網卡10.176.168.1地址,然后再把新的虛擬網卡點右鍵禁用掉 。這個網卡必須禁用,否則你上網 , 都跑到 虛擬網卡了 , 其實它是不通的 。
怎樣反ARP攻擊ARP類病毒的解決方案
1、清空ARP緩存: 大家可能都曾經有過使用ARP的指令法解決過ARP欺騙問題 , 該方法是針對ARP欺騙原理進行解決的 。一般來說ARP欺騙都是通過發送虛假的MAC地址與IP地址的對應ARP數據包來迷惑網絡設備 , 用虛假的或錯誤的MAC地址與IP地址對應關系取代正確的對應關系 。若是一些初級的ARP欺騙 , 可以通過ARP的指令來清空本機的ARP緩存對應關系 , 讓網絡設備從網絡中重新獲得正確的對應關系,具體解決過程如下:
第一步:通過點擊桌面上任務欄的“開始”->“運行”,然后輸入cmd后回車,進入cmd(黑色背景)命令行模式;
第二步:在命令行模式下輸入arp -a命令來查看當前本機儲存在本地系統ARP緩存中IP和MAC對應關系的信息;
第三步:使用arp -d命令 , 將儲存在本機系統中的ARP緩存信息清空 , 這樣錯誤的ARP緩存信息就被刪除了 , 本機將重新從網絡中獲得正確的ARP信息,達到局域網機器間互訪和正常上網的目的 。如果是遇到使用ARP欺騙工具來進行攻擊的情況,使用上述的方法完全可以解決 。但如果是感染ARP欺騙病毒,病毒每隔一段時間自動發送ARP欺騙數據包,這時使用清空ARP緩存的方法將無能為力了 。下面將接收另外一種,可以解決感染ARP欺騙病毒的方法 。
2、指定ARP對應關系:其實該方法就是強制指定ARP對應關系 。由于絕大部分ARP欺騙病毒都是針對網關MAC地址進行攻擊的 , 使本機上ARP緩存中存儲的網關設備的信息出現紊亂 , 這樣當機器要上網發送數據包給網關時就會因為地址錯誤而失敗,造成計算機無法上網 。
第一步:我們假設網關地址的MAC信息為00-14-78-a7-77-5c,對應的IP地址為192.168.2.1 。指定ARP對應關系就是指這些地址 。在感染了病毒的機器上,點擊桌面->任務欄的“開始”->“運行” , 輸入cmd后回車,進入cmd命令行模式;
第二步:使用arp -s命令來添加一條ARP地址對應關系, 例如arp -s 192.168.2.1 00-14-78-a7-77-5c命令 。這樣就將網關地址的IP與正確的MAC地址綁定好了,本機網絡連接將恢復正常了;
第三步:因為每次重新啟動計算機的時候,ARP緩存信息都會被全部清除 。所以我們應該把這個ARP靜態地址添加指令寫到一個批處理文件(例如:bat)中 , 然后將這個文件放到系統的啟動項中 。當程序隨系統的啟動而加載的話 , 就可以免除因為ARP靜態映射信息丟失的困擾了 。
3、添加路由信息應對ARP欺騙:
一般的ARP欺騙都是針對網關的 , 那么我們是否可以通過給本機添加路由來解決此問題呢 。只要添加了路由,那么上網時都通過此路由出去即可,自然也不會被ARP欺騙數據包干擾了 。第一步:先通過點擊桌面上任務欄的“開始”->“運行”,然后輸入cmd后回車,進入cmd(黑色背景)命令行模式;
第二步:手動添加路由,詳細的命令如下:刪除默認的路由: route delete 0.0.0.0;添加路由:
route add -p 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1;確認修改:
route change此方法對網關固定的情況比較適合,如果將來更改了網關,那么就需要更改所有的客戶端的路由配置了 。
4、安裝殺毒軟件:
安裝殺毒軟件并及時升級,另外建議有條件的企業可以使用網絡版的防病毒軟件 。
手機怎么防止ARP攻擊?主要方法如下:

    打開【WiFi設定】,菜單鍵調出【高級】選項,勾選【使用靜態IP】                                       

    反arp攻擊_現在防止arp攻擊有什么好的方法嗎?

    文章插圖

被ARP攻擊的解決方法如下:
    【反arp攻擊_現在防止arp攻擊有什么好的方法嗎?】我們可以使用騰訊電腦管家防護我們的電腦安全 , 首先我們可以進入到騰訊電腦管家的主頁面中 。
    我們進入到騰訊電腦管家的工具箱中后,我們可以在當前頁面中找到ARP防火墻功能按鈕 , 點擊當前工作按鈕即可 。
    點擊騰訊電腦管家的ARP防火墻后 , 騰訊電腦管家會自動下載相關的驅動和程序 。
    安裝完成ARP防火墻后我們可以點擊進入到相關頁面,然后開啟相關的防火墻功能 , 就可以對我們的電腦ARP進行防護 。
如何反arp攻擊根據360追蹤到的IP地址 應該跟你處于同一個局域網 打開360 然后開啟ARP防火墻這個菜鳥所使用的是網關欺騙 那么網管應該有 該局域網內所有IP 和IP對應的MAC地址
新建一個記事本 輸入如下命令
arp -s IP地址 MAC地址
arp -s IP地址 MAC地址
........
就按照這樣的格式 例如局域網內172.17.48.3對應的MAC地址是 1a-2b-3c-4d
就輸入 arp -s 172.17.48.3 1a-2b-3c-4d
將局域網內所有的IP 和MAC地址都按照這樣的格式 輸入到記事本
然后文件另存為 保存類型選所有文件 文件名為***.bat注意文件后綴名為bat
保存 后桌面會出現一個MS-DOS的批處理文件 當下次 遇到ARP網關欺騙攻擊 網絡連接中斷 網管運行一下該批處理文件 就能在短時間內修復 攻擊造成的網絡癱瘓
思科交換機怎么配置能達到:防止同網段ARP攻擊你好!
主要做兩種策略 。
第一種是接入層的交換機做端口上的策略 。
(0)將端口配置成接入模式端口
(1)開啟端口安全
(2)限制端口MAC學習
(3)靜態綁定端口MAC地址 。
命令:
switchport mode access
switchport port-security
switchport port-security violation protect
switchport port-security mac-address sticky
switchport port-security mac-address sticky 0021.9b6f.3b6c
第二種在核心三層交換機做ARP綁定 。
在全局配置下:
ARP 192.168.1.1 0021.9148.bc84 ARPA
如上兩種策略做好了 。當某臺電腦發出ARP攻擊 , 那么只在會在自己電腦顯示報錯信息 。
如何防御arp攻擊要想了解ARP欺騙攻擊的原理,首先就要了解什么是ARP協議 。ARP是地址轉換協議的英文縮寫,它是一個鏈路層協議,工作在OSI模型的第二層 , 在本層和硬件接口間進行聯系 , 同時為上層(網絡層)提供服務 。
我們知道,二層的以太網交換設備并不能識別32位的IP地址,它們是以48位以太網地址(就是我們常說的MAC地址)傳輸以太網數據包的 。因此IP地址與MAC地址之間就必須存在一種對應關系,而ARP協議就是用來確定這種對應關系的協議 。
ARP工作時,首先請求主機發送出一個含有所希望到達的IP地址的以太網廣播數據包,然后目標IP的所有者會以一個含有IP和MAC地址對的數據包應答請求主機 。這樣請求主機就能獲得要到達的IP地址對應的MAC地址 , 同時請求主機會將這個地址對放入自己的ARP表緩存起來,以節約不必要的ARP通信 。ARP緩存表采用了老化機制,在一段時間內如果表中的某一行沒有使用(Windows系統這個時間為2分鐘,而Cisco路由器的這個時間為5分鐘),就會被刪除 。通過下面的例子我們可以很清楚地看出ARP的工作機制 。
假定有如下五個IP地址的主機或者網絡設備,它們分別是:
主機A 192.168.1.2
主機B 192.168.1.3
網關C 192.168.1.1
主機D 10.1.1.2
網關E 10.1.1.1
假如主機A要與主機B通信 , 它首先會檢查自己的ARP緩存中是否有192.168.1.3這個地址對應的MAC地址,如果沒有它就會向局域網的廣播地址發送ARP請求包 , 大致的意思是192.168.1.3的MAC地址是什么請告訴192.168.1.2,而廣播地址會把這個請求包廣播給局域網內的所有主機,但是只有192.168.1.3這臺主機才會響應這個請求包 , 它會回應192.168.1.2一個ARP包,大致的意思是192.168.1.3的MAC地址是02-02-02-02-02-02 。這樣的話主機A就得到了主機B的MAC地址,并且它會把這個對應的關系存在自己的ARP緩存表中 。之后主機A與主機B之間的通信就依靠兩者緩存表里的MAC地址來通信了,直到通信停止后2分鐘 , 這個對應關系才會從表中被刪除 。
再來看一個非局域網內部的通信過程 。假如主機A需要和主機D進行通信,它首先會發現這個主機D的IP地址并不是自己同一個網段內的 , 因此需要通過網關來轉發 , 這樣的話它會檢查自己的ARP緩存表里是否有網關192.168.1.1對應的MAC地址 , 如果沒有就通過ARP請求獲得,如果有就直接與網關通信,然后再由網關C通過路由將數據包送到網關E,網關E收到這個數據包后發現是送給主機D(10.1.1.2)的,它就會檢查自己的ARP緩存,看看里面是否有10.1.1.2對應的MAC地址,如果沒有就使用ARP協議獲得,如果有就是用該MAC地址與主機D通信 。
通過上面的例子我們知道 , 在以太局域網內數據包傳輸依靠的是MAC地址,IP地址與MAC對應的關系依靠ARP表,每臺主機(包括網關)都有一個ARP緩存表 。在正常情況下這個緩存表能夠有效保證數據傳輸的一對一性 , 像主機B之類的是無法截獲A與D之間的通信信息的 。
但是主機在實現ARP緩存表的機制中存在一個不完善的地方,當主機收到一個ARP的應答包后,它并不會去驗證自己是否發送過這個ARP請求,而是直接將應答包里的MAC地址與IP對應的關系替換掉原有的ARP緩存表里的相應信息 。這就導致主機B截取主機A與主機D之間的數據通信成為可能 。
首先主機B向主機A發送一個ARP應答包說192.168.1.1的MAC地址是02-02-02-02-02-02 , 主機A收到這個包后并沒有去驗證包的真實性而是直接將自己ARP列表中的192.168.1.1的MAC地址替換成02-02-02-02-02-02,同時主機B向網關C發送一個ARP響應包說192.168.1.2的MAC是02-02-02-02-02-02,同樣,網關C也沒有去驗證這個包的真實性就把自己ARP表中的192.168.1.2的MAC地址替換成02-02-02-02-02-02 。當主機A想要與主機D通信時,它直接把應該發送給網關192.168.1.1的數據包發送到02-02-02-02-02-02這個MAC地址,也就是發給了主機B,主機B在收到這個包后經過修改再轉發給真正的網關C,當從主機D返回的數據包到達網關C后,網關也使用自己ARP表中的MAC,將發往192.168.1.2這個IP地址的數據發往02-02-02-02-02-02這個MAC地址也就是主機B,主機B在收到這個包后再轉發給主機A完成一次完整的數據通信,這樣就成功地實現了一次ARP欺騙攻擊 。
因此簡單點說,ARP欺騙的目的就是為了實現全交換環境下的數據監聽 。大部分的木馬或病毒使用ARP欺騙攻擊也是為了達到這個目的 。
如何發現及清除
局域網內一旦有ARP的攻擊存在,會欺騙局域網內所有主機和網關 , 讓所有上網的流量必須經過ARP攻擊者控制的主機 。其他用戶原來直接通過網關上網,現在卻轉由通過被控主機轉發上網 。由于被控主機性能和程序性能的影響,這種轉發并不會非常流暢 , 因此就會導致用戶上網的速度變慢甚至頻繁斷線 。另外ARP欺騙需要不停地發送ARP應答包,會造成網絡擁塞 。
一旦懷疑有ARP攻擊我們就可以使用抓包工具來抓包,如果發現網內存在大量ARP應答包,并且將所有的IP地址都指向同一個MAC地址,那么就說明存在ARP欺騙攻擊,并且這個MAC地址就是用來進行ARP欺騙攻擊的主機MAC地址,我們可以查出它對應的真實IP地址,從而采取相應的控制措施 。另外,我們也可以到路由器或者網關交換機上查看IP地址與MAC地址的對應表 , 如果發現某一個MAC對應了大量的IP地址,那么也說明存在ARP欺騙攻擊,同時通過這個MAC地址查出用來ARP欺騙攻擊的主機在交換機上所對應的物理端口,從而進行控制 。
如何防范?
我們可以采取以下措施防范ARP欺騙 。
(1)在客戶端使用arp命令綁定網關的真實MAC地址命令如下:
arp -d *(先清除錯誤的ARP表)
arp -s 192.168.1.1 03-03-03-03-03-03 (靜態指定網關的MAC地址)
(2)在交換機上做端口與MAC地址的靜態綁定 。
(3)在路由器上做IP地址與MAC地址的靜態綁定 。
(4)使用“ARP SERVER”按一定的時間間隔廣播網段內所有主機的正確IP-MAC映射表 。
(5)最主要是要提高用戶的安全意識,養成良好的安全習慣 , 包括:及時安裝系統補丁程序;為系統設置強壯的密碼;安裝防火墻;安裝有效的殺毒軟件并及時升級病毒庫;不主動進行網絡攻擊,不隨便運行不受信任的軟件 。
ARP工作原理如下:
在TCP/IP協議中,A給B發送IP包,在包頭中需要填寫B的IP為目標地址,但這個IP包在以太網上傳輸的時候,還需要進行一次以太包的封裝,在這個以太包中,目標地址就是B的MAC地址.
計算機A是如何得知B的MAC地址的呢?解決問題的關鍵就在于ARP協議 。
在A不知道B的MAC地址的情況下,A就廣播一個ARP請求包,請求包中填有B的IP(192.168.1.2),以太網中的所有計算機都會接收這個請求,而正常的情況下只有B會給出ARP應答包,包中就填充上了B的MAC地址,并回復給A 。
A得到ARP應答后,將B的MAC地址放入本機緩存,便于下次使用 。
本機MAC緩存是有生存期的,生存期結束后,將再次重復上面的過程 。
ARP協議并不只在發送了ARP請求才接收ARP應答 。當計算機接收到ARP應答數據包的時候,就會對本地的ARP緩存進行更新,將應答中的IP和MAC地址存儲在ARP緩存中 。因此 , 當局域網中的某臺機器B向A發送一個自己偽造的ARP應答,而如果這個應答是B冒充C偽造來的,即IP地址為C的IP , 而MAC地址是偽造的,則當A接收到B偽造的ARP應答后,就會更新本地的ARP緩存,這樣在A看來C的IP地址沒有變,而它的MAC地址已經不是原來那個了 。由于局域網的網絡流通不是根據IP地址進行,而是按照MAC地址進行傳輸 。所以,那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址,這樣就會造成網絡不通,導致A不能Ping通C!這就是一個簡單的ARP欺騙 。
現在防止arp攻擊有什么好的方法嗎?很多人認為arp防火墻、做雙綁、vlan和交換接端口綁定 , 但是這些問題都只是暫時性解決了arp的基礎攻擊,現在的arp攻擊層出不窮,主要的是利用請求包和應答包來攻擊網關和pc 。ARP個人防火墻也有很大缺陷:
1、它不能保證綁定的網關一定是正確的 。如果一個網絡中已經發生了ARP欺騙,有人在偽造網關,那么,ARP個人防火墻上來就會綁定這個錯誤的網關,這是具有極大風險的 。即使配置中不默認而發出提示,缺乏網絡知識的用戶恐怕也無所適從 。
2、ARP是網絡中的問題,ARP既能偽造網關 , 也能截獲數據,是個“雙頭怪” 。在個人終端上做ARP防范,而不管網關那端如何,這本身就不是一個完整的辦法 。ARP個人防火墻起到的作用,就是防止自己的數據不會被盜取,而整個網絡的問題,如掉線、卡滯等,ARP個人防火墻是無能為力的 。
像vlan和交換機端口綁定,無非只是將arp請求包和應答包泛洪的范圍縮小在同一vlan里面了,并不能解決arp的問題 ?,F在要解決arp也就只能從終端網卡上做出攔截,真正從源頭上解決arp問題,目前能夠解決的也就只能部署免疫網絡了,看守式的終端綁定,全網聯動、群防群控地保障你的局域網、交換網絡的安全與穩定 。