下载文档原格式
ARP攻击内网的网络现象:
突发性瞬间断线,快速连上,期间上网速度越来越慢,一段时间又瞬间断线。
ARP攻击内网诊断:
1、断线时(ARP攻击木马程序运行时)在内网的PC上执行ARP –a 命令,看见网关地址的mac地址信息不是路由器的真实mac地址;
2、内网如果安装sniffer软件的话,可以看到ARP攻击木马程序运行时发出海量的ARP查询信息。
内网被攻击原因:
ARP攻击木马程序(传奇盗号木马)运行时,将自己伪装成路由器,所有内网用户上网从由路由器上网转为从中毒电脑上网,切换过程中用户会断一次线。
过程用户感觉上网非常慢。
当ARP攻击木马程序停止运行时,所有内网用户上网又从由中毒电脑上网转为从路由器上网,切换过程中用户会再断一次线。
在HiPER上的快速诊断:
1、系统状态—系统信息—系统历史纪录内,可以看见大量的mac地址变化信息,且mac地址都变化成进行
ARP攻击那台电脑的mac地址,或者由同一mac地址变回原来的真实mac地址。
MAC Chged 10.128.103.124 */该IP地址的MAC地址发生变化MAC Old 00:01:6c:36:d1:7f */变化前的MAC地址
MAC New 00:05:5d:60:c7:18 */变化后的MAC地址
2、断线时(ARP攻击木马程序运行时),在系统状态—用户统计中,观察到的所有用户的mac地址一致。
内网ARP攻击解决办法:
1、将感染病毒的PC从内网断开,查杀病毒。
2、在PC和路由器上双向绑定对方的IP和MAC地址。
快速确认内网ARP攻击的方法就为大家介绍完了,希望通过以上的介绍能够帮助到大家。
检查和处理“ ARP 欺骗”木马的方法
1、检查本机的“ ARP 欺骗”木马染毒进程
同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键,选择“任务管理器”,点选“进程”标签。
察看其中是否有一个名为“ MIR0.dat ”的进程。
如果有,则说明已经中毒。
右键点击此进程后选择“结束进程”。
2 .检查网内感染“ ARP 欺骗”木马染毒的计算机
在“开始” - “程序” - “附件”菜单下调出“命令提示符”。
输入并执行以下命令:
ipconfig
记录网关IP 地址,即“ Default Gateway ”对应的值,例如“10.87.58.126 ”。
再输入并执行以下命令:
arp –a
在“ Internet Address ”下找到上步记录的网关IP 地址,记录其
对应的物理地址,即“ Physical Address ”值,例如
“00-00-0c-07-ac-0f ”。
在网络正常时这就是网关的正确物理地址,在网络受“ ARP 欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。
3 .设置ARP 表避免“ ARP 欺骗”木马影响的方法
本方法可在一定程度上减轻中木马的其它计算机对本机的影响。
用上边介绍的方法确定正确的网关IP 地址和网关物理地址,然后在“命令提示符”窗口中输入并执行以下命令:
arp –s 网关IP 网关物理地址。
内网遭遇ARP攻击查找妙招
当一个网段有好几台服务器无法上网报障时,有可能是内网ARP,马上telnet 到三层交换机上(二层的不行)用show arp(华为设备用dis arp)可以查看到有几个IP地址的MAC 地址相同;记下这几个IP后马上用show logging 命令(华为设备用dis logbuffer)查看日志你会发现其中有一个IP没有日志报错;这个IP就是内网ARP发起者;马上对它采取措施(交换机上shutdown连接此IP的端口或者直接关闭此IP的服务器查杀ARP后才插网线开机)。
如果某台服务器经常有内网ARP时可以考虑为此服务器单独划分一个VLAN以阻断它对整个网段的影响;然后对它彻底处理。
也可做端口镜像后在PC机上抓包分析;但笔者认为没有上面的方法来行快。
如果没有三层交换设备的网络环境可以直接在PC机上抓包分析后做处理。
从sniffer下手揪出ARP病毒的几种方法一,ARP欺骗病毒发作迹象一般来说ARP欺骗病毒发作主要有以下几个特点,首先网络速度变得非常缓慢,部分计算机能够正常上网,但是会出现偶尔丢包的现象。
例如ping网关丢包。
而其他大部分计算机是不能够正常上网的,掉包现象危机。
但是这些不能上网的计算机过一段时间又能够自动连上。
ping网关地址会发现延迟波动比较大。
另外即使可以正常上网,象诸如邮箱,论坛等功能的使用依然出现无法正常登录的问题。
二,确认ARP欺骗病毒发作当我们企业网络中出现了和上面描述类似的现象时就需要我们在本机通过arp显示指令来确认病毒的发作了。
第一步:通过“开始->运行”,输入CMD指令后回车。
这样我们将进入命令提示窗口。
第二步:在命令提示窗口中我们输入ARP-A命令来查询本地计算机的ARP 缓存信息。
在显示列表中的physicaladdress列就是某IP对应的MAC地址了。
考试大提示如果企业没有进行任何MAC与IP地址绑定工作的话,ARP模式列显示的都是dynamic动态获得。
当我们发现arp-a指令执行后显示信息网关地址对应的MAC地址和正确的不同时就可以的确定ARP欺骗病毒已经在网络内发作了。
例如正常情况下笔者网络内网关地址192.168.2.1对应的MAC地址是00-10-5C-AC-3D-0A,然而执行后却发现192.168.2.1对应的MAC地址为00-10-5c-ac-31-b6。
网关地址MAC信息错误或变化确认是ARP病毒造成的。
第三步:我们用笔将错误的MAC地址记录下来,为日后通过sniffer排查做准备。
接下来我们就应该利用sniffer这个强健的工具来找出病毒根源了。
三,从sniffer下手揪出ARP病毒一般来说的办法是找一台没有感染病毒的计算机连接到企业核心路由交换设备的镜像端口来抓取数据包。
考试大提示如果没有镜像端口直接连接到网络中抓取也可以,只是所抓数据会不全,分析问题的周期比较长。
教你如何检测内网arp攻击【协助工具海蜘蛛】
2010-08-01 12:04
有时网络会出现掉线,有时还会一时可以上一时又上不了。
这可能是受到内网arp攻击,
但是要怎么判断呢?
其实很多路由上都可以直接看出来,下面我做个示例。
如下图,打开路由web控制页面中的信息检测-arp攻击检测,如下图:
设置完后,如果有arp攻击,就会显示出来,如图,内网IP地址为192.168.101.249有arp攻击:
如果以后内网还有掉线现象,检查一下这里就可以了。
另外,在系统设置-报警设置里也可以设置声音报警,如下图:
这样,以后内网一有攻击,路由就会自动报警了,然后看看arp攻击检测,就可以判断是否有arp 攻击了。
如何查看局域网arp网络状况_局域网arp攻击检测
局域网之间通信就是基于mac地址的广播或多播等方式进行的。
而最主要的通信协议就是arp协议。
查看局域网arp网络状况的方法其实很简单,下面由小编告诉你!
查看局域网arp网络状况的方法
打开桌面,点击开始,在开始中点击运行,输入cmd,回车。
在cmd中输入ipconfig /all ,可以看到本机的IP地址。
本机的IP地址如下:
本机的mac地址如下:
mac地址是由6组16进制数组成的地址数据,共48位数据。
通过在cmd中输入arp -a 可以查看本地存储的arp地址数据。
当局域网中出现arp地址欺骗的时候,可以通过arp -d命令将本地存储的arp地址全部清空,重新获取。
重新查看arp地址列表。
通过重新获取arp地址列表,可以解决网络突然掉线的问题。
主要就是防止别的计算机模拟网关来欺骗本机电脑,本地的数据包数据都放到了别的计算机上,而没有发往网关,因
此也就上不了网了。
arp地址列表一清空,重新获取,恢复正常。
看了如何查看局域网arp网络状况的人还看了
1.局域网断网ARP攻击如何检测和修复
2.怎么追踪并查杀局域网ARP病毒
3.如何在命令行下查看局域网内IP地址
4.局域网受到ARP断网攻击怎么办
感谢您的阅读!。
局域网ARP攻击的发现与解决浅析ARP病毒攻击是一个令人非常头痛的问题,但是,如果能够快速检测定位出局域网中的ARP 病毒电脑呢,那么结果就完全不一样了?(注:本人菜鸟一枚,写得不好的地方万望海涵!)很多人可能都有过这样的经历,在酒店或者宾馆住宿的时候,感觉网络出奇的卡,用手机打开个网页都卡得不行。
在目前这种WIFI网络盛行的年代,好一点的宾馆或者酒店一般都会有独立的千兆、万兆光纤专线,次一点的也该是百兆进线;就算满负荷运行,均分到各端口的速率也应该不会低于50KB/S,那么为何会出现这样严重的网络拥塞现象呢?我们从以下几个方面出发探究一下:发现ARP攻击-----------定位ARP攻击-----------解决ARP攻击(1)如何发现ARP攻击?发现ARP攻击其实不难,至少并不像想象的那么难;细细总结了一下方法还是比较多的。
一、360卫士篇打开360卫士---------点击右侧功能大全更多---------选择流量防火墙--------选择局域网防护------------开启局域网防护如果存在ARP欺骗那么该软件会快速弹出提示。
如果手上刚好没有这个软件那怎么怎么办呢?别急,还有办法。
二、DOS命令篇选择计算机开始运行输入CMD 回车输入Arp –a 查看ARP缓存表如果出现有多条IP地址对应一个MAC地址,简那么明显就是ARP在作怪。
三、感官篇最直观的莫过于用户的上网体验,网络延迟较大,丢包严重,以至于用户掉线。
(2)如何定位ARP攻击?一、安天ARP检测工具安天ARP检测工具工具使用很简单,打开就会用。
二、DOS命令检测如果手头一下没这个软件呢?这时也可在客户机使用路由跟踪命令:tracert–,马上就发现第一条不是网关的内网ip,而是本网段内的另外一台机器的IP,再下一跳才是网关的内网IP;正常情况是路由跟踪执行后的输出第一条应该是默认网关地址,由此判定第一跳的那个非网关IP地址的主机就是罪魁祸首。
局域网ARP攻击检测方法有哪些同路由的用户就可能会因为网速问题使用各种网络控制软件,对局域网内的用户进行ARP断网攻击,导致内网下所有用户都不能正常上网,怎么解决呢?怎么检测arp攻击?局域网ARP攻击检测方法一、首先诊断是否为ARP病毒攻击1、当发现上网明显变慢,或者突然掉线时,我们可以用:arp -a 命令来检查ARP表:点击“开始”按钮-选择“运行”-输入“cmd”点击“确定”按钮,在窗口中输入:arp -a 命令。
如何排查内网ARP断网攻击祸首?局域网ARP攻击检测方法检查ARP列表如果发现网关的MAC地址发生了改变,或者发现有很多IP指向同一个物理地址,那么肯定就是ARP欺骗所致。
这时可以通过 arp -d 清除arp列表,重新访问。
2、利用ARP防火墙类软件(如:360ARP防火墙、Anti ARP Sniffer等……)。
二、找出ARP病毒主机1、用arp -d 命令,只能临时解决上网问题,要从根本上解决问题,就得找到病毒主机。
通过上面的 arp -a 命令,可以判定改变了的网关MAC地址或多个IP指向的物理地址,就是病毒机的MAC地址。
哪么对应这个MAC地址的主机又是哪一台呢,Windows中有ipconfig /all 命令查看每台的信息,但如果电脑数目多话,一台台查下去不是办法,因此可以下载一个叫“NBTSCAN”的软件,它可以扫描到PC的真实IP地址和MAC地址。
2、如果手头一下没这个软件怎么办呢?这时也可在客户机运行路由跟踪命令马上就发现第一条不是网关机的内网IP,而是本网段内的另外一台机器的IP,再下一跳才是网关的内网IP;正常情况是路由跟踪执行后的输出第一条应该是默认网关地址,由此判定第一跳的那个非网关IP地址的主机就是罪魁祸首。
查找访问外网路径当然找到了IP之后,接下来是要找到这个IP具体所对应的机子了,如果你每台电脑编了号,并使用固定IP,IP的设置也有规律的话,那么就很快找到了。
如何能够快速检测定位出局域网中的ARP病毒电脑?面对着局域网中成百台电脑,一个一个地检测显然不是好办法。
其实我们只要利用ARP 病毒的基本原理:发送伪造的ARP欺骗广播,中毒电脑自身伪装成网关的特性,就可以快速锁定中毒电脑。
识别ARP
可以设想用程序来实现以下功能:在网络正常的时候,牢牢记住正确的网关IP地址和MAC地址,并且实时监控来自全网的ARP数据包。
当发现有某个ARP数据包广播,来自正确网关IP地址其MAC地址竟然是其它电脑的MAC地址的时候,ARP欺骗发生了。
对此可疑MAC地址报警,在根据网络正常时候的IP-MAC地址对照表查询该电脑,定位出其IP地址,这样就定位出中毒电脑了。
一般情况下,被ARP被攻击后,局域网内会出现以下两种现象:
1、不断弹出―本机的XXX段硬件地址与网络中的XXX段地址冲突‖的对话框。
2、计算机不能正常上网,出现网络中断的症状。
很多管理员认为有高级功能防火墙,可以得到相应的保护,恰恰相反,防火墙会误以为这是正常的请求数据包,不予拦截。
由此而见,需要我们找到问题根源,找到源头,才能真正解决问题所在。
当你的局域网内出现上面症状后,根据局域网大小,方可使用以下三种方法来检测ARP中毒电脑:
检测ARP攻击
一、工具软件法:网上已经有很多ARP病毒定位工具软件,目前网络中做得较好的是ARP防火墙。
打开ARP防火墙,输入网关IP地址后,再点击红色框内的―枚举MAC‖按钮,即可获得正确网关的MAC地址,接着点击―自动保护‖按钮,即可保护当前网卡与网关的正常通信。
当局域网中存在ARP欺骗时,该数据包会被Anti ARP Sniffer记录,该软件会以气泡的形式报警。
这时,我们再根据欺骗机的MAC地址,对比查找全网的IP-MAC地址对照表,即可快速定位出中毒电脑。
二、命令行法:在受影响的电脑中查询一下当前网关的MAC地址,就知道中毒电脑的MAC地址了,在cmd命令提示行下输入查询命令为arp -a。
这时,由于这个电脑的ARP表是错误的记录,因此,该MAC 地址不是真正网关的MAC地址,而是中毒电脑的MAC地址!这时在根据全网的IP—MAC地址对照表,查找中毒电脑的IP地址就可以了。
如果我们没有对IP地址和MAC地址进行绑定,甚至MAC地址也没有记录,此时就可以使用以下策略:在能上网的计算机上,进入MS-DOS窗口,输入命令:arp –a 查看网关IP对应的正确MAC地址,将其记录下来;如果已经不能上网,则先运行一次命令arp –d将arp缓存中的内容删空,计算机可暂时恢复上网,一旦能上网就立即将网络断掉,再运行arp –a。
三、Sniffer 抓包嗅探法:当局域网中有ARP病毒欺骗时,往往伴随着大量的ARP欺骗广播数据包,这时,流量检测机制应该能够很好的检测出网络的异常举动。
局域网中有电脑发送ARP广播包的情况是存在的,但是如果不停的大量发送,就很可疑了。
如此台192.168.0.109 电脑正是一个ARP中毒电脑。
此时利用网络监视器就可以抓取网络中的数据包,先查出发送arp数据的电脑的IP(可能是假的)及MAC 地址,然后找对应的机器就很容易找到中毒的机器了。
ARP病毒的清除
处理原则:及时恢复网络,再查找根源,最后清除病毒。
比如:有一台计算机中ARP病毒后,第一时间不能确定具体的那台计算机,这种情况下,可先保证网络正常运行:
一、在中毒客户端主机运行arp -d ,清除arp列表,可暂时恢复该主机正常网络通讯。
二、在中毒客户端主机进行针对网关的静态IP-MAC地址绑定,命令arp -s 网关ip 网关mac,为避免计算机重启后记录失效,可编写一个批处理文件rarp1.bat,内容如下:
@echo off
arp –d
arp -s 您自己的网关Ip地址和MAC地址
将这个批处理软件拖到―windows--开始--程序--启动‖中。
三、编写一个批处理,定时刷新arp缓存表
脚本代码如下: 主程序arp.bat
@echo off
cscript sleep.vbs
arp –d
exit
辅助计时程序sleep.vbs
wscript.sleep 3000
就这样,把代码复制到记事本里,然后分别保存为arp3.bat,其中的3000 是指ARP更新的时间。
然后根据定位端口的方式找到病毒源,给予清除。
ARP病毒的防御
设置静态的MAC-->IP对应表,不要让主机刷新你设定好的转换表。
除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
在使用ARP服务器时应通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播,确保ARP服务器不被黑。
并且使用硬件屏蔽主机,首先设置好路由,确保IP地址能到达合法的路径(静态配置路由ARP条目)。
如:华为的H3C AR 18-6X 系列全千兆以太网路由器就可以实现局域网中的ARP病毒免疫,该路由器提供MAC和IP地址绑定功能,可以根据用户的配置,在特定的IP地址和MAC地址之间形成关联关系。
对于声称从这个IP地址发送的报文,如果其MAC地址不是指定关系对中的地址,路由器将予以丢弃,是避免IP地址假冒攻击的一种方式。
其次管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性,并检查主机上的ARP缓存。
安全建议
一、在网络正常时候保存好全网的IP—MAC地址对照表,这样在查找ARP中毒电脑时很方便。
二、都全网的电脑都打上MS06-014和MS07-017这两个补丁,包括所有的客户端和服务器,以免感染网页木马。
三、部署网络流量检测设备,时刻监视全网的ARP广播包,查看其MAC地址是否正确。
四、做好IP—MAC地址的绑定工作,对于从这个IP地址发送的报文,如果其MAC地址不是指定关系对中的地址,予以丢弃。
五、部署网络版的杀毒软件,定期升级病毒库,定期全网杀毒。
