告别ARP 净化网络环境
.a193 ARPAVlan256
Internet 192.168.1.8 0000b.cd85.a193 ARPAVlan256 Internet 192.168.1.9 0000b.cd85.a193 ARPAVlan256 ARP攻击时的主要现象 网上银行、保密数据的频繁丢失。当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。切换到病毒主机上网后,如果用户已经登陆服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录服务器,这样病毒主机就可以窃取所有机器的资料了。 网速时快时慢,极其不稳定,但单机进行光纤数据测试时一切正常。局域网内频繁性区域或整体掉线,重启计算机或网络设备后恢复正常 由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再次断线。 ARP的解决办法: 目前来看普遍的解决办法都是采用双绑,具体方法: 先找到正确的 网关 IP 网关物理地址 然后 在客户端做对网关的arp绑定。 步骤一: 查找本网段的网关地址,比如192.168.1.1,以下以此网关为例。在正常上网时,“开始→运行→cmd→确定”,输入:arp -a,点回车,查看网关对应的Physical Address。 比如:网关192.168.1.1 对应0A-0B-0C-0D-0E-0F。 步骤二: 编写一个批处理文件rarp.bat,内容如下: @echo off arp -d arp -s 192.168.1.1 0A-0B-0C-0D-0E-0F 保存为:rarp.bat。 步骤三: 运行批处理文件将这个批处理文件拖到“Windows→开始→程序→启动”中。 但双绑并不能彻底解决ARP问题,IP冲突以及一些ARP变种是不能应对的。 再有就是采用防ARP的硬件路由,但价格很高,并且不能保证在大量攻击出现地情况下稳定工作.那么现在就没有,有效并能够彻底的解决办法了吗?有的,那就是采用能够以底层驱动的方式工作的软件,并全网部署来防范ARP问题. 此类软件是通过系统底层核心驱动,以服务及进程并存的形式随系统启动并运行,不占用计算机系统资源。这种方式不同于双绑。因为它是对通信中的数据包进行分析与判断,只有合法的包才可以被放行 |