文章導航綠軟下載站軟件下載安卓資源蘋果資源專題

您當前所在位置:首頁系統集成網絡故障 → ARP病毒,網絡掉線罪魁禍首與解決之道

ARP病毒,網絡掉線罪魁禍首與解決之道

時間:2015/6/28來源:IT貓撲網作者:網管聯盟我要評論(0)

現今,網吧或企業網絡中感染ARP病毒的情況極為多見,給網絡的正常使用造成了很大的影響,在清理和防范都比較困難,給不少的網絡管理員造成了很大的困擾,很多網絡管理員都在尋找一個穩定、快速的解決之道。下面飛魚星技術工程師通過對ARP病毒的深度解析后,把處理此類問題的一些經驗在這里與大家分享。

  什么是ARP和ARP病毒

  ARP協議是"Address Resolution Protocol"(地址解析協議)的縮寫。在局域網中,網絡中實際傳輸的是"幀",幀里面是有目標主機的MAC地址的。在以太網中,一個主機要和另一個主機進行直接通信,必須要知道目標主機的MAC地址。然而怎么獲取呢?需通過地址解析協議獲得。所謂"地址解析"就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。ARP協議的基本功能就是通過目標設備的IP地址,查詢目標設備的MAC地址,以保證通信的順利進行。

  ARP協議本身并不是病毒,但很多木馬程序、病毒都利用了該協議,就成為讓人憎恨的ARP病毒。在一般的網絡中,路由器和PC均帶有ARP緩存,因此這兩類設備最容易受到ARP攻擊。如同路由器受到ARP攻擊時數據包不能到達PC一樣,上網PC受到ARP攻擊時,數據包也不會發送到路由器上,而是發送到一個錯誤的地方,當然也就無法通過路由器上網了。

    ARP欺騙攻擊的癥狀

    1、計算機網絡連接正常,有時候PC無法訪問外網,重新啟動路由器又好了,過一會又不行了;

    2、用戶私密信息(如網銀、QQ、網游等帳號)被竊;

    3、局域網內的ARP廣播包巨增,使用ARP查詢時發現不正常的MAC地址,或錯誤的MAC地址,還有一個MAC對應多個IP的情況;局域網內出現網絡擁塞,甚至一些網絡設備當主機。

    ARP欺騙攻擊的原理

    ARP欺騙攻擊的一般有以下兩個特點:

    第一, 以太網數據包頭的源地址、目標地址和ARP數據包的協議地址不匹配;

    第二, ARP數據包的發送和目標地址不在自己網絡網卡MAC數據庫內,或者與自己網絡MAC數據庫MAC/IP不匹配。

    ARP欺騙攻擊的解決辦法

  針對ARP欺騙攻擊的防御,飛魚星科技于2005年率先提出針對ARP欺騙攻擊的主動防御理念,隨后,國內同類產品也提出了類似方式防御,即:增大路由器ARP信息主動廣播密度,從而減少PC遭受ARP欺騙攻擊的可能。

  現市面上某些產品或軟件加強了ARP主動廣播的密度,意圖通過高密度廣播達到減緩或抑制內網PC遭受ARP欺騙的目的,但實際運用效果來看,加強廣播密度的做法:一方面,高密度的內網廣播,給網絡帶來了繁重的負擔,甚至產生廣播風暴,導致整個網絡的癱瘓;另一方面,如果內網中毒過重,那單純依靠某臺設備的高密度廣播也是有限的,隨著內網中毒PC數量的增加,ARP欺騙攻擊廣播勢必會壓過路由器或軟件主動廣播的密度,從而斷網問題仍然懸而未決,用戶怨聲載道。

  因此,為減少網絡廣播壓力,有效抑制網絡廣播風暴,飛魚星工程師推薦用戶采用雙向IP/MAC地址綁定的方式來解決和防止ARP欺騙攻擊所導致網絡的時斷時續。

 1、在PC上綁定路由器的IP和MAC地址:

    方法一、安裝智能網關IP/MAC地址綁定軟件

    推薦使用:"網關智能綁定精靈 正式版 2.0",通過該軟件的下載和安裝,PC重啟后自動綁定網關IP/MAC地址,軟件還提供兩個附加IP/MAC地址的手動綁定策略(支持綁定服務器等附加綁定),針對本地ARP信息變更,提供報警提示服務)

    方法二、手動綁定網關IP/MAC

    (1)首先,獲得路由器的內網的MAC地址(例如,飛魚星高性能寬帶路由器局域網口的IP地址為:192.168.160.1,MAC地址為:00-3c-01-50-3f-66)。

    (2)用記事本編寫一個批處理文件Varp.bat內容如下:

    @echo off

    arp -d

    arp -s  192.168.160.1  00-3c-01-50-3f-66

    (將文件中的網關IP地址和MAC地址更改為您自己的網關局域網口的IP地址和MAC地址即可。)

    將此批處理文件拖動(移動)到"開始"-->"程序"-->"啟動"中。

    2、在路由器上綁定內網所有PC的IP和MAC地址:

  以飛魚星高性能寬帶路由器為例,在設備配置頁面"網絡安全"的"IP-MAC綁定" 中的"掃描MAC",掃描到的未綁定主機通過">>>"功能鍵添加掃描地址至綁定列表中。(如圖一所示)

t1

 雙向地址綁定結合飛魚星高性能寬帶路由器完善的攻擊防御體系,讓您的網絡更安全,更穩定。(如圖二所示) 

t2

 3、找到感染ARP病毒的機器

  通過飛魚星路由器配置界面的"系統狀態"-->"系統日志",查看ARP欺騙攻擊的對應日志信息。(如圖三所示)

t3

通過飛魚星路由器后臺命令提示符下管理,查看路由器ARP信息,最終查找到攻擊來源MAC地址對應IP地址,從而及時、有效的解決故障機問題。(如圖四所示)

t4

對于一些不適合傳統IP/MAC雙向綁定的網絡環境,例如客人流動頻繁的商務酒店、經?寺/還原系統的網吧、頻繁添加電腦的企業和學校。ARP信任機制在無雙向綁定的情況下,可自動學習、判斷和更新內網主機的ARP信息,確保路由器獲得真實可靠的用戶ARP信息,既保證上網的便捷性,又保證上網的安全性。

最后,在不斷的深入研究之后,飛魚星科技推出了全新的安全聯動解決方案,通過三層設備(飛魚星路由器)和二層設備(飛魚星交換機)的協同安全聯動,輕松解決因內網個別電腦中毒,攻擊其他電腦導致整網癱瘓的問題,基于硬件端口的防御方式,整個網絡將不會受到任何威脅。同時高性能的自防御系統,可有效的防御網絡中其他的常見攻擊。同時,簡單、易操作的理念將大大減輕網管員的工作量,使得網管員有更多時間考慮網絡的日常維護和網絡規劃,不再一天到晚疲于應付安全事件的發生。

   t5

 其他排查辦法:

    (1)在未綁定PC上Ping路由器網關的IP地址,然后使用"arp -a"命令,查看網關對應的MAC地址是否與實際情況相符,如有不符,可去查找與該MAC地址對應的PC。

    (2)使用抓包工具,分析所得到的ARP數據報。有些ARP病毒是會把通往網關的路徑指向自己,有些是發出虛假ARP回應包來混淆網絡通信。第一種處理比較容易,第二種處理比較困難,如果殺毒軟件不能正確識別病毒的話,往往需要手工查找感染病毒的電腦和手工處理病毒,比較困難。

    (3)使用MAC地址掃描工具,Nbtscan掃描全網段IP地址和MAC地址對應表,有助于判斷感染ARP病毒對應MAC地址和IP地址。

關鍵詞標簽:ARP病毒,網絡掉線

相關閱讀

文章評論
發表評論

熱門文章 提示dns服務錯誤怎么辦 dns錯誤問題多種解決提示dns服務錯誤怎么辦 dns錯誤問題多種解決路由設置不當 導致VPN無法訪問外網路由設置不當 導致VPN無法訪問外網ARP病毒,網絡掉線罪魁禍首與解決之道ARP病毒,網絡掉線罪魁禍首與解決之道上網故障 別總拿ARP欺騙病毒說事上網故障 別總拿ARP欺騙病毒說事

相關軟件

人氣排行 光纖上網 路由器設置頁面進不去怎么辦登錄SSH服務器失敗問題的分析及解決無線網卡連接不上怎么辦_無線網卡連接不上解決方法本機IP設置不當造成路由異常故障分析路由設置不當 導致VPN無法訪問外網提示dns服務錯誤怎么辦 dns錯誤問題多種解決方法無線路由器無不能上網的秘密ADSL頻繁掉線如何解決?

野心不大怎样赚钱呢 辽宁十一选五专家预测 下期排列五专家杀号码 股票开户最少多少钱k 安徽快3形态走势图 青海快3走势图一定牛 有什么好的股票论坛 澳门大赌场娱乐场官网 宁夏11选5购买 体彩安徽11选5一天出14期 智博彩通网