我们以主机A(192.168.1.5)向主机B(192.168.1.1)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.1.1的MAC地址是什么?”网络上其它主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.1.1的MAC地址是00-aa-00-62-c6-09。”这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表。
基本ARP病毒防制法
通过对 ARP工作原理得知,如果系统ARP缓存表被修改不停的通知路由器一系列错误的内网IP或者干脆伪造一个假的网关进行欺骗的话,网络就肯定会出现大面积的掉线问题,这样的情况就是典型的 ARP攻击,对遭受ARP攻击的判断,其方法很容易,你找到出现问题的电脑点开始运行进入系统的DOS操作。ping路由器的LAN IP丢包情况。输入ping 192.168.1.1(网关IP地址).
内网ping路由器的LAN IP丢几个包,然后又连上,这很有可能是中了ARP攻击。为了进一步确认,我们可以通过查找ARP表来判断。输入ARP -a命令.
Qno侠诺工程师的一般处理办法分三个步骤来完成。
1、激活防止ARP病毒攻击
进入路由器的防火的基本配置栏将“防止ARP病毒攻击”在这一行的“激活”并确定。
2、
对每台pc上绑定网关的IP和其MAC地址
在每台PC机上进入dos操作,输入arp –s 192.168.1.1(网关IP) 00-0f-3d-83-74-28(网关MAC),Enter后完成每台PC机的绑定。
针对网络内的其它主机用同样的方法输入相应的主机IP以及MAC地址完成IP与MAC绑定。但是此动作,如果重起了电脑,作用就会消失,所以可以把此命令做成一个批处理文件,放在操作系统的启动里面,批处理文件可以这样写:
@echo off
arp -d
arp -s路由器LAN IP 路由器LAN MAC
3、在路由器端绑定用户IP/MAC地址:
在DHCP功能中对IP/MAC进行绑定,Qno路由器提供了一个显示新加入的IP地址的功能,通过这个功能可以一次查找到网络内部的所有PC机的IP/MAC的对应列表,我们可以通过“√”选的功能选择绑定IP/MAC。
进阶ARP病毒防制
单靠这样的操作基本可以解决问题,但是Qno侠诺的技术工程师建议通过进一步通过一些手段来进一步控制ARP的攻击。
1、病毒源,对病毒源头的机器进行处理,杀毒或重新装系统。此操作比较重要,解决了ARP攻击的源头PC机的问题,可以保证内网免受攻击。
2、网吧管理员检查局域网病毒,安装杀毒软件(金山毒霸/瑞星,必须要更新病毒代码),对机器进行病毒扫描。
3、给系统安装补丁程序,通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service Pack)。
4、给系统管理员帐户设置足够复杂的强密码,最好能是12位以上,字母+数字+符号的组合;也可以禁用/删除一些不使用的帐户。
5、经常更新杀毒软件(病毒库),设置允许的可设置为每天定时自动更新。安装并使用网络防火墙软件,网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的
入侵。部分盗版Windows用户不能正常安装补丁,不妨通过使用网络防火墙等其它方法来做到一定的防护。
6、关闭一些不需要的服务,条件允许的可关闭一些没有必要的共享,也包括C$、D$等管理共享。完全单机的用户也可直接关闭Server服务。
7、不要随便点击打开QQ、MSN等聊天工具上发来的链接信息,不要随便打开或运行陌生、可疑文件和程序,如邮件中的陌生附件,外挂程序等。
ARP攻击防制是一个任重而道远的过程,必须高度重视这个问题,而且不能大意马虎,我们可以采取以上Qno侠诺技术工程师的建议随时警惕ARP攻击,以减少受到的危害,提高工作效率,降低经济损失。
[推荐]针对ARP病毒攻击防治进阶经验谈
您现在的位置: