解决网吧ARP病毒欺骗性攻击的方法

hai4487

这里我得先说一下ARP的工作原理了,首先我们先模拟一个环境：\r\n网关：192.168.1.1 MAC地址：00:11:22:33:44:55\r\n欺骗主机A：192.168.1.100 MAC地址：00:11:22:33:44:66\r\n被欺骗主机B：192.168.1.50 MAC地址：00:11:22:33:44:77\r\n欺骗主机A不停的发送ARP应答包给网关，告诉网关他是192.168.1.50主机B，这样网关就相信欺骗主机，并且在网关的ARP缓存表里就有192.168.1.50对应的MAC就是欺骗主机A的MAC地址00:11:22:33:44:66，网关真正发给主机B的流量就转发给主机A；另外主机A同时不停的向主机B发送ARP请求，主机B相信主机A为网关，在主机B的缓存表里有一条记录为192.168.1.1对应00:11:22:33:44:66，这样主机B真正发送给网关的数据流量就会转发到主机A；等于说主机A和网关之间的通讯就经过了主机A，主机A作为了一个中间人在彼此之间进行转发，这就是ARP欺骗。\r\n   解决的方法有很多,我这里就介绍一种,首先，我将交换机做好端口镜像设置，然后把安装有科来网络分析系统的电脑接入镜像端口，抓取网络的所有数据进行分析。通过几个视图我得出了分析结果：诊断视图提示有太多“ARP无请求应答”。\r\n在诊断中，我发现几乎都是00:20:ED:AA:0D:04发起的大量ARP应答。而且在参考信息中提示说可能存在ARP欺骗。看来我的方向是走对了，但是为了进一步确定，得结合其他内容信息。查看协议视图了解ARP协议的详细情况，\r\nARPResponse和ARPRequest相差比例太大了，很不正常啊。接下来，再看看数据包的详细情况。\r\n我从数据包信息已经看出问题了，00:20:ED:AA:0D:04在欺骗网络中192.168.17.0这个网段的主机，应该是在告诉大家它是网关吧，想充当中间人的身份吧，被欺骗主机的通讯流量都跑到他那边“被审核”了。\r\n现在基本确定为ARP欺骗攻击，现在我需要核查MAC地址的主机00:20:ED:AA:0D:04是哪台主机，幸好我在平时记录了内部所有主机的MAC地址和主机对应表，终于给找出真凶主机了。可能上面中了ARP病毒，立即断网杀毒。网络正常了，呜呼！整个世界又安静了！\r\n这里我也是按照上面的模拟环境做的解决方法哦, 希望朋友们你举一反三........\r\n     就是我们如何去预防ARP病毒攻击呢,我下面推荐三个方法.....\r\n方法一：平时做好每台主机的MAC地址记录，出现状况的时候，可以利用MAC地址扫描工具扫描出当前网络中主机的MAC地址对应情况，参照之前做好的记录，也可以找出问题主机。\r\n方法二：ARP–S可在MS-DOS窗口下运行以下命令：ARP–S手工绑定网关IP和网关MAC。静态绑定，就可以尽可能的减少攻击了。需要说明的是，手工绑定在计算机重起后就会失效，需要再绑定，但是我们可以做一个批处理文件，可以减少一些烦琐的手工绑定！\r\n方法三：使用软件（Antiarp）使用AntiARPSniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包。\r\n              诶藐视 有些同志看了不要笑哦....