专题: 主板 | CPU | 硬盘 | 内存 | 显卡 | 声卡 | 显示器 | 光驱 | 鼠键 | 电源 | 网络 | 死机 | 杀毒 | Win7 添加 WWW.SQ120.COM 到收藏夹

首页

菜鸟学堂

DIY乐园

故障专题

网络专区

软件专区

硬件专区

在线答疑
  您现在的位置: 首页>>网络专区>>新闻 >> 如何防止arp攻击

如何防止arp攻击

日期:2010-5-4 21:56:47     点击:

 

ARP断网攻击故障
  症状:局域网内电脑大面积不能上网,QQ出现掉线
  症状解析:这是最常见的ARP病毒攻击方式,如今许多病毒都会利用这种ARP攻击方式影响局域网,例如机器狗病毒等,一旦局域网内有机器被感染后,部分电脑就会出现无法正常上网的情况,而且打开网页时断时续。
  局域网内传输文件断断续续无法完成,并出现错误;多台电脑的QQ、MSN等即时通讯工具连续掉线;使用ARP查询的时候会发现不正常的MAC地址,或者是错误的MAC地址,还有就是一个MAC地址对应多个IP地址的情况也会出现。
  出现这种情况就是因为ARP病毒在进行欺骗。我们举一个形象的例子:有5只螃蟹,其中2号螃蟹通过电话向企鹅订阅了报纸,企鹅告诉负责交换运输货物的骡子,将货物送到2号螃蟹家。
  企鹅给了负责运货的骡子一份家庭地址列表,但是跟2号螃蟹住在一起的5号螃蟹由于感染了ARP病毒,于是它稀里糊涂打电话给骡子说,2号螃蟹的家庭地址已经修改了,这样原本应该送到2号螃蟹家的报纸被骡子送给了冒充螃蟹的松鼠,而2号螃蟹此时还在苦苦等待,看不到报纸。

ARP挂马故障
  症状:访问各种网站杀毒软件均提示有病毒
  症状解析:出现这种状况通常是局域网内有电脑被黑客入侵,黑客会通过恶意ARP欺骗工具发送一个假的ARP封包窜改正常的ARP缓存使得数据无法正确传输到目的地。
  由于一般的ARP缓存是根据经过的ARP封包不断地变更本身的ARP列表,假设接收到的ARP封包所提供的数据是伪造的,就会让数据无法传输到实际的目的地。黑客会利用病毒窃取封包数据或修改封包内容。
  病毒通过抓包修改HTTP封包后再送回原客户端,造成原客户端在不知情的状况下连接恶意网页下载病毒。例如,黑客入侵用户A之后,修改ARP封包,将用户B访问的网页数据进行修改,将自己的恶意代码插入正常的网页中,这样用户B即便访问正常的网页,也如同访问挂马网页一样(图3)。极品时刻表服务器被挂马就是利用的这种方式。

剖析案例掌握技巧
  现实中的ARP症状不仅复杂,而且会根据局域网的结构出现各种问题,特别是在电脑过多的情况下,往往会大大增加排查难度。下面的这个案例就是我真实处理的。
  现场状况:记得机器狗变种大规模爆发时,公司局域网各个网段频繁出现问题,我经常在不同楼层间跑动,最严重的一次是3个网段的多个部门都出现断网情况。我赶到现场后,发现故障电脑打开网页速度缓慢,内部交换文件也时断时续。
  我怀疑是ARP病毒在搞鬼了,调出命令提示符窗口,在窗口中输入Ping命令,Ping局域网内另外一台已经开机的电脑的IP地址,但是发现无法Ping通,此时已经基本肯定是中了ARP病毒。为了保险起见,我又在命令提示符窗口中输入命令“ARP –d”,这个命令的意思就是“告诉”电脑删除ARP缓存。
  在运行完这个命令后,电脑可以打开网页了,但是不一会网络连接就出现了问题,打开浏览器输入网址后就开始莫名其妙地弹出大量广告窗口。此时虽然不能够断定是机器狗病毒,但是我已经可以断定局域网内有ARP攻击了。但是由于局域网内电脑数量过于庞大,ARP攻击源头可能不止一个,如何查找到多个ARP攻击源头就成为了需要解决的难题。
  解决方法:由于局域网内电脑过多,如果采用传统的手工定位,逐一对比MAC地址几乎不太可能,因此我决定使用工具来协助解决问题。而且根据刚才的检查状况,局域网内部肯定有ARP病毒流窜,并造成了封包无法送到正确地址的问题。
  我使用了一个名为ARP Checker的免费ARP欺骗检测工具,安装好这个工具后,只需要选择“始终检测”一项,软件就能够针对指定网段内的所有IP地址发送Ping与Telnet的封包,多数电脑会无法响应而出现time out的现象,而有响应的电脑就有可能是中了ARP病毒的电脑。因为这种类型的病毒必须确保数据会传送回受感染的电脑,而受感染电脑的ARP缓存通常会变成固定式,不会因为接收到假的ARP封包而修改ARP缓存。
  很快检测结果出来了(图4),其中一个网段内有三台电脑被定位,可能是ARP源头。定位好源头之后,我首先将毒源电脑网络连接断开,然后再用杀毒软件逐一进行杀毒,将病毒清理干净。

  预防方法:根据我的经验,目前ARP病毒大多是通过网页挂马的方式感染用户电脑,因此局域网内最好能够进行IP地址绑定,使用工具设定电脑ARP缓存为固定模式,这样病毒就无法修改ARP缓存,电脑就能够将数据传送至正确的地址了。
  如果电脑数量太过庞大无法进行逐一绑定,可以启用网络设备中的动态ARP检查功能。它可以检查ARP交换情况并拒绝假的ARP封包。以侠诺FVR420V路由器为例,首先打开浏览器输入路由器IP地址,进入登录界面,接着输入用户名和密码进入管理页面,在管理页面左边的选项栏中点击“防火墙配置”,然后选择“防止ARP病毒攻击”一项,再根据网络具体情况输入防止ARP攻击每秒发送的帧即可。

 

相关新闻
 
了解JS挂马方式 如何防止视频漏洞攻击
在线看小说当心中毒 吸血鬼病毒查杀
如何利用ActiveX挂马 windows蓝屏的原因
如何防止买到假火车票
qq防盗注意事项 如何给木马加壳
什么是病毒副本 斑点狗病毒是什么
Realplayer漏洞需注意 什么是硬件黑客
盗号木马工作原理 DG远程控制木马
 
搜索排行
热门知识

本站专题: 主板 | CPU | 硬盘 | 内存 | 显卡 | 声卡 | 显示器 | 光驱 | 鼠键 | 电源 | 网络 | 死机 | 其他
电脑知识网 版权所有 严禁转载本站文章 违者追究法律责任
业务联系 TEL:13951366782
苏ICP备05048721号