再谈内网中永不休止的arp攻防大战

发表于 2012-10-7 16:57 | 浏览 112

  关于局域网内ARP攻击相关的基础知识菲菲之前已经撰文分享过了,那干嘛今天再一次的探讨这方面的话题呢?很多朋友都遇到过在内网中频繁掉线和ip地址冲突的问题吧,如果开启了360内置的局域网防护还会不断的弹出相关的弹窗警告,很是郁闷有木有!

一、怎样查自己是不是遭到了arp欺骗攻击?

  如果你的电脑受到了arp欺骗,则可能会出现以下几种状况:①网络频繁掉线或网速超级缓慢;②arp防火墙频繁弹出警告窗口;③打开CMD窗口,执行 arp -a 命令,发现arp缓冲表中存在相同的网卡地址记录,继续执行 arp -d 命令网络可能会短时恢复正常。

二、arp攻击是如何实现的?局域网限速工具?

  在局域网中的数据通信是建立在网卡物理地址(MAC)上的,所以如果有电脑中了arp病毒或使用了基于arp协议的网络管理工具就会造成该内网不断掉线或网速慢的情况。中arp病毒的机子会不断的向网内发送自己伪造的arp欺骗包,有可能是单向欺骗也有可能是双向欺骗,即既欺骗主机又欺骗网关,从而形成“中间人”攻击,截获(篡改)被欺骗主机与网关的通信数据,从而达到攻击者不可告人的目的。

  再来说一下内网中用来管理网络流量的限速工具,典型的有p2p终结者(官方下载 > )等等。这类软件普遍都是利用arp协议的缺陷来对其他主机进行网络控制的,安装P2P终结者软件 - 扫描网络主机 - 启动控制 - 指定限制规则,就可以轻松的对网内所有的电脑网络进行控制,甚至可以对指定电脑实施一键断网!由于操作简单所以这些工具很是泛滥。

三、如何彻底的解决内网中arp攻击的问题?

  其实只要明白了arp欺骗攻击的原理,解决起来也不难。答案就是做路由网关和主机的arp双向静态绑定!路由器端绑定mac地址的方法是:登录你的路由WEB管理页面,找到“IP与MAC绑定”选项,输入你机子的ip地址和mac地址进行绑定即可。

  电脑端绑定MAC的方法是:打开cmd命令行窗口,输入 arp -s 网关ip 网关MAC 回车即可。比如 arp -s 192.168.1.1 00-aa-00-62-c6-09(请将其中的网关IP和mac改为你自己的,这里仅是举例)。

  当然最简单的方法还有一个就是开启ARP防火墙,它可以帮你在电脑端自动静态绑定网关的mac,同时也可以防御对网关端的欺骗(即不断向网关发送本机正确的mac)。但是菲菲博客认为单纯的使用arp防护软件,并不能彻底的解决局域网arp攻击/欺骗的问题。试想如果内网充斥着大量的arp广播包,必定造成内网通信拥堵,大大降低数据传输效率,网速能彻底好的起来么?【菲菲博客原创分享】

(原创文章版权所有,如需转载请注明原文链接!)