1樓:網友
arp 攻擊的原理。
arp 欺騙攻擊的包一般有以下兩個特點,滿足之一可視為攻擊包報 警:第一乙太網資料包頭的源位址、目標位址和 arp 資料包的協議位址不匹配。或者,arp 資料包的傳送和目標位址不在自己網路網絡卡 mac 資料庫內,或者與自己網路 mac 資料庫 mac/ip 不匹配。
這些統統第一時間報警,查這些資料包 (乙太網資料包)的源位址(也有可能 偽造),就大致知道那臺機器在發起攻擊了。現在有網路管理工具比如網路執法官、 p2p 終結者也會使用同樣的方式來偽裝成閘道器,欺騙客戶端對閘道器的訪問,也就是會獲取發到閘道器的流量,從而實現網路流量管理和網路監控等功能,同時也會對網路管理帶來潛在的危害,就是可以很容易的獲取使用者的密碼等相關資訊。
處理辦法。通用的處理流程:
1 .先保證網路正常執行。
方法一:個***bat 檔案內容如下:
s **閘道器 ip) *閘道器 mac 位址)
end讓網路使用者點選就可以了!
辦法二:乙個登錄檔問題,鍵值如下:
windows registry editor version
mac"="arp ¬s 閘道器 ip 位址 閘道器 mac 位址"
然後儲存成 reg 檔案以後在每個客戶端上點選匯入登錄檔。
2 找到感染 arp 病毒的機器。
在電腦上 ping 一下閘道器的 ip 位址,然後使用 arp -a 的命令看得到的閘道器對應的 mac 位址是否與實際情況相符,如不符,可去查詢與該 mac 位址對應的電腦。
使用抓包工具,分析所得到的 arp 資料包。有些 arp 病毒是會把通往閘道器的路徑指向自己,有些是發出虛假 arp 回應包來混淆網路通訊。第一種處理比較容易,第二種處理比較困難,如果防毒軟體不能正確識別病毒的話,往往需要手工查詢感染病毒的電腦和手工處理病毒,比較困難。
使用 mac 位址掃瞄工具, nbtscan 掃瞄全網段 ip 位址和 mac 位址對應表,有助於判斷感染 arp 病毒對應 mac 位址和 ip 位址。
按照上述辦法,繫結ip,由於病毒不是一直髮作,很難找到感染病毒的電腦,但病毒發作時,用arp -a命令發現閘道器的mac位址變了,根據mac位址終於找到問題的根源,關掉電腦,網路正常。
或者裝個arp防火牆。用彩影單機版。
2樓:網友
這個mac是arp病毒 虛擬的, 應該是你的電腦中了arp病毒而來 安裝防毒軟體 防毒就行了。
怎麼徹底找出arp攻擊源?
3樓:緣任恩
arp攻擊,只會出現在區域網內。
介紹個最笨的辦法。
首先,找臺電腦(如果有網管,就用網管的電腦)單獨連線路由器,要在arp防火牆中繫結真實的路由器位址。
接著把公司的電腦一一接上,觀察arp防火牆的情況。
個人懷疑,網內有人私自裝了臺路由器,因為我這也遇到過。
如何查詢區域網中arp攻擊源,如何清不無
4樓:手機使用者
1.如果你確定你明白arp攻擊的原理,那麼這種情況就是你先接受了錯誤的mac 而路由器正確的mac被當成了攻擊的了。
2.如果你不是很清楚,那麼有這樣的可能,你檢測的源mac是什麼ip位址是需要通過arp協議去解析的。而arp攻擊本身就是拿乙個錯誤的或者是特定的mac位址去偽裝成閘道器的ip位址。
問題是b這個撒謊者從來沒有告訴過你他是b,你是始終不知道他是誰的,只能從他告訴你的資訊中判斷他是「假a」那麼這種情況就和你現在碰到的情況一樣了。也就是你現在顯示的源mac是路由器mac本身就是一條不可靠的訊息。
b這個撒謊者很過分,它不斷的喊自己是a,而且喊得聲音和喊得頻率都要比真正的a喊得多,喊得大。而且他從來不承認自己是b。所以你永遠無法知道它是誰,而且不斷的受到他的干擾。
要解決這個問題,首先要先找到攻擊源。
我不知道你區域網裡有多少機子。如果多了就很麻煩。
比如有10臺,你們一起組織一下,先讓5臺上網,看看有沒有攻擊。
如果有攻擊那麼就再從這5臺中挑2臺出來,看看有沒有。
以此類推,用二分法查詢。在20臺規模以內的機子都可以很快的找出攻擊源。
不過要注意,是否存在2臺或者2臺以上的攻擊源。
ps:其實很多情況是有人用了p2p終結者之類的軟體。
5樓:網友
查mac,找對應的電腦就是 mac很好找吧,隨便裝個arp防火牆查。
再就是逐條網線拔看是哪個埠有攻擊,找那電腦ok
怎樣查詢arp攻擊源?
6樓:網友
我來試著幫你解決下:
原因分析:1.有時所有機器能上網是因為病毒沒有攻擊路由;開啟arp防護後,病毒攻擊路由時你不能上網的原因是病毒機發出的攻擊包堵塞正常的網路,導致部分機器不能上網,即使開了防護也是沒用。
2.彩影單機版不適應網路管理,不過使用彩影可以查詢病原機還是可以的。
1.彩影配合路由器可以查詢病原機。當病毒發作時在一般情況下,彩影arp防火牆報警,通過路由知道所在機器的mac及ip位址,發包多的機器一定有問題。
對該機進行遮蔽上網。特殊情況下,ip、mac全部是偽造的,但你如果確定是中毒而不是人為的話,讓大家看網路連線(右下圖示)誰的機器傳送大於收到n倍甚至n更高時可以初步判斷該機是病原機(不排除多個病原機)。(另,所有上不了網的機器都不是病原機,恰恰是能上網的才有問題)
2.的確,病毒機攻擊時,你看到2個相同甚至全不同的mac,其中必有偽造的,用上述說的,網路連線傳送遠遠大於收到的必是病毒機。
3.拔掉病毒機的網線,重啟路由,基本可正常上網,如果一段時間內網路還有問題,利用上述方法可排除下一臺,直到查詢到n的病源機。
4.處理病源機重做系統一般情況是可以的,但不排除其他碟符下隱藏的病毒。小心處理!
7樓:寬猛
360arp防火牆,可以緩解一下攻擊,最好的辦法是訪問路由器,在其中設定ip位址和mac位址繫結,這樣arp攻擊就無效了,祝你早日解決問題。
8樓:網友
抓包試試,或者攻擊前後檢視mac快取。
9樓:匿名使用者
arp欺騙造成不能上網,一般是偽裝為閘道器,你著重看與閘道器ip相同的mac。
如何找到arp攻擊源!!!
10樓:兩朵朵朵鮮花
1.定位arp攻擊源頭。
主動定位方式:因為所有的arp攻擊源都會有其特徵——網絡卡會處於混雜模式,可以通過arpkiller這樣的工具掃瞄網內有哪臺機器的網絡卡是處於混雜模式的,從而判斷這臺機器有可能就是「元兇」。定位好機器後,再做病毒資訊收集,提交給趨勢科技做分析處理。
標註:網絡卡可以置於一種模式叫混雜模式(promiscuous),在這種模式下工作的網絡卡能夠收到一切通過它的資料,而不管實際上資料的目的位址是不是它。這實際就是sniffer工作的基本原理:
讓網絡卡接收一切它所能接收的資料。
被動定位方式:在區域網發生arp攻擊時,檢視交換機的動態arp表中的內容,確定攻擊源的mac位址;也可以在局域居於網中部署sniffer工具,定位arp攻擊源的mac。
也可以直接ping閘道器ip,完成ping後,用arp –a檢視閘道器ip對應的mac位址,此mac位址應該為欺騙的,使用nbtscan可以取到pc的真實ip位址、機器名和mac位址,如果有」arp攻 擊」在做怪,可以找到裝有arp攻擊的pc的ip、機器名和mac位址。
命令:「nbtscan -r 搜尋整個網段, 即;或「nbtscan 搜尋 網段,即。輸出結果第一列是ip位址,最後一列是mac位址。 nbtscan的使用範例:
假設查詢一臺mac位址為「000d870d585f」的病毒主機。
1)將壓縮包中的 和解壓縮放到c:下。
2)在windows開始—執行—開啟,輸入cmd(windows98輸入「command」),在出現的dos視窗中輸入:c: btscan -r 這裡需要根據使用者實際網段輸入),回車。
3)通過查詢ip–mac對應表,查出「000d870d585f」的病毒主機的ip位址為「。
通過上述方法,我們就能夠快速的找到病毒源,確認其mac——〉機器名和ip位址。
2.防禦方法。
a.使用可防禦arp攻擊的三層交換機,繫結埠-mac-ip,限制arp流量,及時發現並自動阻斷arp攻擊埠,合理劃分vlan,徹底阻止盜用ip、mac位址,杜絕arp的攻擊。
b.對於經常爆發病毒的網路,進行internet訪問控制,限制使用者對網路的訪問。此類arp攻擊程式一般都是從internet**到使用者終端,如果能夠加強使用者上網的訪問控制,就能極大的減少該問題的發生。
如果網咖電腦中arp病毒,怎麼查出攻擊源
檢視arp病毒攻擊源很多種方法。我自己是手動 命令查詢,精準定位,誰敢攻擊,我立馬就知道是哪臺電腦,我怕和你在這裡說,你看不懂。給你介紹個比較簡單的用軟體來查詢,沒有分算 就當幫下你。第一 使用360arp防火牆,這個能查詢到時誰對你進行攻擊。不過只適合保護單臺電腦,且如果沒被攻擊也無法查詢其他被攻...
網路ARP攻擊怎麼解決,如何徹底解決ARP攻擊?
4.攔截對外arp攻擊 在系統核心層攔截本機對外的arp攻擊資料包,防止本機感染病毒 木馬後成為攻擊源。5.安全模式 不響應除閘道器外的其它機器傳送的arp請求,達到隱身效果,避免受到arp攻擊。6.查殺盜號木馬 整合 貝殼木馬專殺 查殺盜號木馬功能,保護計算機不受木馬 病毒的侵害。arp多麼好的地...
怎麼解決ARP攻擊不停修改閘道器問題
可是不停的被更改閘道器.這句話我不是很明白,你arp a 看到閘道器的mac地址是不斷變化的麼?不管怎麼樣,應該確定是arp攻擊了。除非你雙綁,交換機也做了埠安全否則,難弄。簡單的防火牆 不行的。找人管管,要是不行,太過分了你只能對著幹。有軟體,arp發包的。學習下攻擊原理 你要是能看會了這些。我想...