如何有效地解决校园网内的ARP欺骗攻击
ARP欺骗严重的情况下会导致你的局域网网络瘫痪的。
建议采取如下方案:
1. 在DOS窗口中输入arp -a。检查各IP对应的mac地址,如果发现mac地址有重复,就可能存在ARP欺骗。
2. 安装ARP防火墙,有arp攻击时一般可以提示攻击来源。
3. 安装WFilter里面的“网络健康度检测插件”,可以检测出ARP攻击的IP地址、MAC地址和MAC厂商信息。
1.同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键,选择“任务管理器”,点选“进程”标签。察看其中是否有一个名为“ MIR0.dat ”的进程。如果有,则说明已经中毒。右键点击此进程后选择“结束进程”
2 .检查网内感染“ ARP 欺骗”木马染毒的计算机
在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令:
ipconfig
记录网关 IP 地址,即“ Default Gateway ”对应的值,例如“ 59.66.36.1 ”。再输入并执行以下命令:
arp –a
在“ Internet Address ”下找到上步记录的网关 IP 地址,记录其对应的物理地址,即“ Physical Address ”值,例如“ 00-01-e8-1f-35-54 ”。在网络正常时这就是网关的正确物理地址,在网络受“ ARP 欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。
也可以扫描本子网内的全部 IP 地址,然后再查 ARP 表。如果有一个 IP 对应的物理地址与网关的相同,那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。
3 .设置 ARP 表避免“ ARP 欺骗”木马影响的方法
本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上边介绍的方法确定正确的网关 IP 地址和网关物理地址,然后在 “命令提示符”窗口中输入并执行以下命令:
arp –s 网关 IP 网关物理地址
4.态ARP绑定网关
步骤一:
在能正常上网时,进入MS-DOS窗口,输入命令:arp -a,查看网关的IP对应的正确MAC地址, 并将其记录下来。
注意:如果已经不能上网,则先运行一次命令arp -d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话)。一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp -a。
步骤二:
如果计算机已经有网关的正确MAC地址,在不能上网只需手工将网关IP和正确的MAC地址绑定,即可确保计算机不再被欺骗攻击。
要想手工绑定,可在MS-DOS窗口下运行以下命令:
arp -s 网关IP 网关MAC
例如:假设计算机所处网段的网关为192.168.1.1,本机地址为192.168.1.5,在计算机上运行arp -a后输出如下:
Cocuments and Settings>arp -a
Interface:192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 dynamic
其中,00-01-02-03-04-05就是网关192.168.1.1对应的MAC地址,类型是动态(dynamic)的,因此是可被改变的。
被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC。如果希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找该攻击的机器做准备。
手工绑定的命令为:
arp -s 192.168.1.1 00-01-02-03-04-05
绑定完,可再用arp -a查看arp缓存:
Cocuments and Settings>arp -a
Interface: 192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 static
这时,类型变为静态(static),就不会再受攻击影响了。
但是,需要说明的是,手工绑定在计算机关机重启后就会失效,需要再次重新绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,把病毒杀掉,才算是真正解决问题。
5 .作批处理文件
在客户端做对网关的arp绑定,具体操作步骤如下:
步骤一:
查找本网段的网关地址,比如192.168.1.1,以下以此网关为例。在正常上网时,“开始→运行→cmd→确定”,输入:arp -a,点回车,查看网关对应的Physical Address。
比如:网关192.168.1.1 对应00-01-02-03-04-05。
步骤二:
编写一个批处理文件rarp.bat,内容如下:
@echo off
arp -d
arp -s 192.168.1.1 00-01-02-03-04-05
保存为:rarp.bat。
步骤三:
运行批处理文件将这个批处理文件拖到“Windows→开始→程序→启动”中,如果需要立即生效,请运行此文件。
注意:以上配置需要在网络正常时进行
6.使用安全工具软件
及时下载Anti ARP Sniffer软件保护本地计算机正常运行。具体使用方法可以在网上搜索。
如果已有病毒计算机的MAC地址,可使用NBTSCAN等软件找出网段内与该MAC地址对应的IP,即感染病毒的计算机的IP地址,然后报告单位的网络中心对其进行查封。
或者利用单位提供的集中网络防病毒系统来统一查杀木马。另外还可以利用木马杀客等安全工具进行查杀。
7.应急方案
网络管理管理人员利用上面介绍的ARP木马检测方法在局域网的交换机上查出受感染该病毒的端口后,立即关闭中病毒的端口,通过端口查出相应的用户并通知其彻底查杀病毒。而后,做好单机防范,在其彻底查杀病毒后再开放相应的交换机端口,重新开通上网。
首先,你要知道,如果一个错误的记录被插入ARP或者IP route表,可以用两种方式来删除。
a. 使用arp –d host_entry
b. 自动过期,由系统删除
这样,可以采用以下的一些方法:
1). 减少过期时间
#ndd –set /dev/arp arp_cleanup_interval 60000
#ndd -set /dev/ip ip_ire_flush_interval 60000
60000=60000毫秒 默认是300000
加快过期时间,并不能避免攻击,但是使得攻击更加困难,带来的影响是在网络中会大量的出现ARP请求和回复,请不要在繁忙的网络上使用。
2). 建立静态ARP表
这是一种很有效的方法,而且对系统影响不大。缺点是破坏了动态ARP协议。可以建立如下的文件。
test.nsfocus.com 08:00:20:ba:a1:f2
user. nsfocus.com 08:00:20:ee:de:1f
使用arp –f filename加载进去,这样的ARP映射将不会过期和被新的ARP数据刷新,除非使用arp –d才能删除。但是一旦合法主机的网卡硬件地址改变,就必须手工刷新这个arp文件。这个方法,不适合于经常变动的网络环境。
3).禁止ARP
可以通过ifconfig interface –arp 完全禁止ARP,这样,网卡不会发送ARP和接受ARP包。但是使用前提是使用静态的ARP表,如果不在apr表中的计算机 ,将不能通信。这个方法不适用与大多数网络环境,因为这增加了网络管理的成本。但是对小规模的安全网络来说,还是有效可行的。
连接不了校园网,DHCP不能分配有效IP地址。
这个需要找你们学校的老师,如果不是地址不够,怎么会获取不到地址呢?网络有问题?而且总是你,网线试过没有?有个简单的办法,你将宿舍能上网的地址记下来,然后让那位同学将网断开,将地址填上,看能否上网,如果提示地址冲突,说明网络连接没有问题,只能是地址获取的问题,只能找老师;不能,也只能...
华工校园网 路由设置
包括老师自自己带来的笔记本想上网也要经过你的同意,这样即加强了校园网的管理,又防控了局域网病毒,保证了校园网的运行速度,同时又给自己增加了权力,(谁想用自带的电脑上网得跟你说小话。哈哈),何乐而不为呢?我就是校园网的管理,有不明白的可加我QQ:56814671 ...
关于校园网帐号的问题.!
可以用内网代理服务器,就是把四台机器连在路由器上面,把路由器上面设置代理服务器,而代理服务器,可以使用隔离室的电脑(没有拉入黑名单的电脑)。这样上网的话,就不用直接到网关,而是经过那电脑上网,而网关就误以为你那电脑(代理服务器)IP上网,而不是你黑名单的IP上网。这样就可以欺骗网关了,我现在...
校园网要用网页登录才能上,但是从昨天开始,网页打不开,用同学电脑_百 ...
这种情况是网络不可用。有下面几种原因及解决方法:首先请重启电脑,因为有可能是wifi非正常下线所致。然后看看路由器(自家无线),查看路由器的网线接口是否松动,与猫的链接是否紧密,查看路由器附近有没有微波炉等家用电器。重启路由器,又何能因为DHCP自动分配出问题,重启路由器就可以解决这种问题导致的...
校园网输入IP后没弹出登录界面,win8系统,何解?求各位大侠解救
通过windows7系统的无线连接连接到无线路由器时,显示“有限的访问权限”,上不了网,出现以上的情况,通常是因为无线网卡无法正确获得IP地址和DNS地址。解决的方法是:你可以先尝试删除默认的无线连接记录再重新连接一次,点击任务栏右下解的无线连接图标选择“打开网络和共享中心”然后在弹出的窗口中点击右边...
天翼校园网用的是WEB网页登陆,如何使用无线路由实现一账户多用户上网...
楼主你好 现在的校园网大部分是不支持学生用路由器的,因为这样对学校的收益比较的有影响,一旦用了路由器,会导致兼容性不好,上不去网的,破解不了,我们学校就是这样的。但是我现在在学校却用着无线的网,嘿嘿,我发现了破解校园网的神器,就是最近腾讯新上市的全民wifi。真心比较的好用耶、直接插...
win7系统连接校园网是出现错误629怎么解决
此时我们只要将电脑中的病毒查杀即可,当然有时候病毒可能比较顽强,保险起见的话还是重装系统为好。拨打宽带商热线:这是小编比较推荐的一个解决办法,毕竟很多用户多这方面不是很了解,自己摸索也很浪费时间,拨打热线之后,其他的事情都交给宽带提供商去处理,省时省力,何乐而不为呢。
如何破解H3C校园网限时上网..?
请提供校园网络结构图及何种上网方式 初步估计你们学校的网络在晚上只是关闭了域名认证方式 使用代理工具,将网络跳至代理后再上网 在选择代理工具及代理地址时要全部先择使用IP验证方式的
重新装了个新系统,在校园网里,网络连接出只有一个宽带拨号连接,使得...
校园网需要专门的拔号工具,校园网站上一般都有下的..网络连接的宽带拔号删了吧,你的应该是"本地连接"才对.
电脑连不上网页版的校园网 何解
第一种原因是校园网突然没网了。第二种原因是电脑连接问题。重新设置一下网络就好。
历友千安: 防止ARP攻击是比较困难的,修改协议也是不大可能.但是有一些工作是可以提高本地网络的安全性. 首先,你要知道,如果一个错误的记录被插入ARP或者IP route表,可以用两种方式来删除. a. 使用arp –d host_entry b. 自动过期,由系统删...
郓城县19567067158: 怎样在学校的网络里防御ARP攻击?
历友千安: ARP病毒也叫ARP地址欺骗类病毒,这是一类特殊的病毒.该病毒一般属于木马病毒,不具备主动传播的特性,不会自我复制,但是由于其发作的时候会向全网发送伪造的ARP数据包,严重干扰全网的正常运行,其危害甚至比一些蠕虫病毒还要...
郓城县19567067158: 学校局域网遭ARP攻击怎么办? - ?
历友千安: 1 电脑端进行ARP条目绑定下面以Microsoft Windows2000操作系统为例,来说明如何在电脑上绑定静态的ARP条目:(1)“开始”-“程序”-“附件”-“记事本”,如下图:打开“记事本”以后在里面输入命令,如下图所示:在上图中输入的...
郓城县19567067158: 怎样对付学校的ARP攻击??
历友千安: ARP -D 清除 ARP缓存表 ARP -A 显示 ARP缓存表 ARP -S 绑定MAC与IP 你可能在受到网络上的攻击,导致老出现IP冲突 你试试双向绑定, 一 PC绑定路由 你先ping 192.168.0.1 -t 路由器的IP 再在DOS窗口快速的输入ARP -D和 ARP-A 这样多...
郓城县19567067158: 校园网ARP断网攻击怎么解决? - ?
历友千安: 你用ARP -a命令查一下缓存表 找到网关的IP与mac,此时type为dynamic:如果发现网关IP对应多个MAC,则说明你的ARP缓存被攻击,可先输入 arp -d 删除ARP缓存,然后再ping网关,再去查看ARP缓存找到正确的网关MAC(2)在黑框内继续...
郓城县19567067158: 怎样阻断校园网内的ARP - ?
历友千安: 很多人认为arp防火墙、做双绑、vlan和交换接端口绑定,但是这些问题都只是暂时性解决了arp的基础攻击,现在的arp攻击层出不穷,主要的是利用请求包和应答包来攻击网关和pc.ARP个人防火墙也有很大缺陷:1、它不能保证绑定的网关一...
郓城县19567067158: 我的电脑总是中arp病毒怎么办?非常苦恼!!网络属于校园网(局域网) - ?
历友千安: 任何电脑上所用的工具都是不可能完全解决的,唯一方法你学校更换可以防ARP的交换机,当然这是费话.
郓城县19567067158: 校园网被ARP攻击了怎么解决?
历友千安: 360ARP防火墙,不能成功的拦截ARP欺骗,想要拦截ARP欺骗,建议楼主安装以下其中一个防火墙即可. 1、彩影ARP防火墙 2、金山贝壳ARP防火墙 3、风云ARP防火墙 即可或者联系 网络管理员.Comodo Firewall 4 | 排名一直是1到3之...
郓城县19567067158: 如何最有效的解决校园网ARP病毒方案?
历友千安: 在网关装一个网络守护神,启用之,并且绑定IP-MAC地址客户机使用微点,绑定IP和mac地址防止网关的mac地址被修改
