❶ 怎么有效拦截ARP攻击求解答
杜绝IP 地址盗用现象。如果是通过代理服务器上网:到代理服务器端让网络管理员把上网的静态IP 地址与所记录计算机的网卡地址进行*。如: ARP-s 192.16.10.400-EO-4C-6C-08-75。这样,就将上网的静态IP 地址192.16.10.4 与网卡地址为00-EO-4C-6C-08-75 的计算机绑定在一起了,即使别人盗用您的IP 地址,也无法通过代理服务器上网。如果是通过交换机连接,可以将计算机的IP地址、网卡的MAC 地址以及交换机端口绑定。
2、修改MAC地址,欺骗ARP欺骗技术
就是假冒MAC 地址,所以最稳妥的一个办法就是修改机器的MAC 地址,只要把MAC 地址改为别的,就可以欺骗过ARP 欺骗,从而达到突破封锁的目的。
3、使用ARP服务器
使用ARP 服务器。通过该服务器查找自己的ARP 转换表来响应其他机器的ARP 广播。确保这台ARP 服务器不被攻击。
4、交换机端口设置
(1)端口保护(类似于端口隔离):ARP 欺骗技术需要交换机的两个端口直接通讯,端口设为保护端口即可简单方便地隔离用户之间信息互通,不必占用VLAN 资源。同一个交换机的两个端口之间不能进行直接通讯,需要通过转发才能相互通讯。
(2)数据过滤:如果需要对报文做更进一步的控制用户可以采用ACL(访问控制列表)。ACL 利用IP 地址、TCP/UDP 端口等对进出交换机的报文进行过滤,根据预设条件,对报文做出允许转发或阻塞的决定。华为和Cisco 的交换机均支持IP ACL 和MAC ACL,每种ACL 分别支持标准格式和扩展格式。标准格式的ACL 根据源地址和上层协议类型进行过滤,扩展格式的ACL 根据源地址、目的地址以及上层协议类型进行过滤,异词检查伪装MAC 地址的帧。
5、禁止网络接口做ARP 解析
在相对系统中禁止某个网络接口做ARP 解析(对抗ARP欺骗攻击),可以做静态ARP 协议设置(因为对方不会响应ARP 请求报义)如: ARP –s XXX.XXX.XX.X 08-00-20-a8-2e-ac在很多操作系统中如:Unix , NT 等,都可以结合“禁止相应网络接口做ARP 解析”和“使用静态ARP 表”的设置来对抗ARP 欺骗攻击。而Linux 系统,其静态ARP 表项不会被动态刷新,所以不需要“禁止相应网络接口做ARP 解析”,即可对抗ARP 欺骗攻击。
6、使用硬件屏蔽主机
设置好你的路由,确保IP 地址能到达合法的路径。( 静态配置路由ARP 条目),注意,使用交换集线器和网桥无法阻止ARP 欺骗。
7、定期检查ARP缓存
管理员定期用响应的IP 包中获得一个rarp 请求, 然后检查ARP 响应的真实性。定期轮询, 检查主机上的ARP 缓存。使用防火墙连续监控网络。注意有使用SNMP 的情况下,ARP 的欺骗有可能导致陷阱包丢失。
技巧一则址的方法个人认为是不实用的,首先, 这样做会加大网络管理员的工作量,试想,如果校园网内有3000个用户,网络管理员就必须做3000 次端口绑定MAC 地址的操作,甚至更多。其次, 网络管理员应该比较清楚的是, 由于网络构建成本的原因,接入层交换机的性能是相对较弱的, 功能也相对单一一些, 对于让接入层交换机做地址绑定的工作,对于交换机性能的影响相当大, 从而影响网络数据的传输。
建议用户采用绑定网关地址的方法解决并且防止ARP 欺骗。
1) 首先, 获得安全网关的内网的MAC 地址。( 以windowsXP 为例)点击"开始"→"运行", 在打开中输入cmd。点击确定后将出现相关网络状态及连接信息, 然后在其中输入ipconfig/all,然后继续输入arp - a 可以查看网关的MAC 地址。
2) 编写一个批处理文件rarp.bat( 文件名可以任意) 内容如下:@echo offarp - darp - s 192.168.200.1 00- aa- 00- 62- c6- 09
将文件中的网关IP 地址和MAC 地址更改为实际使用的网关IP 地址和MAC 地址即可。
3) 编写完以后, 点击"文件" →"另存为"。注意文件名一定要是*.bat 如arp.bat 保存类型注意要选择所有类型。点击保存就可以了。最后删除之前创建的"新建文本文档"就可以。
4) 将这个批处理软件拖到"windows- - 开始- - 程序- - 启动"中, ( 一般在系统中的文件夹路径为C:\Documents and Settings\All Users\“开始”菜单\ 程序\ 启动) 。
5) 最后重新启动一下电脑就可以。
静态ARP 表能忽略执行欺骗行为的ARP 应答, 我们采用这样的方式可以杜绝本机受到ARP 欺骗包的影响。对于解决ARP 欺骗的问题还有多种方法: 比如通过专门的防ARP 的软件, 或是通过交换机做用户的入侵检测。前者也是个针对ARP欺骗的不错的解决方案, 但是软件的设置过程并不比设置静态ARP 表简单。后者对接入层交换机要求太高, 如果交换机的性能指标不是太高, 会造成比较严重的网络延迟, 接入层交换机的性能达到了要求, 又会使网络安装的成本提高。
❷ 如何化解ARP攻击
ARP攻击现在经常发生,遇到这些问题怎么办呢?请看下面笔者给出的解决方法! 前段时间经常有用户打电话抱怨上网时断时续,有时甚至提示连接受限、根本就无法获得IP(我们单位用的是动态IP)。交换机无法ping通,而指示灯状态正常。重启交换机后客户机可以上网,但很快又涛声依旧!严重影响了用户使用,甚至给用户造成了直接经济损失,(我们单位很多人都在炒股、炒基金,由于无法及时掌握行情,该出手时无法出手。) 根据用户描述的情形和我们多次处理的经验,可以肯定是由于网络中存在ARP攻击(ARP欺骗)所致。至于什么是ARP攻击,我就不用再说了吧。知道了问题所在,但如何解决呢? 虽然可以采用在交换机绑定MAC地址和端口、在客户机绑定网关IP和MAC地址的“双绑”办法预防,但由于网管的工作量太大,且不能保证所有的用户都在自己的电脑上绑定网关IP和MAC地址,所以我们采取以下措施来预防和查找ARP攻击。 我们推荐用户在自己的电脑上安装ColorSoft开发的ARP防火墙(原名Anti ARP Sniffer),该软件通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址,可以保障安装该软件的电脑正常上网;拦截外部对本机的ARP攻击和本机对外部的ARP攻击。 如果发现内部ARP攻击,直接处理本机就行了;如果发现外部ARP攻击,则根据实际情况通过攻击者的IP地址和/或MAC地址查找该攻击者电脑。 好了,让我们一起行动吧。 1、在同一网段的电脑上下载ARP防火墙、安装、运行。第一天,一切正常,没发现攻击行为。第二天,开机不到半小时就发现了ARP攻击,如图1。 图1 ARP防火墙发现外部ARP攻击 2、为了不冤枉好人,进一步确认攻击者的MAC地址。进入核心交换机,查看该网段的MAC地址表。我们的核心交换机是华为的,键入命令“Display arp vlan xx”(xx为所要查找ARP攻击网段的VLAN号),回车。显示如图2所示结果。 图2 核心交换机上显示的MAC地址表 为了方便查看,我们将该数据拷贝到Word中并按MAC地址排序。在Word中,选中该数据,从“表格”菜单中选择“排序”菜单项,弹出“排序文字”窗口,“主要关键字”选“域 3”即MAC地址,如图3。 图3 排序MAC地址表 排序后很容易就可以看到有四个IP地址对应于同一个MAC地址(如表1)!我们知道MAC地址是全球唯一的,这与ARP防火墙检测到的结果相吻合,现在MAC地址0011-5b2d-5c03所对应的电脑肯定有问题了。这些IP中应该只有xxx. xxx. xx.92是真实的,其余的都是伪造的。由于我们的电脑一直在监测,该攻击者电脑刚对外攻击,就被检测到了,所以它伪造的IP地址还不多,我曾经发现过伪造了近10个IP地址的情形,而该网段总共有二十多台电脑。 表1 伪造的IP地址 xxx. xxx. xx.178 0011-5b9d-7246 xxx. xxx. xx.188 0011-5b9d-7246 xxx. xxx. xx.197 0011-5b9d-7246 xxx. xxx. xx.92 0011-5b9d-7246 3、查找ARP攻击者。 如果是静态IP,找出IP地址登记表,很容易就可找到发送ARP攻击的电脑。由于我们用的是动态IP,又没有每台电脑的MAC地址,所以虽然知道了攻击者的IP地址和MAC地址,但是万里长征还只迈出了第一步。 我们的DHCP服务器是基于Microsoft Windows 2003的,打开DHCP管理器,从地址租约里查看IP地址xxx. xxx. xx.92对应的计算机名,是随机的,没什么意义。(有时候根据计算机名,可以推断出该计算机的主人。) 登录到有所要查找网段VLAN的各接入层交换机上,逐一查看该交换机上的MAC地址表。 我们用的是安奈特的交换机,在Web界面下按VLAN查询MAC地址表,看是否有MAC地址为0011-5b9d-7246的记录。一直查到第15台交换机,才终于找到罪魁祸首,结果如图4,可以看出该MAC地址对应于交换机的第16口。别的厂家的可网管交换机也都有查看MAC地址的功能。 图4 接入层交换机上的MAC地址表 4、剩下工作的就简单了,先将该交换机的第16口Disable,然后查找用户上网登记信息,通知该用户处理自己的电脑。 不知道本文是否对您有所帮助。最后,推荐几点防范ARP攻击的措施: 1、在交换机上划分VLAN,这样即使网络中存在ARP攻击,也仅影响该VLAN的用户,缩小受影响范围和查找范围。 2、要求用户安装ARP防火墙。既可防止来自外部的ARP攻击,也可防止本机向外发送ARP攻击。一旦发现攻击及时与网管联系。
❸ 被arp攻击了,怎么才能找到是哪台机器,单位的网络,使用的是华为交换机。
在交换机上做端口绑定绑定,如果谁的电脑上不了网了,那就是谁在搞破坏
❹ 公司局域网内服务器频繁被ARP攻击,防火墙提示有人伪装网关攻击
你们公司有人安装了P2P终结者,控制速度和限制别人电脑用的,安装这个会显示攻击。还有是局域网某人电脑上设置了局域网监测。解决的办法是安装反P2P终结者,把对 方 干 掉。
❺ 怎么有效拦截ARP攻击
1、*MAC和IP地址
杜绝IP 地址盗用现象。如果是通过代理服务器上网:到代理服务器端让网络管理员把上网的静态IP 地址与所记录计算机的网卡地址进行*。如: ARP-s 192.16.10.400-EO-4C-6C-08-75。这样,就将上网的静态IP 地址192.16.10.4 与网卡地址为00-EO-4C-6C-08-75 的计算机绑定在一起了,即使别人盗用您的IP 地址,也无法通过代理服务器上网。如果是通过交换机连接,可以将计算机的IP地址、网卡的MAC 地址以及交换机端口绑定。
2、修改MAC地址,欺骗ARP欺骗技术
就是假冒MAC 地址,所以最稳妥的一个办法就是修改机器的MAC 地址,只要把MAC 地址改为别的,就可以欺骗过ARP 欺骗,从而达到突破封锁的目的。
3、使用ARP服务器
使用ARP 服务器。通过该服务器查找自己的ARP 转换表来响应其他机器的ARP 广播。确保这台ARP 服务器不被攻击。
4、交换机端口设置
(1)端口保护(类似于端口隔离):ARP 欺骗技术需要交换机的两个端口直接通讯,端口设为保护端口即可简单方便地隔离用户之间信息互通,不必占用VLAN 资源。同一个交换机的两个端口之间不能进行直接通讯,需要通过转发才能相互通讯。
(2)数据过滤:如果需要对报文做更进一步的控制用户可以采用ACL(访问控制列表)。ACL 利用IP 地址、TCP/UDP 端口等对进出交换机的报文进行过滤,根据预设条件,对报文做出允许转发或阻塞的决定。华为和Cisco 的交换机均支持IP ACL 和MAC ACL,每种ACL 分别支持标准格式和扩展格式。标准格式的ACL 根据源地址和上层协议类型进行过滤,扩展格式的ACL 根据源地址、目的地址以及上层协议类型进行过滤,异词检查伪装MAC 地址的帧。
5、禁止网络接口做ARP 解析
在相对系统中禁止某个网络接口做ARP 解析(对抗ARP欺骗攻击),可以做静态ARP 协议设置(因为对方不会响应ARP 请求报义)如: ARP –s XXX.XXX.XX.X 08-00-20-a8-2e-ac在很多操作系统中如:Unix , NT 等,都可以结合“禁止相应网络接口做ARP 解析”和“使用静态ARP 表”的设置来对抗ARP 欺骗攻击。而Linux 系统,其静态ARP 表项不会被动态刷新,所以不需要“禁止相应网络接口做ARP 解析”,即可对抗ARP 欺骗攻击。
6、使用硬件屏蔽主机
设置好你的路由,确保IP 地址能到达合法的路径。( 静态配置路由ARP 条目),注意,使用交换集线器和网桥无法阻止ARP 欺骗。
7、定期检查ARP缓存
管理员定期用响应的IP 包中获得一个rarp 请求, 然后检查ARP 响应的真实性。定期轮询, 检查主机上的ARP 缓存。使用防火墙连续监控网络。注意有使用SNMP 的情况下,ARP 的欺骗有可能导致陷阱包丢失。
技巧一则
址的方法个人认为是不实用的,首先, 这样做会加大网络管理员的工作量,试想,如果校园网内有3000个用户,网络管理员就必须做3000 次端口绑定MAC 地址的操作,甚至更多。其次, 网络管理员应该比较清楚的是, 由于网络构建成本的原因,接入层交换机的性能是相对较弱的, 功能也相对单一一些, 对于让接入层交换机做地址绑定的工作,对于交换机性能的影响相当大, 从而影响网络数据的传输。
建议用户采用绑定网关地址的方法解决并且防止ARP 欺骗。
1) 首先, 获得安全网关的内网的MAC 地址。( 以windowsXP 为例)点击"开始"→"运行", 在打开中输入cmd。点击确定后将出现相关网络状态及连接信息, 然后在其中输入ipconfig/all,然后继续输入arp - a 可以查看网关的MAC 地址。
2) 编写一个批处理文件rarp.bat( 文件名可以任意) 内容如下:
@echo off
arp - d
arp - s 192.168.200.1 00- aa- 00- 62- c6- 09
将文件中的网关IP 地址和MAC 地址更改为实际使用的网关IP 地址和MAC 地址即可。
3) 编写完以后, 点击"文件" →"另存为"。注意文件名一定要是*.bat 如arp.bat 保存类型注意要选择所有类型。点击保存就可以了。最后删除之前创建的"新建文本文档"就可以。
4) 将这个批处理软件拖到"windows- - 开始- - 程序- - 启动"中, ( 一般在系统中的文件夹路径为C:\Documents and Settings\All Users\“开始”菜单\ 程序\ 启动) 。
5) 最后重新启动一下电脑就可以。
静态ARP 表能忽略执行欺骗行为的ARP 应答, 我们采用这样的方式可以杜绝本机受到ARP 欺骗包的影响。对于解决ARP 欺骗的问题还有多种方法: 比如通过专门的防ARP 的软件, 或是通过交换机做用户的入侵检测。前者也是个针对ARP欺骗的不错的解决方案, 但是软件的设置过程并不比设置静态ARP 表简单。后者对接入层交换机要求太高, 如果交换机的性能指标不是太高, 会造成比较严重的网络延迟, 接入层交换机的性能达到了要求, 又会使网络安装的成本提高。
在应对ARP 攻击的时候,除了利用上述的各种技术手段,还应该注意不要把网络安全信任关系建立在IP 基础上或MAC 基础上,最好设置静态的MAC->IP 对应表,不要让主机刷新你设定好的转换表,除非很有必要,否则停止使用ARP,将ARP 做为永久条目保存在对应表中。
❻ 受到ARP攻击怎么办急!!!
1.只能每台都装ARP防火墙,包括不掉线的,还要在路由上做arp绑定,DHCP服务不要开,手动获取IP,最好设静态IP,如果你想揪出元兇,建议你用抓包软件,我用的是CommView V5.0,汉化版,
试用一个月的版本,足够了,
开着它,规则设好,在掉线的时候包你当场抓住那台电脑,不过你一定要设置好规则,你既然肯定是ARP,那就只抓ARP协议的包了,你还要能看的懂包内容,
比如你在很短的一段时间发现192.168.1.X这个地址在向不同的地址发包,那这台机肯定是有问题了,关键是192.168.1.X这个地址和谁在通信,如果是很奇怪的IP,这个IP不存在或者是大量前几位一样后两位不一样的IP,那么这台机很有嫌疑,具体的使用方法再网络搜 一下,打字好累,另外,网络环路也能造成经常掉线,就是近期你这个局域网有没有添加新的交换机,添加的时候有没有注意造成环路,什么是环路,一句说不完,你查查网络.
2.还有某台机的网卡坏了,也会造成网络风暴,产生大面积频繁掉线
3.还有如果某个交换机质量问题也可能造成此现象,既然你确定是ARP,那你就用这个软件抓出元兇,祝你成功.
4.现在双向绑定都没啥用了,这个东东没有彻底解决方法,有个方法倒是一试,不过想你可能不是网管,不太方便啊,就是把每台机的npptools.dll文件替换成无用的同名文件,但是替换方法一句话说不完,因为这个文件受保护,替换这个文件的作用是即使中了ARP,也没有攻击别的电脑的功能了,但不能抵挡别人的攻击,只是管住自己不攻击别人,但是这样的同时,大部分网管软件也将失效,比如P2P终结者,聚生网管等
说到这里,也许局域网有个别不自觉的人用了变态的网管软件,恶意限制别人网速,也会有类似的现象哦!!
最后说一句,如果你用ARP规则抓不到元兇的话,就换个规则,比如抓所有的出入数据包,这样,整个局域网内有任何风吹草动,马上就一目了然
有兴趣研究一下,开迅雷,开QQ,每个软件开以后,抓包软件的数据都会有变化,很有规律,
祝你成功找到兇手!!!!
肯定能抓到元兇啦,直接看到的就是真实的IP和MAC.我用过地,过来人了,在不能打开网页的情况下都可抓到的,如果想反击它,直接对着它的MAC地址点右键发送数据,大小和频率你看着填吧,保它一会就掉,哈哈.小心使用哦
这个不好说啊,地址我忘了,要不然我发给你?QQ269434204,记得查毒哦,
天空软件站的那个版本本身就是中文的,是你没装好,注意看中文说明,你没有把语言文件放在软件目录,就是那个2052的,还要重开软件,在菜单里设置一下才行
❼ 如何判断交换机是否受到ARP攻击以及处理方式
如何判断交换机是否受到ARP攻击以及处理方式
一、如果网络受到了ARP攻击,可能会出现如下现象:
1、用户掉线、频繁断网、上网慢、业务中断或无法上网。
2、设备CPU占用率较高、设备托管、下挂设备掉线、设备主备状态震荡、设备端口指示灯红色快闪。
3、Ping有时延、丢包或不通。
定位ARP攻击时,请先排除链路、环路或路由问题,排除后再执行下面的步骤。执行过程中请保存以下步骤的执行结果,以便在故障无法解决时快速收集和反馈信息。
1、在网关上执行命令display cpu-defend statistics all,查看ARP Request、ARP Reply或ARP Miss报文的“Drop”计数是否增长。
如果计数为0,设备没有丢弃ARP报文。
如果有计数,表示设备收到的ARP报文由于超过了CPCAR的速率限制而被丢弃。
如果是ARP Miss报文丢弃很多,设备很可能受到了ARP Miss攻击。
如果是ARP Request或ARP Reply报文丢弃很多,设备很可能受到了ARP Request或ARP Reply报文攻击。
2、在网关上执行命令display arp all,查看用户的ARP表项是否存在。
如果ARP表项还在,请再查看用户的ARP表项,然后确定是否有用户或网关的ARP表项被改变。
如果是网关上用户ARP表项被改变,设备受到了ARP欺骗网关攻击。
在设备与用户连接的接口上获取报文头,分析ARP报文的源地址,找出攻击者。
建议找出攻击者后进行杀毒或卸载攻击工具。也可以在网关设备上配置防攻击功能,请根据情况选择配置。
3、系统视图下执行命令arp static,配置静态ARP表项。
如果下挂用户较少,可以通过配置静态ARP表项,绑定MAC地址和IP地址,确保IP地址不会被伪用户盗用。
4、系统视图或接口视图下执行命令arp anti-attack entry-check { fixed-mac | fixed-all | send-ack } enable,配置ARP表项固化功能。
fixed-mac方式适用于用户MAC地址固定,但用户接入位置频繁变动的场景。当用户从不同接口接入设备时,设备上该用户对应的ARP表项中的接口信息可以及时更新。
fixed-all方式适用于用户MAC地址固定,并且用户接入位置相对固定的场景。
send-ack方式适用于用户的MAC地址和接入位置均频繁变动的场景。
二、处理方式:
1、配置黑名单或黑洞MAC对攻击源的报文进行丢弃处理。
如果是用户的网关ARP表项被改变,设备受到了ARP仿冒网关攻击。
在设备与用户连接的接口上获取报文头,分析ARP报文的源地址,找出攻击者。
建议找出攻击者后进行杀毒或卸载攻击工具。也可以在网关设备上配置防攻击功能,请根据情况选择配置。
2、在网关的下行接口配置端口隔离,防止同一VLAN的用户收到攻击的ARP。
系统视图下执行命令arp anti-attack gateway-plicate enable,使能ARP防网关冲突攻击功能。
3、在接口或VLAN视图下执行命令arp anti-attack check user-bind enable,使能动态ARP检测功能(即对ARP报文进行绑定表匹配检查功能)。
动态ARP检测功能主要用于防御中间人攻击的场景,避免合法用户的数据被中间人窃取。
4、在系统视图下执行命令arp anti-attack packet-check { ip | dst-mac | sender-mac }*,使能ARP报文合法性检查功能,并指定ARP报文合法性检查项。
配置后,还需应用该防攻击策略才能生效。
用户视图下执行命令display arp anti-attack configuration arp-speed-limit,查看是否配置了ARP报文限速。
系统视图下执行命令arp speed-limit source-ip [ ip-address ] maximum maximum,调整根据源IP地址进行ARP报文限速的限速值。
系统视图下执行命令arp speed-limit source-mac [ mac-address ] maximum maximum,调整根据源MAC地址进行ARP限速的限速值。
系统视图、VLAN视图或接口视图下执行命令arp anti-attack rate-limit packet packet-number,调整ARP报文的限速值。
❽ arp攻击造成交换机死机,应该如何解决
进行端口绑定,以华为交换机为例
交换机华为S2016-E1:
[S2016-E1-Ethernet0/1]mac-address max-mac-count 0;
进入到端口,用命令mac max-mac-count 0(端口mac学习数设为0)
[S2016-E1]mac static 0000-9999-8888 int e0/1 vlan 10;
将0000-9999-8888绑定到e0/1端口上,此时只有绑定mac的pc可以通过此口上网,同时E0/1属于vlan 10
就这样,ok了,不过上面两个命令顺序不能弄反,除非端口下没有接pc
❾ 华为交换机出现这个情况是什么原因,该怎么解决求大神。在线等。
典型的ARP攻击,现在的状况是你的交换机学习不到正确的MAC地址和IP之间的对应关系,MAC地址全零,交换机提示无效的MAC,我看你的都是万兆口提示的,你可以尝试一下挨个拔掉接口,看看拔到谁的时候不出问题了,再不行的话就打华为的售后解决吧,让他们告诉你怎么开启arp防攻击之类的端口策略。华为售后:4008229999