1、arp欺骗(网关、pc)
2、arp攻击
3、arp残缺
4、海量arp
5、二代arp(假ip、假mac)
因为二代的arp最难解决,现在我就分析一下二代arp的问题。
现象 ARP出现了新变种,二代ARP攻击已经具有自动传播能力,已有的宏文件绑定方式已经被破,网络有面临新一轮的掉线和卡滞盗号的影响!
原理 二代ARP主要表现在病毒通过网络访问或是主机间的访问互相传播。由于病毒已经感染到电脑主机,可以轻而易举的清除掉客户机电脑上的ARP静态绑定(首先执行的是arp -d然后在执行的是arp -s ,此时绑定的是一个错误的MAC)伴随着绑定的取消,错误的网关IP和MAC的对应并可以顺利的写到客户机电脑,ARP的攻击又畅通无阻了。
解决办法(1)部分用户采用的“双/单项绑定”后,ARP攻击得到了一定的控制。
面临问题双绑和单绑都需要在客户机上绑定。二代ARP攻击会清除电脑上的绑定,使得电脑静态绑定的方式无效。
(2)部分用户采用一种叫作“循环绑定”的办法,就是每过一段“时间”客户端自动绑定一个“IP/MAC”。
面临问题如果我们“循环绑定”的时间较长(比arp清除的时间长)就是说在“循环绑定”进行第二次绑定之前就被清除了,这样对arp的防范仍然无效。如果“循环绑定”的时间过短(比arp清除时间短)这块就会暂用更多的系统资源,这样就是“得不偿失”
(3)部分用户采用一种叫作“arp防护”,就是网关每过一段时间按照一定的“频率”在内网发送正确网关“IP/MAC”
面临问题如果发送的“频率”过快(每秒发送的ARP多)就会严重的消耗内网的资源(容易造成内网的堵塞),如果发送“频率”太慢(没有arp协议攻击发出来频率高)在arp防范上面没有丝毫的作用。
最彻底的办法
(4)arp是个“双头怪”要想彻底解决必须要“首尾兼顾”有两种方式可以实现
第一 采用“看守式绑定”的方法,实时监控电脑ARP缓存,确保缓存内网关MAC和IP的正确对应。在arp缓存表里会有一个静态的绑定,如果受到arp的攻击,或只要有公网的请求时,这个静态的绑定又会自动的跳出,所以并不影响网络的正确的访问。这种方式是安全与网卡功能融合的一种表现,也叫作“终端抑制”
第二就是在网络接入架构上要有“安全和网络功能的融合”就是在接入网关做NAT的时候不是按照传统路由那样根据“MAC/IP”映射表来转发数据,而是根据他们在NAT表中的MAC来确定(这样就会是只要数据可以转发出去就一定可以回来)就算ARP大规模的爆发,arp表也混乱了但是并不会给我们的网络造成任何影响。(不看IP/MAC映射表)这种方法在现有控制ARP中也是最彻底的。也被称为是“免疫网络”的重要特征。
cmd命令行下打arp -a,看看arp的列表,里面应该有对网关动态的(dynamic)arp,小局域网网关一般是192.168.1.1之类的用这个命令:arp -s 网关ip 网关mac,重新绑定arp,再-a查看,应该是静态(static)了
arp攻击无法修改静态arp
但是这个重启就会失效,根治的话只有找出局域网里面中毒的机器杀毒了
估计是360提示下载漏洞补丁的时候下载了一些可能导致不兼容系统或者能导致电脑假死的补丁几个办法提供:1.BIOS,这个我没有现成的资料复制,直接打太麻烦,只当作提示一下
2.这个很暴力,把电脑关了,在主机箱内部采用与暴力破解密码同样的方法刺激主板电池
3.你这个重装系统估计会装不上或者卡盘,所以不推荐,更推荐你找一个ghost备份使用带命令模式(MS-DOS)进入ghost恢复系统(但若不是你自己的ghost镜像文件会恢复成别人的电脑备份【这里指的是C盘】)
最后给你几个建议:win7太麻烦了,耗内存还不好用,不如用回vista或xp,另外,恢复好系统之后,建议你时不时还是备份下系统以便不时之需,还有360有个项可以设置防止这种补丁对电脑造成破坏,具体我记不得了,你可以查下
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)