我的win10系统受到arp攻击 ,可是杀毒软件都没有针对arp的防御,怎么办

我的win10系统受到arp攻击 ,可是杀毒软件都没有针对arp的防御,怎么办,第1张

ARP欺骗方式共分为两种:一种是对路由器ARP表的欺骗,该种攻击截获网关数据。通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息,导致上网时断时通或上不了网;另一种是对内网PC的网关欺骗,仿冒网关的mac地址,发送arp包欺骗别的客户端,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网,造成上网时断时通或上不了网。
针对这种情况瑞星公司提供以下解决办法:
方法一、在收到ARP欺骗的本机,在开始--运行中,输入“cmd”,进入ms-dos,通过命令行窗口输入“arp -a”命令,查看ARP列表。会发现该MAC已经被替换成攻击机器的MAC,将该MAC记录(以备查找),然后根据此MAC找出中病毒的计算机。
方法二、借助第三方抓包工具(如sniffer或antiarp)查找局域网中发arp包最多的IP地址,也可判断出中病毒计算机。
造成arp欺骗的病毒,其实是普通的病毒,只要判断出发包源,使用杀毒软件进行清查,是可以彻底解决的。

英文原义:Address Resolution Protocol
中文释义:(RFC-826)地址解析协议
局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址以保证通信的顺利进行。
注解:简单地说,ARP协议主要负责将局域网中的32为IP地址转换为对应的48位物理地址,即网卡的MAC地址,比如IP地址为19216801网卡MAC地址为00-03-0F-FD-1D-2B。整个转换过程是一台主机先向目标主机发送包含IP地址信息的广播数据包,即ARP请求,然后目标主机向该主机发送一个含有IP地址和MAC地址数据包,通过MAC地址两个主机就可以实现数据传输了。
应用:在安装了以太网网络适配器的计算机中都有专门的ARP缓存,包含一个或多个表,用于保存IP地址以及经过解析的MAC地址。在Windows中要查看或者修改ARP缓存中的信息,可以使用arp命令来完成,比如在Windows XP的命令提示符窗口中键入“arp -a”或“arp -g”可以查看ARP缓存中的内容;键入“arp -d IPaddress”表示删除指定的IP地址项(IPaddress表示IP地址)。arp命令的其他用法可以键入我们首先要知道以太网内主机通信是靠MAC地址来确定目标的arp协议又称"地址解析协议",它负责通知电脑要连接的目标的地址,这里说的地址在以太网中就是MAC地址,简单说来就是通过IP地址来查询目标主机的MAC地址一旦这个环节出错,我们就不能正常和目标主机进行通信,甚至使整个网络瘫痪
ARP的攻击主要有以下几种方式
一简单的欺骗攻击
这是比较常见的攻击,通过发送伪造的ARP包来欺骗路由和目标主机,让目标主机认为这是一个合法的主机便完成了欺骗这种欺骗多发生在同一网段内,因为路由不会把本网段的包向外转发,当然实现不同网段的攻击也有方法,便要通过ICMP协议来告诉路由器重新选择路由
二交换环境的嗅探
在最初的小型局域网中我们使用HUB来进行互连,这是一种广播的方式,每个包都会经过网内的每台主机,通过使用软件,就可以嗅谈到整个局域网的数据现在的网络多是交换环境,网络内数据的传输被锁定的特定目标既已确定的目标通信主机在ARP欺骗的基础之上,可以把自己的主机伪造成一个中间转发站来监听两台主机之间的通信
三MAC Flooding
这是一个比较危险的攻击,可以溢出交换机的ARP表,使整个网络不能正常通信
四基于ARP的DOS
这是新出现的一种攻击方式,DOS又称拒绝服务攻击,当大量的连接请求被发送到一台主机时,由于主机的处理能力有限,不能为正常用户提供服务,便出现拒绝服务这个过程中如果使用ARP来隐藏自己,在被攻击主机的日志上就不会出现真实的IP攻击的同时,也不会影响到本机
防护方法:
1IP+MAC访问控制
单纯依靠IP或MAC来建立信任关系是不安全,理想的安全关系建立在IP+MAC的基础上这也是我们校园网上网必须绑定IP和MAC的原因之一
2静态ARP缓存表
每台主机都有一个临时存放IP-MAC的对应表ARP攻击就通过更改这个缓存来达到欺骗的目的,使用静态的ARP来绑定正确的MAC是一个有效的方法在命令行下使用arp -a可以查看当前的ARP缓存表以下是本机的ARP表
C:\Documents and Settings\cnqing>arp -a
Interface: 2103119781 on Interface 0x1000003
Internet Address Physical Address Type
2103119794 00-03-6b-7f-ed-02 dynamic
其中"dynamic" 代表动态缓存,即收到一个相关ARP包就会修改这项如果是个非法的含有不正确的网关的ARP包,这个表就会自动更改这样我们就不能找到正确的网关MAC,就不能正常和其他主机通信静态表的建立用ARP -S IP MAC
执行"arp -s 2103119794 00-03-6b-7f-ed-02"后,我们再次查看ARP缓存表
C:\Documents and Settings\cnqing>arp -a
Interface: 2103119781 on Interface 0x1000003
Internet Address Physical Address Type
2103119794 00-03-6b-7f-ed-02 static
此时"TYPE"项变成了"static",静态类型这个状态下,是不会在接受到ARP包时改变本地缓存的从而有效的防止ARP攻击静态的ARP条目在每次重启后都要消失需要重新设置
3ARP 高速缓存超时设置
在ARP高速缓存中的表项一般都要设置超时值,缩短这个这个超时值可以有效的防止ARP表的溢出
4主动查询
在某个正常的时刻,做一个IP和MAC对应的数据库,以后定期检查当前的IP和MAC对应关系是否正常定期检测交换机的流量列表,查看丢包率
总结:ARP本省不能造成多大的危害,一旦被结合利用,其危险性就不可估量了由于ARP本身的问题使得防范ARP的攻击很棘手,经常查看当前的网络状态,监控流量对一个网管员来说是个很好的习惯
“arp /”查看到。

可以修改密码。访问路由器,在其中设置IP地址和Mac地址绑定,这样ARP攻击就无效了

简单来说,就是通过:“网络执法官、网络剪刀手、局域网终结者”之类的软件来攻击你,使你的电脑无法上网。

所以平时一定要加强保护,安装安全软件。推荐你可以试试腾讯电脑管家,免费专业安全软件,杀毒管理二合一,占内存小,杀毒好,防护好,无误报误杀。拥有云查杀引擎、反病毒引擎、金山云查杀引擎、AVIRA查杀引擎、小红伞和查杀修复引擎等世界一流杀毒软件内嵌杀毒引擎!保证安全。

同时建议你还可以开启ARP防火墙

ARP防火墙,简单来说是局域网的防火墙,当你的电脑是属于局域网的电脑时,你用这个ARP防火墙时,可以防止他人攻击

打开电脑管家——首页——工具箱——ARP防火墙开启

局域网总是不稳定,连连出现断网的现象。局域网内展开了ARP病毒捕杀过程。 找出病毒的根源首先打开局域网内所有电脑,随后下载了一款名为“AntiArpSniffer ”的工具,这是一款ARP防火墙软件,该软件通过在系统内核层拦截虚假ARP数据包来获取中毒电脑的IP地址和MAC地址。此外,该软件能有效拦截ARP病毒的攻击,保障该电脑数据流向正确。 使用“AntiArpSniffer”查找感染毒电脑时,启动该程序,随后在右侧的“网关地址”项中输入该局域网内的网关IP,随后单击“枚取MAC”,这时该软件会自动获取到网关电脑网卡的MAC地址。MAC获取后单击“自动保护”按钮,这样“AntiArpSniffer”便开始监视通过该网关上网的所有电脑了。 片刻工夫,看到系统的任务栏中的“AntiArpSniffer”图标上d出一个“ARP 欺骗数据包”提示信息。这就说明该软件已经侦测到ARP病毒。于是打开“AntiArpSniffer ”程序的主窗口,在程序的“欺骗数据详细记录”列表中看到一条信息,这就是“AntiArpSniffer”程序捕获的ARP病毒信息。 其中“网关IP地址”和“网关MAC地址”两项中是网关电脑的真实地址,后面的欺骗机MAC地址就是中ARP病毒的MAC地址。ARP病毒将该局域网的网关指向了这个IP地址,导致其他电脑无法上网。 小提示:ARP病毒病毒发作时的特征中该病毒的电脑会伪造某台电脑的MAC 地址,如该伪造地址为网关服务器的地址,那么对整个网络均会造成影响,用户表现为上网经常瞬断。 获取欺骗机IP“AntiArpSniffer ”虽然能拦截ARP病毒,但是不能有效地根除病毒。要想清除病毒,还要找到感染ARP病毒的电脑才行。通过“AntiArpSniffer”程序,获取了欺骗机的MAC,这样只要找到该MAC对应的IP地址即可。

很明显,你受到ARP攻击了!
如果你有兴趣和时间,你可以先研究一下ARP的原理,最好在看看交换机转发帧的原理!
你就明白ARP攻击(MAC地址攻击)分为以下三种:
1-给目标主机发送伪造ARP应答包(这个可以通过装ARP防火墙,或静态绑定防御,很简单,也就是“186185”说的办法)
2-主动发伪造的ARP包给网关,造成网关无法正确返回数据包(在网关绑定IP-MAC可以防御)
3-发送伪造源MAC,冒充目标主机,造成交换机MAC地址表混乱,到达攻击目标主机的目的(这个目前最难防御,因为一般家用的交换机都不支持网管)
如果你遇到用第3种攻击方式的软件,而恰好你那的交换机没网管功能,那很遗憾,没什么太好的办法!
我也深受其害,但还有最后一招,这个办法算是无奈中的最佳办法了!!
推荐你使用这个软件:WildPackets EtherPeek NX,以毒攻毒,你也发送大量无用的数据包,来不断的更新交换机MAC地址表,只要能比攻击者有更高的发包频率,就能使交换机能正确转发大部分数据帧!

通常情况下,计算机受到arp入侵攻击和DNS欺骗攻击,是由于局域网内某台或某几台计算机有毒造成,有以下几种方法来解决:
1、局域网所有计算机安装杀毒软件,断网,全盘扫描、查杀病毒
2、在计算机上启用防火墙,在安全卫士或杀毒软件里启用arp防火墙
3、把计算机的IP地址设定为固定IP,不使用动态获取IP地址
4、进入路由器,把局域网内所有的计算机的IP地址和MAC地址绑定
5、在计算机上,点开始运行,输入CMD,回车,输入arp -d,回车,主要目的是清除arp表。然后再输入arp -a,回车,查看arp表,如果还能看到可疑的arp表条目,再多执行几次arp -a。
一般情况下,执行完上面的几步 *** 作后,都能解决arp入侵攻击和DNS欺骗攻击。


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/yw/12826709.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-05-28
下一篇 2023-05-28

发表评论

登录后才能评论

评论列表(0条)

保存