精通网络的胸低请帮忙,关于ARP攻击
现在我所在的局域网有人用软件之类的东西,制造ARP攻击,估计是为了多占点宽带吧。我现在用的ARP防火墙(Anti ARP Sniffer)检测到了攻击,也查到了MAC和IP,有没有办法搞定他啊?PS:在外面租房,都是共的房东的网线,不好找房东弄这些,估计房东对电脑这些都不懂的。
[ Edited by苹果帝国 on 2008-3-28 00:23 ] 这个……学校里面通常的做法是,定位发起攻击的PC的位置,先将交换机上他的端口shutdown,然后对其PC进行病毒查杀或者重装,当然,如果是恶意的话就要行政处理了
主动ARP攻击无非以下几个目的:
1,伪装成网关,截取其他PC的通信报文,加以分析,盗取关键数据,如用户名、密码等重要信息
2,伪造网关ARP信息,导致受骗PC的报文流向错误的地址,无法出去,使欺骗者达到独占网络带宽的目的。
你的情况应该是后者(猜测),当然,如果是前者是可以追究其刑事责任的,不过鉴于你的网络环境,你也无法方便的查到是谁在做这件事,即便查到,也没有什么办法解决,毕竟你不是执法机关。
建议:使用防火墙软件,将这种报文直接丢弃掉,不过这也是治标不治本,除去发起攻击的根源才是真正的解决方法
另外,根据你的描述,你们是在一个局域网的环境下,可能是通过一台交换机或者无线路由器进行上网,如果这个交换机或者路由器有ARP Check或者ARP绑定的功能,也可以解决这个问题,原理就是在交换机端口上绑定下面用户的真实IP和MAC地址,如果出现IP和MAC地址不匹配的报文,直接丢弃,这也是目前经常采用的方法,当然,需要一定的网络技术基础,还有对于网络设备的管理权限。
[ Edited byhilton on 2008-3-28 00:33 ] 另外,ARP防火墙采用的是一种“抑制”的方法,即通过比欺骗者频率更高的发出“免费ARP”报文来实现防御,所以即便其防住了欺骗,也会导致网络的拥塞,因为如果每个人都用这个软件的话,网络中大量充斥这免费ARP的广播报文,严重影响通信 mac ip绑定
回复 #4 fixcom 的帖子
可以详细说一下怎么做的不?回复 #2 hilton 的帖子
我看了一下交换机是TP-LINK的R402M路由器,好像是没有ARP防火墙的功能 这样可以稍微避免一下,在自己的机器上绑定路由器的MAC,发给你的攻击包就不起作用了。但是攻击路由器的在自己的机器上就弄不了了。方法如下:首先查到路由器的MAC地址,方法是在网络正常的情况下运行arp -a。找到对应你网关IP地址的那条就是路由器的MAC。然后运行arp -s 网关IP 路由器MAC就可以绑定,例如
arp -s 192.168.1.1 08-00-91-02-ad-f8。
不过是绑定暂时的,网络一断下次就无效了,还要重新运行。可以把上面那句命令存成.bat文件,双击就可以运行了。
哪位兄弟知道对xp系统的简单攻击的,把中毒或者恶意机器搞瘫算了:) Posted by zs_jie on 2008-3-28 01:13 http://www.ibmnb.com/images/common/back.gif
这样可以稍微避免一下,在自己的机器上绑定路由器的MAC,发给你的攻击包就不起作用了。但是攻击路由器的在自己的机器上就弄不了了。方法如下:
首先查到路由器的MAC地址,方法是在网络正常的情况下运行arp -a。 ...
高手,佩服!
对付这种比较阴的对手,我认为,是把他直接搞瘫痪比较好,这样他就不敢再乱来了。 不会弄攻击啊:)不过windows漏洞肯定多多,网上邻居拷贝文件这样的正常应用都会搞得别人的机器动不了,恶意的肯定更厉害:)
页:
[1]