精通网络的胸低请帮忙，关于ARP攻击

苹果帝国

现在我所在的局域网有人用软件之类的东西，制造ARP攻击，估计是为了多占点宽带吧。我现在用的ARP防火墙（Anti ARP Sniffer）检测到了攻击，也查到了MAC和IP,有没有办法搞定他啊？
PS:在外面租房，都是共的房东的网线，不好找房东弄这些，估计房东对电脑这些都不懂的。

[ Edited by  苹果帝国 on 2008-3-28 00:23 ]

hilton

这个……学校里面通常的做法是，定位发起攻击的PC的位置，先将交换机上他的端口shutdown，然后对其PC进行病毒查杀或者重装，当然，如果是恶意的话就要行政处理了
主动ARP攻击无非以下几个目的：
1，伪装成网关，截取其他PC的通信报文，加以分析，盗取关键数据，如用户名、密码等重要信息
2，伪造网关ARP信息，导致受骗PC的报文流向错误的地址，无法出去，使欺骗者达到独占网络带宽的目的。

你的情况应该是后者（猜测），当然，如果是前者是可以追究其刑事责任的，不过鉴于你的网络环境，你也无法方便的查到是谁在做这件事，即便查到，也没有什么办法解决，毕竟你不是执法机关。

建议：使用防火墙软件，将这种报文直接丢弃掉，不过这也是治标不治本，除去发起攻击的根源才是真正的解决方法
另外，根据你的描述，你们是在一个局域网的环境下，可能是通过一台交换机或者无线路由器进行上网，如果这个交换机或者路由器有ARP Check或者ARP绑定的功能，也可以解决这个问题，原理就是在交换机端口上绑定下面用户的真实IP和MAC地址，如果出现IP和MAC地址不匹配的报文，直接丢弃，这也是目前经常采用的方法，当然，需要一定的网络技术基础，还有对于网络设备的管理权限。

[ Edited by  hilton on 2008-3-28 00:33 ]

hilton

另外，ARP防火墙采用的是一种“抑制”的方法，即通过比欺骗者频率更高的发出“免费ARP”报文来实现防御，所以即便其防住了欺骗，也会导致网络的拥塞，因为如果每个人都用这个软件的话，网络中大量充斥这免费ARP的广播报文，严重影响通信

fixcom

mac ip绑定

苹果帝国

可以详细说一下怎么做的不？

苹果帝国

我看了一下交换机是TP-LINK的R402M路由器，好像是没有ARP防火墙的功能

zs_jie

这样可以稍微避免一下，在自己的机器上绑定路由器的MAC，发给你的攻击包就不起作用了。但是攻击路由器的在自己的机器上就弄不了了。方法如下：
首先查到路由器的MAC地址，方法是在网络正常的情况下运行arp -a。找到对应你网关IP地址的那条就是路由器的MAC。然后运行arp -s 网关IP 路由器MAC就可以绑定，例如
arp -s 192.168.1.1 08-00-91-02-ad-f8。
不过是绑定暂时的，网络一断下次就无效了，还要重新运行。可以把上面那句命令存成.bat文件，双击就可以运行了。

哪位兄弟知道对xp系统的简单攻击的，把中毒或者恶意机器搞瘫算了：）

冷风天子

QUOTE:

Posted by zs_jie on 2008-3-28 01:13
这样可以稍微避免一下，在自己的机器上绑定路由器的MAC，发给你的攻击包就不起作用了。但是攻击路由器的在自己的机器上就弄不了了。方法如下：
首先查到路由器的MAC地址，方法是在网络正常的情况下运行arp -a。 ...

高手，佩服！
对付这种比较阴的对手，我认为，是把他直接搞瘫痪比较好，这样他就不敢再乱来了。

zs_jie

不会弄攻击啊：）不过windows漏洞肯定多多，网上邻居拷贝文件这样的正常应用都会搞得别人的机器动不了，恶意的肯定更厉害：）