于公司內(nèi)網(wǎng)來說,arp攻擊是比較常見的網(wǎng)絡(luò)攻擊了,哪怕是局域網(wǎng)也能遭受arp攻擊,而局域網(wǎng)的arp大多是出現(xiàn)在公司的局域網(wǎng)上,那么如果是局域網(wǎng)被arp攻擊怎么辦?ARP攻擊是什么呢?
ARP攻擊是針對以太網(wǎng)地址解析協(xié)議(ARP)的一種攻擊技術(shù)。此種攻擊可讓攻擊者取得局域網(wǎng)上的數(shù)據(jù)封包甚至可篡改封包,且可讓網(wǎng)絡(luò)上特定計算機或所有計算機無法正常連接,導致制定電腦或者服務(wù)器斷網(wǎng),從而無法聯(lián)網(wǎng)或者訪問等。
arp攻擊會發(fā)出大量的數(shù)據(jù)包造成路由器處理能力下降,就會導致目標電腦或者服務(wù)器網(wǎng)速慢,直到掉線,無法上網(wǎng)或者訪問等,而arp病毒停止后又會恢復網(wǎng)絡(luò)。
如果公司局域網(wǎng)被arp攻擊,首先要做的事情就是全網(wǎng)斷電,在路由器端將ip和mac綁定,現(xiàn)在一般的路由器都有這個功能,對照上網(wǎng)的ip和mac找到中毒的電腦,將其斷網(wǎng)殺毒。
1.先做雙向綁定,路由器端要做ip和mac的綁定,客戶端做網(wǎng)關(guān)的綁定,只要是非綁定范圍內(nèi)的地址都不讓上網(wǎng)。
2. 檢查所有電腦的發(fā)送和接受,一般情況是發(fā)送遠遠小于接收,如果有電腦發(fā)送大于接收,那么這個電腦是不正常的。
3.雙向綁定可以自己寫個bat批處理,讓公司內(nèi)部的電腦都執(zhí)行,如果某個電腦網(wǎng)關(guān)的mac綁定不上或者綁定后又變了,這個電腦也是不正常的。如果在客戶端電腦執(zhí)行 arp -a 得到的不是網(wǎng)關(guān)的mac,如果能找到局域網(wǎng)的這個mac,也是一個攻擊源。
4. 使用mac地址掃描工具掃描全網(wǎng)段IP地址和MAC地址對應(yīng)表,有助于判斷感染ARP病毒對應(yīng)的MAC地址和IP地址。
關(guān)于ARP攻擊是什么意思以及ARP斷網(wǎng)攻擊的解決辦法,超級科技就為大家分享到這里。超級科技深耕網(wǎng)絡(luò)安全領(lǐng)域多年,并獨立研發(fā)了一站式DDoS&CC防御產(chǎn)品:超級盾,App、WEB和PC端全覆蓋,能靈活應(yīng)對當前多變的DDoS&CC攻擊,保證用戶系統(tǒng)安全和可用性。目前已為政府、金融、制造業(yè)、教育業(yè)、游戲業(yè)、電商業(yè)、泛媒體行業(yè)提供了解決方案,并深入了解企業(yè)安全需求,為傳奇游戲、短視頻、在線閱讀行業(yè)定制解決方案。
、網(wǎng)絡(luò)拓撲概況
某單位網(wǎng)絡(luò)拓撲結(jié)構(gòu)大致如圖1所示:
圖1:客戶網(wǎng)絡(luò)拓撲圖
二、故障情況
每天下午6點鐘左右出現(xiàn)無法上網(wǎng)的故障,ping測試嚴重丟包且持續(xù)時間較長。
三、排查情況及建議
1、排查情況
我司代維人員去現(xiàn)場單機測試正常,即排除了移動線路和設(shè)備故障。初步判斷是客戶內(nèi)網(wǎng)存在問題并對樓宇之間的級聯(lián)網(wǎng)線進行了更換,但故障沒有得到有效解決。5月21日下午本人去現(xiàn)場對客戶內(nèi)網(wǎng)進行了排查,4時左右客戶網(wǎng)絡(luò)正常,用筆記本電腦接入客戶路由器ping內(nèi)網(wǎng)網(wǎng)關(guān),偶爾出現(xiàn)丟包情況,通過抓包分析客戶網(wǎng)絡(luò)無異常廣播報文,可判定路由器性能欠佳。6時左右,通過wireshark抓包分析,ip為192.168.1.128的主機突發(fā)大量ARP詢問報文(如附件一),對局域網(wǎng)內(nèi)的整個網(wǎng)段進行了掃描,在1秒內(nèi)發(fā)送了254個廣播報文,同時,通過ping該ip地址,發(fā)現(xiàn)時延較大甚至丟包(如附件二),這是典型的ARP病毒攻擊,因此可判定ip為192.168.1.128的主機感染了ARP病毒。因客戶內(nèi)網(wǎng)主機采用DHCP的方式獲取IP,無法及時定位該主機的物理位置,已建議客戶網(wǎng)絡(luò)管理員通過IP/MAC綁定的方式限制了該主機訪問外網(wǎng)的權(quán)限以促使該主機使用者主動聯(lián)系網(wǎng)絡(luò)管理員從而可以對該主機進行排查操作。
建議
(1)建議客戶更換性能更好的路由器。
(2)建議客戶將局域網(wǎng)內(nèi)所有主機使用固定IP,便于維護管理。
(3)建議客戶規(guī)范化管理網(wǎng)絡(luò),如定期使用殺毒軟件查殺病毒、及時修補系統(tǒng)漏洞、嚴禁私接無線路由器、miniWIFI設(shè)備等。
附件一:
附件二:
朋友多次問到,如何防止ip地址沖突?如何解決?很多情況下ip地址沖突除了人為,大多數(shù)都是由arp所造成的,今天我們就一起來了解一下arp相關(guān)的內(nèi)容。
一、什么是arp
1、什么是arp
地址解析協(xié)議(Address Resolution Protocol),其基本功能為透過目標設(shè)備的IP地址,查詢目標設(shè)備的MAC地址,以保證通信的順利進行。它是IPv4中網(wǎng)絡(luò)層必不可少的協(xié)議,不過在IPv6中已不再適用,并被鄰居發(fā)現(xiàn)協(xié)議(NDP)所替代。
說白了,就是把通過ip地址找到設(shè)備mac地址。
2、arp有什么作用
在計算機間通信的時候,計算機要知道目的計算機是誰(就像我們?nèi)私涣饕粯樱缹Ψ绞钦l),這中間需要涉及到MAC地址,而MAC是真正的電腦的唯一標識符。
為什么需要ARP協(xié)議呢?因為在OSI七層模型中,對數(shù)據(jù)從上到下進行封裝發(fā)送出去,然后對數(shù)據(jù)從下到上解包接收,但是上層(網(wǎng)絡(luò)層)關(guān)心的IP地址,下層關(guān)心的是MAC地址,這個時候就需要映射IP和MAC,通過ip地址找到mac地址。
二、arp命令的使用
arp的命令一般有三個用法,就是查詢顯示、添加記錄、與刪除記錄,這個在我們做網(wǎng)絡(luò)項目時經(jīng)常會用到。
1、arp -a ,當你需要顯示當期ip地址對應(yīng)的mac地址時使用
在命令提示符中輸入“arp -a”并回車;自動在緩存中,讀取IP地址和mac地址的對應(yīng)關(guān)系表;
2、arp -s ,當你需要手動添加一條arp記錄時使用。
手工輸入一條ARP項目,格式為“ARP+空格+-a+IP地址+MAC地址”;
如下圖,我特意用arp -a查詢了ARP記錄;
其實這個命令也叫作綁定mac地址的命令,例如一個公司的網(wǎng)絡(luò),員工經(jīng)常喜歡改自己電腦的ip地址,經(jīng)常會造成ip地址混亂,無法管理,那么這個時候你只需要把它的ip地址與它電腦mac地址進行綁定,那么下次出現(xiàn)網(wǎng)絡(luò)故障,就可以直接mac地址定位到那幾臺電腦。
3、arp -d,當你覺得某條arp記錄有問題時,可以刪除。
功能為:刪除所有ARP記錄
其實如果想徹底清空ARP列表,需要您禁止所有網(wǎng)絡(luò)連接,否則網(wǎng)絡(luò)數(shù)據(jù)交互過程中仍然會產(chǎn)生新的ARP列表。
那么有朋友會問,這三條命令會有什么用呢?
其實用途挺大的,例如,當你網(wǎng)絡(luò)中出了問題,可能是有某些ip地址發(fā)生沖突了,mac對應(yīng)的ip地址有誤,那么你可以對它進行刪除這條arp記錄,然后重新添加新的記錄,網(wǎng)絡(luò)問題就會得到解決。
三、什么arp攻擊
一、什么是arp攻擊
ARP協(xié)議的基本功能就是通過目標設(shè)備的IP地址,查詢目標設(shè)備的MAC地址,以保證通信的進行。基于ARP協(xié)議的這一工作特性,黑客向?qū)Ψ接嬎銠C不斷發(fā)送有欺詐性質(zhì)的ARP數(shù)據(jù)包,數(shù)據(jù)包內(nèi)包含有與當前設(shè)備重復的Mac地址,使對方在回應(yīng)報文時,由于簡單的地址重復錯誤而導致不能進行正常的網(wǎng)絡(luò)通信。
二、arp地址如何防御
一般情況下,受到ARP攻擊的計算機會出現(xiàn)兩種現(xiàn)象:
A、不斷彈出“本機的XXX段硬件地址與網(wǎng)絡(luò)中的XXX段地址沖突”的對話框。
B、計算機不能正常上網(wǎng),出現(xiàn)網(wǎng)絡(luò)中斷的癥狀。
這類情況,在我們監(jiān)控系統(tǒng)中或者用戶較多的網(wǎng)絡(luò)中出現(xiàn)的比較多,經(jīng)常會出現(xiàn)ip地址沖突等問題,那么如何預防呢?
對于監(jiān)控或網(wǎng)絡(luò)系統(tǒng)中,一旦用戶較多,就需要劃分vlan或者對網(wǎng)絡(luò)進行端口隔離,避免受到arp攻擊后,擴散到其它設(shè)備上,通常有以下三個方法。
1、ARP雙向綁定
在pc端上 IP+mac 綁定, 在網(wǎng)絡(luò)設(shè)備(交換路由)上 采用ip+mac+端口綁定
網(wǎng)關(guān)也進行IP和mac的靜態(tài)綁定。
2、建立DHCP服務(wù)器
ARP攻擊一般先攻擊網(wǎng)關(guān),將DHCP服務(wù)器建立在網(wǎng)關(guān)上,也可采用arp過濾的防火墻。
3、劃分安全區(qū)域
ARP廣播包是不能跨子網(wǎng)或網(wǎng)段傳播的,網(wǎng)段可以隔離廣播包。VLAN就是一個邏輯廣播域,通過VLAN技術(shù)可以在局域網(wǎng)中創(chuàng)建多個子網(wǎng),就在局域網(wǎng)中隔離了廣播。。縮小感染范圍。 但是,安全域劃分太細會使局域網(wǎng)的管理和資源共享不方便。
三、出現(xiàn)了arp攻擊后如何解決
受到arp攻擊后,網(wǎng)絡(luò)可能已經(jīng)斷了,時查看此對照表發(fā)現(xiàn),網(wǎng)關(guān)的Mac地址改變了。
1、然后輸入 arp -a
可以看到所有網(wǎng)關(guān)的列表,但是正常情況下,應(yīng)該只有一個網(wǎng)關(guān),多出來的,肯定是arp攻擊發(fā)起者的電腦偽裝的網(wǎng)關(guān)。
2、然后arp -d.
清除所有網(wǎng)關(guān),然后你的電腦會自己找網(wǎng)關(guān)。
3、在arp -a
列出新找的網(wǎng)關(guān),如果仍有多個,再繼續(xù)arp -d。直到arp -a只出現(xiàn)一條記錄、
這個列表會顯示網(wǎng)關(guān)的IP地址和MAC地址,就是你的網(wǎng)關(guān)。
4、arp -s ,再重新綁定
輸入 arp -s xxx.xxx.xxx.xxx ab-cd-ef-gh-ij-kl
xxx.xxx.xxx.xxx表示網(wǎng)關(guān)的IP地址,ab-cd-ef-gh-ij-kl表示網(wǎng)關(guān)的MAC地址。
最新弱電資料更新—弱電監(jiān)控系統(tǒng)完整施工報價8份(9月18日)