18,363
社区成员
发帖
与我相关
我的任务
分享关于arp欺骗的解决方案
简要介绍一下所处的环境:
我单位内部局域网中有若干台计算机发起arp欺骗攻击,我能够检测出发起攻击计算机的mac地址,但我不是网管,没法直接去停掉那几台计算机。
如果是单机连到内网被欺骗,可以通过静态绑定网关来解决,但现在的问题是我所在的部门的若干台计算机通过一个路由器(200元的路由器)连到单位内网,路由器没有设置静态绑定网关的方法,换句话说是路由器被欺骗后不知如何解决。
由于种种原因(客观原因),以下两种方法请不要考虑:
1、让网管去解决有问题的计算机。
2、在网关和PC上做双向绑定。
3、在内网安装相应的管理软件。
我现在想到的方法有两个,但不到万不得已还不想采用:
一是通过编程的方式动态更新我的路由器的arp表,但我对arp协议的还不够了解,同时感觉这种方式与arp攻击的方式类似,如果我采取比病毒更高的更新频率来刷新arp表,有可能对网络性能产生严重影响。
二是不使用路由器,将一台计算机设为服务器,开启NAT服务,替代路由器。但目前没有闲置的计算机可用,我自已那台仅为PIV2.0G, 256M内存,在win2003 server下要执行了IIS/SQL SERVER/DSN/传真服务/打印服务器等多项服务,同时还要处理office文档,flash制作和用vc编程,如果再开启路由和远程访问,实在是不堪负荷。
因此想请多听听大家的宝贵意见,分不够可以再加。
我单位内部局域网中有若干台计算机发起arp欺骗攻击,我能够检测出发起攻击计算机的mac地址,但我不是网管,没法直接去停掉那几台计算机。
如果是单机连到内网被欺骗,可以通过静态绑定网关来解决,但现在的问题是我所在的部门的若干台计算机通过一个路由器(200元的路由器)连到单位内网,路由器没有设置静态绑定网关的方法,换句话说是路由器被欺骗后不知如何解决。
由于种种原因(客观原因),以下两种方法请不要考虑:
1、让网管去解决有问题的计算机。
2、在网关和PC上做双向绑定。
3、在内网安装相应的管理软件。
我现在想到的方法有两个,但不到万不得已还不想采用:
一是通过编程的方式动态更新我的路由器的arp表,但我对arp协议的还不够了解,同时感觉这种方式与arp攻击的方式类似,如果我采取比病毒更高的更新频率来刷新arp表,有可能对网络性能产生严重影响。
二是不使用路由器,将一台计算机设为服务器,开启NAT服务,替代路由器。但目前没有闲置的计算机可用,我自已那台仅为PIV2.0G, 256M内存,在win2003 server下要执行了IIS/SQL SERVER/DSN/传真服务/打印服务器等多项服务,同时还要处理office文档,flash制作和用vc编程,如果再开启路由和远程访问,实在是不堪负荷。
因此想请多听听大家的宝贵意见,分不够可以再加。
...全文
请发表友善的回复…
发表回复
analysefirst 2007-08-11
- 打赏
- 举报
我曾经中了ARP病毒,为什么第一次中了后就会反复发作,即使清除干净后过一段时间后又出现了?有没有什么有效的清除方法?”近日,很多电脑用户在很多反病毒社区专家在线答疑活动中提出了类似问题。由于清除此类病毒异常困难,用户迫切希望能够了解怎样才能彻底防范此类病毒。
反病毒专家介绍,ARP病毒也叫ARP地址欺骗类病毒,这是一类特殊的病毒。该病毒一般属于木马病毒,不具备主动传播的特性,不会自我复制,但是由于其发作的时候会向全网发送伪造的ARP数据包,严重干扰全网的正常运行,其危害甚至比一些蠕虫病毒还要严重得多。
专家介绍,ARP病毒发作时,通常会造成网络掉线,但网络连接正常,内网的部分电脑不能上网,或者所有电脑均不能上网,无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象,严重影响到企业网络、网吧、校园网络等局域网的正常运行。
最新发布的2007年上半年计算机疫情报告数据显示,ARP病毒位列十大病毒排行榜第四位,而且目前ARP地址欺骗技术已经被越来越多的病毒所采用,成为病毒发展的一个新趋势。专家指出,ARP病毒之所以会反复发作,主要是由于目前网页木马都是利用微软的MS06-014和MS07-017两个漏洞进入到系统里面的,如果没有打好这两个补丁,就很容易再次受到攻击,同时将MAC-IP双向绑定也可以达到免疫ARP病毒的效果。
反病毒专家给出了关于ARP病毒具体防范措施,电脑用户只需执行以下六个步骤,即可有效防范ARP病毒:
1、 做好IP-MAC地址的绑定工作(即将IP地址与硬件识别地址绑定),在交换机和客户端都要绑定,这是可以使局域网免疫ARP病毒侵扰的好办法。
2、 全网所有的电脑都打上MS06-014和MS07-017这两个补丁,这样可以免疫绝大多数网页
木马,防止在浏览网页的时候感染病毒。
MS06-014 中文版系统补丁下载地址:
www.microsoft.com/china/technet/security/bulletin/MS06-014.mspx
MS07-017 中文版系统补丁下载地址:
www.microsoft.com/china/technet/security/bulletin/MS07-017.mspx
3、禁用系统的自动播放功能,防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。禁用Windows 系统的自动播放功能的方法:在运行中输入 gpedit.msc 后回车,打开组策略编辑器,依次点击:计算机配置->管理模板->系统->关闭自动播放->已启用->所有驱动器->确定。
4、在网络正常时候保存好全网的IP-MAC地址对照表,这样在查找ARP中毒电脑时很方便。
5、部署网络流量检测设备,时刻监视全网的ARP广播包,查看其MAC地址是否正确。
6、部署网络版的杀毒软件,定期升级病毒库,定期全网杀毒
反病毒专家介绍,ARP病毒也叫ARP地址欺骗类病毒,这是一类特殊的病毒。该病毒一般属于木马病毒,不具备主动传播的特性,不会自我复制,但是由于其发作的时候会向全网发送伪造的ARP数据包,严重干扰全网的正常运行,其危害甚至比一些蠕虫病毒还要严重得多。
专家介绍,ARP病毒发作时,通常会造成网络掉线,但网络连接正常,内网的部分电脑不能上网,或者所有电脑均不能上网,无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象,严重影响到企业网络、网吧、校园网络等局域网的正常运行。
最新发布的2007年上半年计算机疫情报告数据显示,ARP病毒位列十大病毒排行榜第四位,而且目前ARP地址欺骗技术已经被越来越多的病毒所采用,成为病毒发展的一个新趋势。专家指出,ARP病毒之所以会反复发作,主要是由于目前网页木马都是利用微软的MS06-014和MS07-017两个漏洞进入到系统里面的,如果没有打好这两个补丁,就很容易再次受到攻击,同时将MAC-IP双向绑定也可以达到免疫ARP病毒的效果。
反病毒专家给出了关于ARP病毒具体防范措施,电脑用户只需执行以下六个步骤,即可有效防范ARP病毒:
1、 做好IP-MAC地址的绑定工作(即将IP地址与硬件识别地址绑定),在交换机和客户端都要绑定,这是可以使局域网免疫ARP病毒侵扰的好办法。
2、 全网所有的电脑都打上MS06-014和MS07-017这两个补丁,这样可以免疫绝大多数网页
木马,防止在浏览网页的时候感染病毒。
MS06-014 中文版系统补丁下载地址:
www.microsoft.com/china/technet/security/bulletin/MS06-014.mspx
MS07-017 中文版系统补丁下载地址:
www.microsoft.com/china/technet/security/bulletin/MS07-017.mspx
3、禁用系统的自动播放功能,防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。禁用Windows 系统的自动播放功能的方法:在运行中输入 gpedit.msc 后回车,打开组策略编辑器,依次点击:计算机配置->管理模板->系统->关闭自动播放->已启用->所有驱动器->确定。
4、在网络正常时候保存好全网的IP-MAC地址对照表,这样在查找ARP中毒电脑时很方便。
5、部署网络流量检测设备,时刻监视全网的ARP广播包,查看其MAC地址是否正确。
6、部署网络版的杀毒软件,定期升级病毒库,定期全网杀毒
chehw 2007-08-10
- 打赏
- 举报
现在内网的很多计算机做了静态绑定后, 从表面上看已可以正常上网了.
我这里只有等到下班以后(等那几台发起攻击的计算机关机后)才能一切正常.
我这里只有等到下班以后(等那几台发起攻击的计算机关机后)才能一切正常.
DentistryDoctor 2007-08-09
- 打赏
- 举报
将老鼠找出来,不然你太累了。
sparkkendy 2007-08-09
- 打赏
- 举报
学习
帮你顶下
帮你顶下
chehw 2007-08-09
- 打赏
- 举报
/*我们单位没有真正意义上的网络*/
应改成
我们单位没有真正意义上的网管
应改成
我们单位没有真正意义上的网管
chehw 2007-08-09
- 打赏
- 举报
感谢DentistryDoctor支持, 现在的最大问题是我能找出老鼠,但眼睁睁看着没有办法。
我们单位没有真正意义上的网络,现在做维护的几个人都不够专业,我提了多次解决方案和建议均无效。
而且由于过去其他部门计算机出了问题直接找到我,估计他们对我的意见也很大。
虽然我只不过是出于医生的职业道德不愿意看到有病的人得不到医治,但往往被说成出风头和狗拿耗子多管闲事。
现在单位局域网内几分钟内就可以检测出3000多次arp攻击,但他们放任病毒计算机不管(没人手给问题计算机杀毒或重装系统,即使重装,也只是简单的装了个没打任何补丁,没做任何安全配置的系统,过不了几天又会出问题),只是给每台电脑安装所谓的防arp攻击的工具来草草了事(攻击仍然存在)。
此外,我们其他部门的很多计算机重装过系统并做了严格的安全配置,这些计算机在安装单位用的arp防护工具时均不能正常安装和运行,(因为我装过的系统默认登录的用户均为受限用户且有较复杂的密码,与管理员空密码的计算机使用起来肯定有很多不便的地方),我反到接到不少抱怨。我现在实在是无话可说,只能闷头解决我们自己部门的问题,不再管闲事了。
我们单位没有真正意义上的网络,现在做维护的几个人都不够专业,我提了多次解决方案和建议均无效。
而且由于过去其他部门计算机出了问题直接找到我,估计他们对我的意见也很大。
虽然我只不过是出于医生的职业道德不愿意看到有病的人得不到医治,但往往被说成出风头和狗拿耗子多管闲事。
现在单位局域网内几分钟内就可以检测出3000多次arp攻击,但他们放任病毒计算机不管(没人手给问题计算机杀毒或重装系统,即使重装,也只是简单的装了个没打任何补丁,没做任何安全配置的系统,过不了几天又会出问题),只是给每台电脑安装所谓的防arp攻击的工具来草草了事(攻击仍然存在)。
此外,我们其他部门的很多计算机重装过系统并做了严格的安全配置,这些计算机在安装单位用的arp防护工具时均不能正常安装和运行,(因为我装过的系统默认登录的用户均为受限用户且有较复杂的密码,与管理员空密码的计算机使用起来肯定有很多不便的地方),我反到接到不少抱怨。我现在实在是无话可说,只能闷头解决我们自己部门的问题,不再管闲事了。
