单选题关于如何防止ARP欺骗下列措施哪种是正确的篇1
网关设备关闭ARP动态刷新,使用静态路由。
ARP欺骗的原理和现象如何防范ARP欺骗篇2
第一种ARP欺骗的原理是--截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是--伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。 ARP攻击主要是存在于局域网网络中,局域网中若有一个人感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。 补充: ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。 目前对于ARP攻击防护问题出现最多是绑定IP和MAC和使用ARP防护软件,使用具有ARP防护功能的路由器。希望可以帮到您,谢谢
华为交换机端口隔离功能能有效的防止局域网内ARP欺骗吗篇3
有的
对付ARP欺骗最彻底的办法是双绑,即网关和客户端都绑定 IP-MAC。华为交换机的端口隔离确实可以对付 LAN 内的 ARP 欺骗。
怎么防止ARP和IP 欺骗 Rst 攻击篇4
如果是ADSL直拨。。那你根本就不用理会ARP攻击。。所谓的ARP攻击的定义如下什么是ARP及ARP攻击防范英文原义:Address Resolution Protocol中文释义:(RFC-826)地址解析协议局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址以保证通信的顺利进行。注解:简单地说,ARP协议主要负责将局域网中的32为IP地址转换为对应的48位物理地址,即网卡的MAC地址,比如IP地址为192.168.0.1网卡MAC地址为00-03-0F-FD-1D-2B。整个转换过程是一台主机先向目标主机发送包含IP地址信息的广播数据包,即ARP请求,然后目标主机向该主机发送一个含有IP地址和MAC地址数据包,通过MAC地址两个主机就可以实现数据传输了。应用:在安装了以太网网络适配器的计算机中都有专门的ARP缓存,包含一个或多个表,用于保存IP地址以及经过解析的MAC地址。在Windows中要查看或者修改ARP缓存中的信息,可以使用arp命令来完成,比如在Windows XP的命令提示符窗口中键入“arp -a”或“arp -g”可以查看ARP缓存中的内容;键入“arp -d IPaddress”表示删除指定的IP地址项(IPaddress表示IP地址)。arp命令的其他用法可以键入“arp /?”查看到。我们首先要知道以太网内主机通信是靠MAC地址来确定目标的.arp协议又称"地址解析协议",它负责通知电脑要连接的目标的地址,这里说的地址在以太网中就是MAC地址,简单说来就是通过IP地址来查询目标主机的MAC地址.一旦这个环节出错,我们就不能正常和目标主机进行通信,甚至使整个网络瘫痪.ARP的攻击主要有以下几种方式:一.简单的欺骗攻击这是比较常见的攻击,通过发送伪造的ARP包来欺骗路由和目标主机,让目标主机认为这是一个合法的主机.便完成了欺骗.这种欺骗多发生在同一网段内,因为路由不会把本网段的包向外转发,当然实现不同网段的攻击也有方法,便要通过ICMP协议来告诉路由器重新选择路由.二.交换环境的嗅探在最初的小型局域网中我们使用HUB来进行互连,这是一种广播的方式,每个包都会经过网内的每台主机,通过使用软件,就可以嗅谈到整个局域网的数据.现在的网络多是交换环境,网络内数据的传输被锁定的特定目标.既已确定的目标通信主机.在ARP欺骗的基础之上,可以把自己的主机伪造成一个中间转发站来监听两台主机之间的通信.三.MAC Flooding这是一个比较危险的攻击,可以溢出交换机的ARP表,使整个网络不能正常通信四.基于ARP的DOS这是新出现的一种攻击方式,D.O.S又称拒绝服务攻击,当大量的连接请求被发送到一台主机时,由于主机的处理能力有限,不能为正常用户提供服务,便出现拒绝服务.这个过程中如果使用ARP来隐藏自己,在被攻击主机的日志上就不会出现真实的IP.攻击的同时,也不会影响到本机.防护方法:1.IP+MAC访问控制.单纯依靠IP或MAC来建立信任关系是不安全,理想的安全关系建立在IP+MAC的基础上.这也是我们校园网上网必须绑定IP和MAC的原因之一.2.静态ARP缓存表.每台主机都有一个临时存放IP-MAC的对应表ARP攻击就通过更改这个缓存来达到欺骗的目的,使用静态的ARP来绑定正确的MAC是一个有效的方法.在命令行下使用arp -a可以查看当前的ARP缓存表.以下是本机的ARP表C:\Documents and Settings\cnqing>arp -aInterface: 210.31.197.81 on Interface 0x1000003Internet Address Physical Address Type210.31.197.94 00-03-6b-7f-ed-02 dynamic其中"dynamic" 代表动态缓存,即收到一个相关ARP包就会修改这项.如果是个非法的含有不正确的网关的ARP包,这个表就会自动更改.这样我们就不能找到正确的网关MAC,就不能正常和其他主机通信.静态表的建立用ARP -S IP MAC.执行"arp -s 210.31.197.94 00-03-6b-7f-ed-02"后,我们再次查看ARP缓存表.C:\Documents and Settings\cnqing>arp -aInterface: 210.31.197.81 on Interface 0x1000003Internet Address Physical Address Type210.31.197.94 00-03-6b-7f-ed-02 static此时"TYPE"项变成了"static",静态类型.这个状态下,是不会在接受到ARP包时改变本地缓存的.从而有效的防止ARP攻击.静态的ARP条目在每次重启后都要消失需要重新设置.3.ARP 高速缓存超时设置在ARP高速缓存中的表项一般都要设置超时值,缩短这个这个超时值可以有效的防止ARP表的溢出.4.主动查询在某个正常的时刻,做一个IP和MAC对应的数据库,以后定期检查当前的IP和MAC对应关系是否正常.定期检测交换机的流量列表,查看丢包率.总结:ARP本省不能造成多大的危害,一旦被结合利用,其危险性就不可估量了.由于ARP本身的问题.使得防范ARP的攻击很棘手,经常查看当前的网络状态,监控流量对一个网管员来说是个很好的习惯.
关于如何启用防御ARP欺骗简单的功能篇5
双向绑定就是:客户机绑定网关的IP和MAC地址。路由器(网关)绑定客户机的IP和MAC地址。用到的命令是ARP -S。另: 绑定后要开启防火墙才有用其实 要防御ARP攻击 根本不用这么麻烦 直接去下个ARP防火墙就可以了 彩影就有 效果很好 真正技术层面上的东西 只有专业的人才懂 所以 就交给专业软件去做就行了 简单 省心 彩影ARP防火墙是免费的
看了楼主的文章,我庆幸地说:还好我的网络情况用不到 [s:155]
双向绑定就是:客户机绑定网关的IP和MAC地址。路由器(网关)绑定客户机的IP和MAC地址。用到的命令是ARP -S。另: 绑定后要开启防火墙才有用其实 要防御ARP攻击 根本不用这么麻烦 直接去下个ARP防火墙就可以了 彩影就有 效果很好 真正技术层面上的东西 只有专业的人才懂 所以 就交给专业软件去做就行了 简单 省心 彩影ARP防火墙是免费的 查看原帖>>
回复15楼 挥泪斩情思 的帖子我的局域网只有三台电脑 自己用了两台 别人用了一台 我用不用防御ARP攻击啊 (别人用的那台属于电脑超级小白白) 查看原帖>>
这样彻底解决ARP欺骗篇6
开始--运行--cmd---arp -a(显示网关和对应的MAC;不能上网时显示的是欺骗的MAC,此时用命令arp -d清空,然后arp -a显示出有用的网关和对应的MAC)有了网关和真正的MAC就可以进行绑定了,命令arp -s 网关 MAC绑定关机即失郊,再次开机要重新绑定。为绑定方便可以制作批处理文件,放入启动文件夹,开机自动绑定。
你可以下载安装一个软件,叫“AntiARP" 。这个有更新的。 我们学校的校园网也是这样,有人中毒了,因为是局域网,所以一个楼的机子都被攻击。我们都是下载安装这个软件,它可以自动保护你的电脑,追踪你的攻击来源。
1、arp攻击 换小红伞杀软! 针对arp的攻击主要有两种,一种是dos,一种是spoof。 arp欺骗往往应用于一个内部网络,我们可以用它来扩大一个已经存在的网络安全漏洞。 如果你可以入侵一个子网内的机器,其它的机器安全也将受到arp欺骗的威胁。同样,利用apr的dos甚至能使整个子网瘫痪。 2、对arp攻击的防护 防止arp攻击是比较困难的,修改协议也是不大可能。但是有一些工作是可以提高本地网络的安全性。 首先,你要知道,如果一个错误的记录被插入arp或者ip route表,可以用两种方式来删除。 a. 使用arp –d host_entry b. 自动过期,由系统删除 这样,可以采用以下的一些方法: 1). 减少过期时间 #ndd –set /dev/arp arp_cleanup_interval 60000 #ndd -set /dev/ip ip_ire_flush_interval 60000 60000=60000毫秒 默认是300000 加快过期时间,并不能避免攻击,但是使得攻击更加困难,带来的影响是在网络中会大量的出现arp请求和回复,请不要在繁忙的网络上使用。 2). 建立静态arp表 这是一种很有效的方法,而且对系统影响不大。缺点是破坏了动态arp协议。可以建立如下的文件。 test.nsfocus.com 08:00:20:ba:a1:f2 user. nsfocus.com 08:00:20:ee:de:1f 使用arp –f filename加载进去,这样的arp映射将不会过期和被新的arp数据刷新,除非使用arp –d才能删除。但是一旦合法主机的网卡硬件地址改变,就必须手工刷新这个arp文件。这个方法,不适合于经常变动的网络环境。 3).禁止arp 可以通过ifconfig interface –arp 完全禁止arp,这样,网卡不会发送arp和接受arp包。但是使用前提是使用静态的arp表,如果不在apr表中的计算机,将不能通信。这个方法不适用与大多数网络环境,因为这增加了网络管理的成本。但是对小规模的安全网络来说,还是有效和可行的
最近我们也出现过这个问题,它是干扰你联系网关起作用的。我是这样解决的:1、下载arp补丁。2、用arp专杀杀毒。3、到dos下,arp -d,然后重启。注意,这些操作要在断网的前提下。
思科交换机怎么配置能达到防止同网段ARP攻击篇7
你好!主要做两种策略抄。第一种是接入层的交换机做端口上的策略。(0)将端口配置成接入模式端口(1)开启端口安全(2)限制端口MAC学习(3)静态绑定端口MAC地址。zhidao命令:switchport mode accessswitchport port-securityswitchport port-security violation protectswitchport port-security mac-address stickyswitchport port-security mac-address sticky 0021.9b6f.3b6c第二种在核心三层交换机做ARP绑定。在全局配置下:ARP 192.168.1.1 0021.9148.bc84 ARPA如上两种策略做好了。当某台电脑发出ARP攻击,那么只在会在自己电脑显示报错信息。
show arp直接就可以看到了。
思科防ARP欺骗,采用端口安全思科端口安全在违反安全规则后有三种处理模式,有两种解决方案三种处理模式:Shudown 这种方式保护能力最强,但是对于一些情况可能会为管理带来麻烦,如某台设备中了病毒,病毒间断性伪造源MAC在网络中发送报文。Protect 丢弃非法流量,不报警Restrict 丢弃非法流量,报警,对不上面会是交e799bee5baa6e59b9ee7ad9431333332613162换机CPU利用率上升但是不影响交换机的正常使用。推荐使用这种方式。两种解决方案: MAC+IP绑定 设置最大学习MAC数量一.MAC+IP绑定,此方法虽好,但是需要手工去登记各服务器MAC地址,太耗费人力。配置方法:1.进接口模式2.switchport port-security //开启端口安全,此命令必敲,否则后面的配置不生效3.switchport port-security mac-address aabb.ccdd.eeff //设置此端口下对应的MAC地址4.switchport port-security violation restrict //设置违规方式为丢弃并报警二.设置学习多少MAC地址后丢弃其他的ARP流量1.进接口模式2.switchport port-security //同上,必敲3.switchport port-security maximum 5 //设置最多学习5个MAC地址4.switchport port-security violation restrict //设置学习超过5个MAC地址后,将其他的ARP流量丢弃并报警。华为交换机设置防ARP欺骗1.进接口模式int e0/32.mac-address max-mac-count 5 //设置最多学习5个MAC地址
思科防ARP攻击,采用端口安全 思科端口安全在违反安全规则后有三种处理模式,有两种解决方案 三种处理模式: Shudown 这种方式保护能力最强,但是对于一些情况可能会为管理带来麻烦,如某台设备中了病毒,病毒间断性伪造源MAC在网络中发送报文。 Protect 丢弃非法流量,不报警 Restrict 丢弃非法流量,报警,对不上面会是交换机CPU利用率上升但是不影响交换机的e69da5e6ba903231313335323631343130323136353331333332613162正常使用。推荐使用这种方式。 两种解决方案: MAC+IP绑定 设置最大学习MAC数量 一.MAC+IP绑定,此方法虽好,但是需要手工去登记各服务器MAC地址,太耗费人力。 配置方法: 1.进接口模式 2.switchport port-security //开启端口安全,此命令必敲,否则后面的配置不生效 3.switchport port-security mac-address aabb.ccdd.eeff //设置此端口下对应的MAC地址 4.switchport port-security violation restrict //设置违规方式为丢弃并报警 二.设置学习多少MAC地址后丢弃其他的ARP流量 1.进接口模式 2.switchport port-security //同上,必敲 3.switchport port-security maximum 5 //设置最多学习5个MAC地址 4.switchport port-security violation restrict //设置学习超过5个MAC地址后,将其他的ARP流量丢弃并报警。
ARP欺骗的解决办法篇8
这个只要是你们安装了防火墙一般很难有ARP欺骗的。之所以网速慢,要问你你们自己平时是怎么使用的电脑,在线看电影,下载东西都是很占用网络的。还有只要你们公司安装防火墙就可以了,系统要经常更新病毒库,全盘杀毒 给宽带加速,一分钟学会释放电脑保留的20%宽带资源 1、单击“开始——运行”,输入gpedit.msc回车后即可打开“组策略对象编辑器”。 2、展开“计算机配置——管理模板——网络——QoS数据包计划程序”,双击右面设置栏中的“限制可保留带宽”,在打开的属性对话框中的“设置”选项卡中将“限制可保留带宽”设置为“已启用”,然后在下面展开的“带宽限制(%)”栏将带宽值“20”设置为“0”即可。 3、修改完之后,我们可以重新打开IE浏览器或者用BT或者迅雷下载文件,发现上网和下载的速度是不是明显提升了?一个字爽啊。 4、此项修改对XP和VISTA均有效。
1,华为交换机防ARP欺骗 配置命令篇9
提供思路:手动设置静态MAC地址绑定,就不会被ARP病毒影响了
有的产品有专用的arp防攻击命令,如果没有就用acl匹配arp然后限速吧
ARP欺骗应该怎么防御篇10
地址转换协议(ARP)是用来实现 IP 地址与本地网络认知的物理地址(以太网 MAC 地址)之间的映射。 反向地址转换协议(RARP)允许局域网的物理机器从网关服务器的 ARP 表或者缓存上请求其 IP 地址 IPV4 中, IP 地址长为 32 位。然而在以太局域网络中,设备地址长为 48 位。有一张表格,通常称为 ARP 缓冲(ARP cache),来维持每个 MAC 地址与其相应的 IP 地址之间的对应关系。 ARP 提供一种形成该对应关系的规则以及提供双向地址转换。 InARP 是 ARP 的补充协议以支持帧中继环境下的 ARP 。 网络管理员在局域网网关路由器里创建一个表以映射物理地址(MAC)和与其对应的 IP 地址。当设置一台新的机器时,其 RARP 客户机程序需要向路由器上的 RARP 服务器请求相应的 IP 地址。假设在路由表中已经设置了一个记录, RARP 服务器将会返回 IP 地址给机器,此机器就会存储起来以便日后使用。 ARP攻击的故障现象 当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。 防范措施 建立DHCP服务器 采取 IP跟MAC的绑定~~~ 第二就是网关机器关闭ARP动态刷新的过程 也就是不用动态的路由 用静态的路由表`` 网关监听网络安全 在网关上运行个 网络剪刀手 或者 网络执法官吧... 其实ARP攻击真的是很难解决的...主要还是个人的人品问题 网络安全 网络稳定是大家一起维护的...
360里有个arp防火墙
加360arp防火墙(没自带,要载)或金山网镖禁用IE的文件下载建议进入安全模式杀软全盘查杀最好是关闭系统还原,方法是“右击我的电脑——属性——系统还原——在所有驱动器上关闭系统还原”拔掉网线
要是局域网有人中毒(比如机器狗)之类的,只有把病毒杀掉才能彻底解决。如果是你的ip地址与别人的相同,你把自己的ip地址改改就好了。
使用360ARP防火墙
第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。防范:1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。 2、设置静态的MAC-->IP对应表,不要让主机刷新你设定好的转换表。 3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。 4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。 5、使用"proxy"代理IP的传输。 6、使用硬件屏蔽主机。设置好你的路由,确保IP地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。 7、管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。 8、管理员定期轮询,检查主机上的ARP缓存。 9、使用防火墙连续监控网络。 通过以上的方法可以大大降低你受ARP攻击的可能。
路由器如何设置可以防止局域网内的ARP攻击篇11
1、清空ARP缓存: 大家可能都曾经有过使用ARP的指令法解决过ARP欺骗问题,该方法是针对ARP欺骗原理进行解决的。一般来说ARP欺骗都是通过发送虚假的MAC地址与IP地址的对应ARP数据包来迷惑网络设备,用虚假的或错误的MAC地址与IP地址对应关系取代正确的对应关系。若是一些初级的ARP欺骗,可以通过ARP的指令来清空本机的ARP缓存对应关系,让网络设备从网络中重新获得正确的对应关系,具体解决过程如下: 第一步:通过点击桌面上任务栏的“开始”->“运行”,然后输入cmd后回车,进入cmd(黑色背景)命令行模式; 第二步:在命令行模式下输入arp -a命令来查看当前本机储存在本地系统ARP缓存中IP和MAC对应关系的信息; 第三步:使用arp -d命令,将储存在本机系统中的ARP缓存信息清空,这样错误的ARP缓存信息就被删除了,本机将重新从网络中获得正确的ARP信息,达到局域网机器间互访和正常上网的目的。如果是遇到使用ARP欺骗工具来进行攻击的情况,使用上述的方法完全可以解决。但如果是感染ARP欺骗病毒,病毒每隔一段时间自动发送ARP欺骗数据包,这时使用清空ARP缓存的方法将无能为力了。下面将接收另外一种,可以解决感染ARP欺骗病毒的方法。 2、指定ARP对应关系:其实该方法就是强制指定ARP对应关系。由于绝大部分ARP欺骗病毒都是针对网关MAC地址进行攻击的,使本机上ARP缓存中存储的网关设备的信息出现紊乱,这样当机器要上网发送数据包给网关时就会因为地址错误而失败,造成计算机无法上网。 第一步:假设网关地址的MAC信息为00-14-78-a7-77-5c,对应的IP地址为192.168.2.1。指定ARP对应关系就是指这些地址。在感染了病毒的机器上,点击桌面->任务栏的“开始”->“运行”,输入cmd后回车,进入cmd命令行模式; 第二步:使用arp -s命令来添加一条ARP地址对应关系, 例如arp -s 192.168.2.1 00-14-78-a7-77-5c命令。这样就将网关地址的IP与正确的MAC地址绑定好了,本机网络连接将恢复正常了; 第三步:因为每次重新启动计算机的时候,ARP缓存信息都会被全部清除。所以应该把这个ARP静态地址添加指令写到一个批处理文件(例如:bat)中,然后将这个文件放到系统的启动项中。当程序随系统的启动而加载,就可以免除因为ARP静态映射信息丢失的困扰了。 3、添加路由信息应对ARP欺骗: 一般的ARP欺骗都是针对网关的,那么是否可以通过给本机添加路由来解决此问题呢。只要添加了路由,那么上网时都通过此路由出去即可,自然也不会被ARP欺骗数据包干扰了。第一步:先通过点击桌面上任务栏的“开始”->“运行”,然后输入cmd后回车,进入cmd(黑色背景)命令行模式; 第二步:手动添加路由,详细的命令如下:删除默认的路由: route delete 0.0.0.0;添加路由: route add -p 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1;确认修改: route change此方法对网关固定的情况比较适合,如果将来更改了网关,那么就需要更改所有的客户端的路由配置了。 4、安装杀毒软件:安装杀毒软件并及时升级,另外建议有条件的企业可以使用网络版的防病毒软件
系统说出现ARP欺骗怎么解决篇12
从影响网络连接通畅的方式来看,ARP欺骗有两种攻击可能,一种是对路由器ARP表的欺骗;另一种是对内网电脑ARP表的欺骗,当然也可能两种攻击同时进行。不管理怎么样,欺骗发送后,电脑和路由器之间发送的数据可能就被送到错误的MAC地址上,从表面上来看,就是“上不了网”,“访问不了路由器”,“路由器死机了”,因为一重启路由器,ARP表会重建,如果ARP攻击不是一直存在,就会表现为网络正常,所以网吧业主会更加确定是路由器“死机”了,而不会想到其他原因。为此,宽带路由器背了不少“黑锅”,但实际上应该ARP协议本身的问题。在路由器上绑定局域网内所有IP地址和mac表;在网内各PC上绑定网关的MAC即为简单的解决方法;采用双向绑定的方法解决并且防止ARP欺骗。 1、在PC上绑定安全网关的IP和MAC地址: 1)首先,获得安全网关的内网的MAC地址(例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa)。 2)编写一个批处理文件rarp.bat内容如下: @echo off arp -d arp -s 192.168.16.254 00-22-aa-00-22-aa 将文件中的网关IP地址和MAC地址更改为实际使用的网关IP地址和MAC地址即可。 将这个批处理软件拖到“windowsa开始a程序a启动”中。 3)如果是网吧,可以利用收费软件服务端程序(pubwin或者万象都可以)发送批处理文件rarp.bat到所有客户机的启动目录。Windows2000的默认启动目录为“C:\Documents and Settings\All Users「开始」菜单程序启动”。 2、在安全网关上绑定用户主机的IP和MAC地址: 在WebUIa高级配置a用户管理中将局域网每台主机均作绑定。 在全部是Cisco交换网络里,可以通过帮定每台设备的ip和mac地址可以解决。但是这样做比较麻烦,可以用思科 Dynamic ARP Inspection 机制解决。 防范方法 思科 Dynamic ARP Inspection (DAI)在交换机上提供IP地址和MAC地址的绑定, 并动态建立绑定关系。DAI 以 DHCP Snooping绑定表为基础,对于没有使用DHCP的服务器个别机器可以采用静态添加ARP access-list实现。DAI配置针对VLAN,对于同一VLAN内的接口可以开启DAI也可以关闭。通过DAI可以控制某个端口的ARP请求报文数量。通过这些技术可以防范“中间人”攻击。 哎 没有什么好方法,还是只能查找再杀毒,用长角牛网络执法官或者antiARP sniffer 都行
在这之前先要问问会不会写BAT要是会的话就是以下面为列@echo off arp -d arp -s 192.168.16.1 00-22-aa-00-22-aa------------192.168.16.1这是路由地址,00-22-aa-00-22-aa这是路由接口的MAX地址,所有MAX都是不一样的,有条件的话可以在路在邦一次,双邦这样就安全了。。。。
装360ARP防火墙 在360.com下载
简单ARP防火墙,360ARP防火墙,金山ARP防火墙
arp防火墙 和360安全卫士arp防护可以防御
如果是局域网建议安装防火墙 如果你用的是瑞星全功能那只需要开启瑞星的防火墙
如何防止路由外网的ARP地址欺骗篇13
一、理论前提 本着“不冤枉好人,不放过一个坏人的原则”,先说说我的一些想法和理论依据。首先,大家肯定发送ARP欺骗包肯定是一个恶毒的程序自动发送的,正常的TCP/IP网络是不会有这样的错误包发送的(板砖扔了过来啊,废话!)。这就假设,如果犯罪嫌疑人没有启动这个破坏程序的时候,网络环境是正常的,或者说网络的ARP环境是正常的,如果我们能在犯罪嫌疑人启动这个犯罪程序的第一时间,一开始就发现了他的犯罪活动,那么就是人赃俱在,不可抵赖了,因为刚才提到,前面网络正常的时候证据是可信和可依靠的。好,接下来我们谈论如何在第一时间发现他的犯罪活动。 ARP欺骗的原理如下: 假设这样一个网络,一个Hub接了3台机器 HostA HostB HostC 其中 A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA B的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB C的地址为:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC 正常情况下 C:\arp -a Interface: 192.168.10.1 on Interface 0x1000003 Internet Address Physical Address Type 192.168.10.3 CC-CC-CC-CC-CC-CC dynamic 现在假设HostB开始了罪恶的ARP欺骗: B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A可不知道被伪造了)。而且A不知道其实是从B发送过来的,A这里只有192.168.10.3(C的IP地址)和无效的DD-DD-DD-DD-DD-DD mac地址,没有和犯罪分子B相关的证据,哈哈,这样犯罪分子岂不乐死了。 现在A机器的ARP缓存更新了: C:\>arp -a Interface: 192.168.10.1 on Interface 0x1000003 Internet Address Physical Address Type 192.168.10.3 DD-DD-DD-DD-DD-DD dynamic 这可不是小事。局域网的网络流通可不是根据IP地址进行,而是按照MAC地址进行传输。现在192.168.10.3的MAC地址在A上被改变成一个本不存在的MAC地址。现在A开始Ping 192.168.10.3,网卡递交的MAC地址是DD-DD-DD-DD-DD-DD,结果是什么呢?网络不通,A根本不能Ping通C!! 所以,局域网中一台机器,反复向其他机器,特别是向网关,发送这样无效假冒的ARP应答信息包,NND,严重的网络堵塞就开始了!网吧管理员的噩梦开始了。我的目标和任务,就是第一时间,抓住他。不过从刚才的表述好像犯罪分子完美的利用了以太网的缺陷,掩盖了自己的罪行。但其实,以上方法也有留下了蛛丝马迹。尽管,ARP数据包没有留下HostB的地址,但是,承载这个ARP包的ethernet帧却包含了HostB的源地址。而且,正常情况下ethernet数据帧中,帧头中的MAC源地址/目标地址应该和帧数据包中ARP信息配对,这样的ARP包才算是正确的。如果不正确,肯定是假冒的包,可以提醒!但如果匹配的话,也不一定代表正确,说不定伪造者也考虑到了这一步,而伪造出符合格式要求,但内容假冒的ARP数据包。不过这样也没关系,只要网关这里拥有本网段所有MAC地址的网卡数据库,如果和Mac数据库中数据不匹配也是假冒的ARP数据包。也能提醒犯罪分子动手了。 二、防范措施 1.建立DHCP服务器(建议建在网关上,因为DHCP不占用多少CPU,而且ARP欺骗攻击一般总是先攻击网关,我们就是要让他先攻击网关,因为网关这里有监控程序的,网关地址建议选择192.168.10.2 ,把192.168.10.1留空,如果犯罪程序愚蠢的话让他去攻击空地址吧),另外所有客户机的IP地址及其相关主机信息,只能由网关这里取得,网关这里开通DHCP服务,但是要给每个网卡,绑定固定唯一IP地址。一定要保持网内的机器IP/MAC一一对应的关系。这样客户机虽然是DHCP取地址,但每次开机的IP地址都是一样的。 2.建立MAC数据库,把网吧内所有网卡的MAC地址记录下来,每个MAC和IP、地理位置统统装入数据库,以便及时查询备案。 3.网关机器关闭ARP动态刷新的过程,使用静态路邮,这样的话,即使犯罪嫌疑人使用ARP欺骗攻击网关的话,这样对网关也是没有用的,确保主机安全。 网关建立静态IP/MAC捆绑的方法是:建立/etc/ethers文件,其中包含正确的IP/MAC对应关系,格式如下: 192.168.2.32 08:00:4E:B0:24:47 然后再/etc/rc.d/rc.local最后添加: arp -f 生效即可 4.网关监听网络安全。网关上面使用TCPDUMP程序截取每个ARP程序包,弄一个脚本分析软件分析这些ARP协议。ARP欺骗攻击的包一般有以下两个特点,满足之一可视为攻击包报警:第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配。或者,ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内,或者与自己网络MAC数据库 MAC/IP 不匹配。这些统统第一时间报警,查这些数据包(以太网数据包)的源地址(也有可能伪造),就大致知道那台机器在发起攻击了。 5.偷偷摸摸的走到那台机器,看看使用人是否故意,还是被任放了什么木马程序陷害的。如果后者,不声不响的找个借口支开他,拔掉网线(不关机,特别要看看Win98里的计划任务),看看机器的当前使用记录和运行情况,确定是否是在攻击。