首 页 政府网络系统建设 校园网络系统建设 企业网络系统建设 无线网络解决方案 医疗网络系统方案 网吧方案 系统集成方案 客户见证
锐捷网络系列产品
 锐捷交换机系列产品
 锐捷路由器系列产品
 锐捷网络出口与安全系列产品
 锐捷网络无线系列产品
华为网络系列产品
 华为交换机系列产品
 华为路由器系列产品
 华为无线系列产品
 华为网络安全系列产品
迈普网络系列产品
 迈普交换机系列产品
 迈普路由器系列产品
 迈普防火墙系列产品
综合布线系列产品
 吉尔格勒系列产品
 美国百盛系列产品
 网普机柜系列产品
 大唐电信系列产品
POE供电交换机
 IP-COM 供电交换机
 TG-NET POE交换机
 华为供电交换机
 锐捷POE供电交换机
技术知识
首 页 -> 技术知识 -> 艾泰NE1200|艾泰上网行为管理路由器|艾泰网络三种方法找出内网的ARP攻击源
艾泰NE1200|艾泰上网行为管理路由器|艾泰网络三种方法找出内网的ARP攻击源
发布者:admin     浏览次数:1151     发布时间:2013/7/17

用户咨询:

    内网有电脑中了ARP病毒,但是网络拓扑比较复杂、电脑数量较多,排查起来很困难。有什么方法可以找出ARP攻击源?艾泰宽带路由器艾泰企业路由器艾泰上网行为管理路由器艾泰NE1200 智尊™ 高性能网关路由器

排查方法:

    1.使用Sniffer抓包。在网络内任意一台主机上运行抓包软件,捕获所有到达本机的数据包。如果发现有某个IP不断发送请求包,那么这台电脑一般就是病毒源。

原理:无论何种ARP病毒变种,行为方式有两种,一是欺骗网关,二是欺骗网内的所有主机。最终的结果是,在网关的ARP缓存表中,网内所有活动主机的MAC地址均为中毒主机的MAC地址;网内所有主机的ARP缓存表中,网关的MAC地址也成为中毒主机的MAC地址。前者保证了从网关到网内主机的数据包被发到中毒主机,后者相反,使得主机发往网关的数据包均发送到中毒主机。

    2.使用arp -a命令。任意选两台不能上网的主机,在DOS命令窗口下运行arp -a命令。例如在结果中,两台电脑除了网关的IP,MAC地址对应项,都包含了192.168.0.186的这个IP,则可以断定192.168.0.186这台主机就是病毒源。

    原理:一般情况下,网内的主机只和网关通信。正常情况下,一台主机的ARP缓存中应该只有网关的MAC地址。如果有其他主机的MAC地址,说明本地主机和这台主机最后有过数据通信发生。如果某台主机(例如上面的192.168.0.186)既不是网关也不是服务器,但和网内的其他主机都有通信活动,且此时又是ARP病毒发作时期,那么,病毒源也就是它了。

    3.使用tracert命令。在任意一台受影响的主机上,在DOS命令窗口下运行如下命令:tracert 61.135.179.148。假定设置的缺省网关为10.8.6.1,在跟踪一个外网地址时,第一跳却是10.8.6.186,那么,10.8.6.186就是病毒源。

    原理:中毒主机在受影响主机和网关之间,扮演了“中间人”的角色。所有本应该到达网关的数据包,由于错误的MAC地址,均被发到了中毒主机。此时,中毒主机越俎代庖,起了缺省网关的作用。

总结:

    使用以上方法找出ARP攻击源后,先将中病毒的电脑杀毒,然后可以使用ARP双向绑定可以有效预防ARP攻击。

    方法:在路由器上扫描绑定所有电脑的IP、MAC地址(REOS和REOS SE设备都可实现):

ReOS的设备可以直接在“网络安全→IP/MAC绑定”里导出“ARP绑定脚本文件”放到内网每个电脑的启动项里。

    ReOS-SE设备可以在电脑上使用记事本编辑一个BAT文件,内容是“arp.exe -d 2>nul&arp.exe –s 网关IP 网关MAC”同样放到电脑启动项里。

河南金宏达网络科技有限公司河南艾泰独家代理商,免费热线400-0377-771,其业务涵盖到全省各地市、乃至全国的业务合作伙伴。主要供应艾泰科技系列产品艾泰N800 智尊™ 高性能网关路由器艾泰N1800 智尊™ 高性能网关路由器艾泰NE1200 智尊™ 高性能网关路由器艾泰NE2200 智尊™ 高性能网关路由器艾泰NE4000 智尊™ 高性能网关路由器艾泰NE6000 智尊™ 高性能网关路由器

金宏达网络提供专业的IT服务,包括:综合布线、弱电工程、机房建设、网络维护、安防监控以及各种网络产品代理,金宏达网络代理的网络产品包括:锐捷、华为、思科、TG-NET、艾泰、安达通、网康、天泰等各大品牌高端产品。

项目工程网站:http://www.jhdwl.cn

 400免费热线:400-0377-771
 刘 经理:15838070537
 地   址:郑州市金水区文化路东风路数码港17楼

 
公司简介    |     企业文化    |     售后服务    |     人才招聘    |     联系我们    |     网站地图
联系人:刘经理 电话:037169136351 手机:132 5339 2261 地址:郑州市金水区文化路东风路数码港大厦17楼
河南金宏达信息技术有限公司 版权所有 豫ICP备12022063号 技术支持:新誉网络
备案号:豫ICP备11006044号-2
提供:企业网络系统建设, 无线网络解决方案, 校园网络系统建设, 医疗网络系统方案, 网络工程设计方案, 欢迎新老客户咨询
北京私家侦探上海私家侦探深圳私家侦探广州私家侦探株洲私家侦探湘潭私家侦探岳阳私家侦探常德私家侦探衡阳私家侦探益阳私家侦探郴州私家侦探永州私家侦探怀化私家侦探邵阳私家侦探湖州私家侦探舟山私家侦探丽水私家侦探义乌私家侦探衢州私家侦探盐城私家侦探镇江私家侦探洛阳私家侦探芜湖私家侦探安庆私家侦探宜昌私家侦探大庆私家侦探山东私家侦探广东私家侦探湖南私家侦探浙江私家侦探江苏私家侦探湖北私家侦探福建私家侦探安徽私家侦探 咸阳私家侦探南宁私家侦探贵阳私家侦探合肥私家侦探长沙私家侦探昆明私家侦探佛山私家侦探珠海私家侦探中山私家侦探长沙私家侦探烟台私家侦探台州私家侦探无锡私家侦探常州私家侦探连云港私家侦探日照私家侦探唐山私家侦探东营私家侦探扬州私家侦探金华私家侦探泰州私家侦探潍坊私家侦探南通私家侦探太原私家侦探济南私家侦探临沂私家侦探嘉兴私家侦探绍兴私家侦探泉州私家侦探长春私家侦探哈尔滨私家侦探沈阳私家侦探东莞私家侦探南昌私家侦探徐州私家侦探淄博私家侦探 成都物流公司