什么是ARP攻击?受到ARP攻击该如何处理?
什么是ARP攻击
ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。 基于ARP协议的这一工作特性,黑客向对方计算机不断发送有欺诈性质的ARP数据包,数据包内包含有与当前设备重复的Mac地址,使对方在回应报文时,由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下,受到ARP攻击的计算机会出现两种现象:
1.不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。
2.计算机不能正常上网,出现网络中断的症状。
因为这种攻击是利用ARP请求报文进行“欺骗”的,所以防火墙会误以为是正常的请求数据包,不予拦截。因此普通的防火墙很难抵挡这种攻击。
ARP攻击的处理
ARP病毒问题的处理说明:
故障现象:机器以前可正常上网的,突然出现可认证,不能上网的现象(无法ping通网关),重启机器或在MSDOS窗口下运行命令ARP -d后,又可恢复上网一段时间。
故障原因:这是APR病毒欺骗攻击造成的。 引起问题的原因一般是由游戏外挂携带的ARP木马攻击。当在局域网内使用上述外挂时,外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上,向局域网内大量发送ARP包,从而致使同一网段地址内的其它机器误将其作为网关,这就是为什么掉线时内网是互通的,计算机却不能上网的原因。
解决方法1:(推荐使用)
安装ARP防护软件如ARP防火墙1.1或360安全卫士(该软件中包含ARP防火墙)
AntiARP防火墙4.2.1(新版本,测试中) 下载 安装指南
AntiARP防火墙4.1.1(运行比较稳定) 下载 安装指南
安装注意事项:由于是校园网请严格按照指南设置,以免被网管误认为成ARP攻击者而被封掉端口
360安全卫士(校园网)3.6 下载 安装指南
解决方法2:
步骤一. 在能上网时,进入MS-DOS窗口,输入命令:arp –a 查看网关IP对应的正确MAC地址,将其记录下来。 注:如果已经不能上网,则先运行一次命令arp –d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp –a。
步骤二. 如果已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令: arp –s 网关IP 网关MAC 例如:假设计算机所处网段的网关为172.16.35.1,本机地址为172.16.35.119在计算机上运行arp –a后输出如下:
C:\Documents and Settings>arp -a
Interface: 172.16.35.119 --- 0x2
Internet Address Physical Address Type 172.16.35.1
172.16.35.1 00-e0-fc-4e-a9-47 dynamic
其中00-e0-fc-4e-a9-47就是网关172.16.35.1对应的MAC地址,类型是动态(dynamic)的,因此是可被改变。
被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC,如果大家希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找做准备。
手工绑定的命令为:
C:\Documents and Settings>arp –s 172.16.35.1 00-e0-fc-4e-a9-47 绑定完,可再用arp –a查看arp缓存,
C:\Documents and Settings>arp -a
Interface: 172.16.35.119 --- 0x2
Internet Address Physical Address Type
172.16.35.1 00-e0-fc-4e-a9-47 static
这时,类型变为静态(static),就不会再受攻击影响了。但是,需要说明的是,手工绑定在计算机关机重开机后就会失效,需要再绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,令其杀毒,方可解决。
找出病毒计算机的方法:
如果已有病毒计算机的MAC地址,可使用NBTSCAN软件找出网段内与该MAC地址对应的IP,即病毒计算机的IP地址,然后可报告校网络中心对其进行查封(直接上报MAC地址也可以)。
