ARP攻擊之導致瞬間掉線和大面積斷網的罪魁禍首。
在局域網中,通過ARP協議來進行IP地址(第三層)與第二層物理地址(即MAC地址)的相互轉換。網吧中的一些設備如路由器、裝有TCP/IP協議的電腦等都提供ARP緩存表,以提高通信速度。目前很多帶有ARP欺騙功能的攻擊軟件都是利用ARP協議的這個特點來對網絡設備進行攻擊,通過偽造的MAC與局域網內的IP地址對應,並修改路由器或電腦的ARP緩存表,使得具有合法MAC的電腦無法與IP對應,從而無法通過路由器上網。
在掉線重啟路由器後,ARP緩存表會刷新,網絡會在短時間內恢復正常,待ARP攻擊啟動後,又出現斷網現象,如此反復,很容易被誤斷為路由器“死機”,從而使得網吧網管員無法及時采取行動迅速恢復網吧的正常營運。說白一點,就是你要訪問網絡的時候需要通過一個服務器,但是中毒的主機,就會在中間截住服務器發給你的數據包,並在中間加上他的內容以後再發給你。這樣,你要看的網頁就會多出來一段代碼。
如果是你是單機上網,那麼殺一下毒就可以了。如果是局域網上網,那麼下面的就是解決辦法:
路由器端,將客戶機的MAC地址和IP地址一一綁定,沒有被綁定的電腦就上不了網,因為中毒的主機要想用ARP攻擊,就得不斷變化自己的MAC地址來截取和發送數據包。做完這一步基本上已經能解決問題了。下面這轉載的這個問題的一些延升。
另外,在局域網中,一般只有兩類設備帶有ARP緩存,一類是路由器,另一類是上網電腦,也只有這兩類設備最容易受到ARP攻擊。如同路由器受到ARP攻擊時數據包不能到達電腦一樣,上網電腦受到ARP攻擊時,數據包也不會發送到路由器上,而是發送到一個錯誤的地方,當然也就無法通過路由器上網了。因此,網吧要對付ARP攻擊,除對路由器進行IP與MAC綁定以外,在電腦上進行IP與MAC綁定也必不可少。
ARP攻擊之路由器進行的IP與MAC綁定
對路由器進行的IP與MAC綁定前面已經介紹過,在電腦上進行IP與MAC綁定該如何操作呢?其實微軟的操作系統中都帶有ARP這一命令行程序,在電腦的Windows命令行界面中輸入“arp -s +路由器IP如192.168.1.1+路由器LAN口MAC地址”就可以將的路由器IP和MAC綁定到電腦的ARP表中。 若通過Windows命令行界面中輸入ARP命令來綁定IP與MAC,電腦每次在重啟後都需要先輸入ARP命令,還有更簡單的辦法,可以讓電腦每次啟動時,自動將路由器的IP與MAC綁定到電腦的ARP表中:
第一步:新建一個批處理文件如static_arp.bat,注意後綴名為bat。編輯它,在裡面加入ARP命令,並保存。
要得到路由器的LAN口MAC地址,可以查看路由器的界面中的“LAN運行狀態”。
第二步:將建立好的批處理文件static_arp.bat拷貝到系統的啟動目錄中。電腦每次啟動時將自動運行該文件,自動綁定IP與MAC。
第三步:將static_arp.bat文件拷貝到網吧內所有電腦的系統啟動目錄中。
至此,網吧中的所有電腦都將路由器的IP與MAC綁定到ARP表中,無需再擔心因ARP攻擊而無法上網。
特別提示:當使用了ARP防范功能(IP和MAC綁定功能)後,電腦應使用固定IP,而不要使用動態IP(通過DHCP自動獲取IP),因為若使用動態IP,電腦每次啟動時所獲得的IP可能不一樣,從而可能造成與路由器中保存的IP與MAC綁定條目不一致,這樣電腦將無法上網。
不過上面的是治標不治本的方法。要治本的話,就要去機房看看了,看交換機上哪能個電腦的流量最大,燈狂閃,把他撥了,再上網試,這時候如果發現所有電腦都上不了網了,或是連路由器也PING不通了,那麼恭喜你,你找到這個主機了,把路由器重啟一下,再去專門整那個中毒的機器吧,沒把病毒清理干淨前,不要讓這個機器接入局域網。
ARP攻擊和浏覽器挾持的解決辦法就為大家介紹完了,希望大家已經掌握了。