SiS001! Board - [第一会所关闭注册]

标题: [求助] 如何防止局域网内arp攻击啊 [打印本页]

作者: groupboy 时间: 2011-12-24 20:01 标题: 如何防止局域网内arp攻击啊

近期，单位内电脑常出现莫名其妙的断网现象，xp系统收到影响，而win7系统就没问题，似乎和arp攻击有关，请教各位高手，有什么办法防止arp攻击吗？

作者: samsung88 时间: 2011-12-24 20:05

绑定单机MAC！开始运行 CMD 出现黑色提示框输入ipconfig/all 就可以看到单机的mac 在路由器上选择MAC绑定输入查看到的单机mac地址！点击绑定就可以了！

作者: rouzhu 时间: 2011-12-24 20:49

最好的方法是在路由绑定IP和MAC地址,设置静态IP.当然楼上的方法也不错.

作者: weisuo000 时间: 2011-12-24 20:50

你看看路由列表里面有没有什么异常，可以通过在CMD里输入route print来查看
如果怀疑局域网里有arp攻击，可以尝试装个360卫士，打开arp防火墙，如果断网现象没了，那就很有可能是网里有电脑中arp病毒了

作者: zczc1989 时间: 2011-12-24 21:04

一般arp攻击应该是靠端口的吧可是试试绑定mac地址，设置静态ip，也可以杀杀毒，我感觉公司的内网没必要去攻击，应该是自己机器的问题

作者: more84 时间: 2011-12-24 22:25

最好的办法是下载ARP防火墙这个软件使用，我上次用的是6.0.2版本的，要记得是彩影软件出的，不要下载到木马。

下载后设置一下，设置为合作模式就可以无限期使用了，他会把百度设为你的首页，这个还能接受。

最好的一点是ARP防火墙能看到谁在攻击你，采用了什么软件来攻击你的，方便你进行下一步活动。

另外，在公司内网受到攻击时要想一想是不是自己做的过分了。

作者: sistest035 时间: 2011-12-24 23:32

比较简单的方法是下个ARP防火墙，360就有自带的。同时网内每台计算机都要装杀毒软件，建议装网络版（如诺顿企业版），可以集中升级和管理。
复杂的方法就是在交换机里把MAC捆绑了，建议可以买H3C的交换机，有图形配置界面，使用比较方便，同时运行稳定。

作者: 6526184 时间: 2011-12-24 23:37

装个360软件。360有个功能就是防止ARP攻击，效果还不错~

作者: ice840622 时间: 2011-12-24 23:44 标题: 回复 1楼的帖子

单位局域网也有人玩ARP攻击？少见
楼上几位已经介绍了不少防御措施，我也不赘述了。
不过可以告诉你一点寻找攻击源的办法：
局域网发生ARP攻击时，查看交换机的动态ARP表中的内容，确定攻击源的MAC地址；也可以在局域居于网中部署Sniffer工具，定位ARP攻击源的MAC。
也可以直接Ping网关IP，完成Ping后，用ARP –a查看网关IP对应的MAC地址，此MAC地址应该为欺骗的,使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址，如果有”ARP攻击”在做怪，可以找到装有ARP攻击的PC的IP、机器名和MAC地址。
命令：“nbtscan -r 192.168.16.0/24”（搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段，即192.168.16.25-192.168.16.137。输出结果第一列是IP地址，最后一列是MAC地址。　
NBTSCAN的使用范例：
假设查找一台MAC地址为“000d870d585f”的病毒主机。
1）将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。
2）在Windows开始—运行—打开，输入cmd（windows98输入“command”），在出现的DOS窗口中输入：C: btscan -r 192.168.16.1/24（这里需要根据用户实际网段输入），回车。
3）通过查询IP–MAC对应表，查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。
通过上述方法，就能够快速的找到病毒源，确认其MAC——〉机器名和IP地址。
然后？你看着办吧，是找单位系统管理员还是直接找人家单挑我就不推荐了，呵呵。

作者: zcllhy 时间: 2011-12-25 00:54

百度搜索“ARP防火墙”，下一个安装即可。或者用360安全卫士自带的。

作者: chengbo1986 时间: 2011-12-25 01:34

用360里面的防火墙就行了，位置在360的功能大全-->360木马防火墙把“局域网防护（arp）”开启就行了。

作者: 一路向前 时间: 2011-12-25 01:41

可以使用QQ电脑管家，工具箱里面有个APR防火墙，可以有效防止APR攻击。

作者: 東來紫氣 时间: 2011-12-25 10:16

其他的防火墙我差不多都用过了个人感觉还是彩影的好点 360 金山什么的防不住skiller 但彩影的就没问题了固定MAC好像对skiller类的攻击不管用楼主可以上网上看看skiller的攻击介绍它的攻击比ARP攻击更犀利不好防的

作者: E680g 时间: 2011-12-25 11:34

防ARP，首先你要大致了解ARP欺骗的原理
如果是内网发包，大部分的ARP墙都能挡下来
如果是交换机欺骗，那么所有的ARP墙都会失效！
你首先得确定到底是不是ARP攻击。既然是单位，那么大家打开天窗说亮话。
方法：
1.安装ARP墙，目前有用的360卫士V8.3或者8.5BETA，彩影ARP，ARP地球人防火墙加强版，金山贝壳（xp容易蓝屏）。建议用360的，他能追踪对方的MAC和IP。那么当你发现上不了的时候，看看有没有攻击，直接追过去。如果你又经验，建议用彩影，因为彩影是做得最好的墙，监控相当给力，不过缺点是容易造成误报。比如两台不一样的路由，接了两台电脑并同时装了彩影，那么就会发生误报。这是我亲自测试过的。
2.确定有ARP攻击后，得想办法解决，最好是上报主管或者是找有关部门，因为这东西会恶性循环，你在背地里用我也用，最后两败俱伤，都上不了。伤敌一百，伤兵一千。（如果是你主管用，那没办法了，看第三部）
3.只要是局域网发包，或者是防御发包，都会造成网络阻塞，或多或少视实际情况。如果是你上司在用，出于人情世故，你只能防。怎么防，最好的方法不是攻击，不是防御，而是隐身！你隐身了，他找不到你，还怎么攻击你？推荐用360卫士局域网防护，开启隐身模式！

记住，如果有攻击，一定要光明正大的找别人谈，这是最好的解决办法

作者: yanran1512 时间: 2011-12-25 11:48

简单。。。360安全卫士里就ARP防火墙，打开就好

作者: gzh4 时间: 2011-12-25 14:37

自己安装ARP杀毒的，在CMD 下输入arp -a 可以查有没有中毒

作者: 亵亵 时间: 2011-12-25 14:56

因为有人用了p2p终结者之类的东西，最简单的方法，把360的arp防火墙开了就好了

作者: easyboys 时间: 2011-12-25 19:35

安装360安全卫士，并且开通apr防火墙就可以了，很好用。

作者: mumudd 时间: 2011-12-25 21:55

推荐用360安全卫士里的，点右键有木马防火墙，点开后有个arp防火墙，点击开启即可。当然，最好的办法是找到中毒的那台机器，如果单位电脑不是很多的话，可以把交换机的所有线路拔掉，只留一根主线，然后一根一根的插，如果第一台电脑接入后没问题，则在该机器上命令提示符里ping网关，然后一台台接入交换机，何时出现网络超时，就说明是那台机器中毒了，隔离后重装系统，可以彻底解决，当然如果机器太多就不大好办了，只能一部分一部分的试。

[ 本帖最后由 mumudd 于 2011-12-25 21:59 编辑 ]

作者: cjchwb 时间: 2011-12-26 00:22

安装最新版的360安全卫士，然后启动局域网防护，记住要手动绑定正确的网关，不要自动探测的，因为自动探测往往攻击欺骗！

作者: ffdddsg 时间: 2011-12-28 03:27

金山有一款ARP防火墙，挺管用的，，，你去毒霸的官网看看，系列产品都挺好用还免费的。。

作者: ARTE 时间: 2011-12-28 07:01

一般情况下是装个APR防火墙，你也可以装个网络执法官来反制他！

作者: czfengyuqi 时间: 2011-12-28 13:09

换个带ARP攻击防护的路由器或者安全网关，设置一下就可以了

作者: coodoo99 时间: 2011-12-28 13:58

有两种可能一种是内网的人攻击的，另一种是内网的某人中了局域网病毒，病毒自动攻击非该局域网人为
解决办法：
其实这个也没有什么好的办法，arp攻击防不胜防，楼主只能这样，下个贝壳arp防火墙，然后如果局域网内存在攻击行为它会自动记录攻击者的ip,楼主顺藤去找到该ip的机主，看看他现在的动作。
ARP攻击，是针对以太网地址解析协议（ARP）的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包，且可让网络上特定计算机或所有计算机无法正常连接。你装个360安全卫士吧，360的木马防护墙的ARP防火墙很给力，能有效的阻止ARP攻击，这个默认是关闭的，你自行开启下，就行了，很管用的ARP防火墙。

作者: 恋恋小水 时间: 2011-12-28 18:48

我以前处理过类似的情况本地国土局11个分局都中了类似的病毒总是不能上网
我的解决办法是先断网下载最新的360杀毒和安全卫士先开启局域网ARP防护然后所有电脑杀毒发现中毒严重的就单独做系统备份数据的时候也要保证数据的安全然后再倒回

作者: slash123452 时间: 2011-12-28 22:43

一般的防火墙都集成ARP防火墙，比如天网防火墙，
另外可以单独下载ARP专用防火墙，
如果是单位，可以换硬件支持防ARP的交换机，这个绝对非常管用。
深受ARP其害的飘过，希望对楼主有用。

作者: weipu2010 时间: 2011-12-28 23:09

360就有ARP防火墙，而且很实用，很有效果

作者: kammyzi 时间: 2012-1-2 14:54

网上有那种防止arp攻击的软件的，不过貌似360有自带的，可以在设置里调。

作者: wbli2003 时间: 2012-1-2 15:50

可以装一个arp防火墙试试，还比较好用，一直用的，能防御arp攻击

欢迎光临 SiS001! Board - [第一会所关闭注册] (http://68.168.16.158/bbs3/)