局域网ARP攻击,聚生网管限速解决方案

ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。(其大部分网络限速软件都是利用这个原理实现限速功能。)

ARP攻击判断

如何判断网络里面发生了ARP攻击呢?

当网络处于正常的情况,在内网任意一台电脑的DOS界面运行 arp –a 这个命令,记录下网络处于正常情况下LAN的MAC地址,可以看到类似下图的信息:

20130310083508

可以看到,任意一台电脑arp –a 的回显信息中,都有一条对应网关路由器的IP地址和MAC地址的条目,可以看到其中的Physical Address就是网络处于正常情况下的LAN口MAC地址00-0a-eb-b9-5c-ce ,当发生ARP攻击的时候,这个Physical Address就变为另一个MAC地址了,而不是00-0a-eb-b9-5c-ce。

所以说,判断是否发生ARP攻击的办法就是:

1、 正常情况下,登录网关路由器管理界面并记录网关面向局域网接口(LAN口)的MAC地址,如果你登录不到路由器,那么cmd运行arp -a,查看网关的MAC地址。

2、发生异常情况时候,在内网发生故障的电脑(/或任意一台电脑)上运行 arp –a 命令,在回显的信息中查看对应网关IP的MAC地址,还是不是之前记录的网关的MAC地址?如果不是,则说明局域网发生了ARP攻击。

ARP防护解决办法(解决限速方法):

1、PC上绑定路由器的IP和MAC地址:

(1) XP命令:arp -s  路由器IP地址  路由器MAC地址

例:arp -s 192.168.1.1 00-0a-eb-b9-5c-ce       (MAC地址必须是网络正常情况下的)

(2) Window7 命令:

1、使用 netsh i i show in

2、查看正在使用的网卡的 idx

20130315211148

3、使用命令(其中11为正在使用的网卡的idx)

注意空格键,每个符号后面都有空格

C:\Windows\system32>netsh -c “i i” add neighbors 13 “192.168.1.1” “00-0a-eb-b9-5c-ce“ 

4、使用 netsh i i reset 即可取消。需要重启才生效!

原创文章,作者:wwh,如若转载,请注明出处:https://www.wuwenhui.cn/2467.html

发表评论

登录后才能评论

评论列表(4条)

  • 我的名字叫麒
    我的名字叫麒 2013-03-16 12:29

    arp防火墙有,地址绑定可以

  • 小语种外贸
    小语种外贸 2013-03-16 12:44

    不错的软件 不过现在的ARP攻击应该会比较少了吧

联系我们

在线咨询:点击这里给我发消息

站长邮箱:admin@wuwenhui.cn
工作时间:周一至周五,8:30-17:30,节假日休息

微信
本站支持QQ一键注册登录,所有资源下载均在文章底部~