最近有人和我小編說:在局域網中上網的時候有人利用網絡執法官等工具限制自己上網或者是局域網中有人中了ARP病毒,自動發送大量ARP攻擊局域網中其他機器。ARP防火牆的用處也不是十分明顯,如何徹底的解決這個問題呢?下面我們來一起分析一下解決的方法:
首先介紹一下什麼是ARP:
ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量使網絡阻塞,攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目,造成網絡中斷或中間人攻擊。
ARP攻擊主要是存在於局域網網絡中,局域網中若有一台計算機感染ARP木馬,則感染該ARP木馬的系統將會試圖通過“ARP欺騙”手段截獲所在網絡內其它計算機的通信信息,並因此造成網內其它計算機的通信故障。
某機器A要向主機B發送報文,會查詢本地的ARP緩存表,找到B的IP地址對應的MAC地址後,就會進行數據傳輸。如果未找到,則A廣播一個ARP請求報文(攜帶主機A的IP地址Ia——物理地址Pa),請求IP地址為Ib的主機B回答物理地址Pb。網上所有主機包括B都收到ARP請求,但只有主機B識別自己的IP地址,於是向A主機發回一個ARP響應報文。其中就包含有B的MAC地址,A接收到B的應答後,就會更新本地的ARP緩存。接著使用這個MAC地址發送數據(由網卡附加MAC地址)。因此,本地高速緩存的這個ARP表是本地網絡流通的基礎,而且這個緩存是動態的。
第一,在防火牆上綁定IP/MAC;
第二,用網絡版的ARP防火牆,可以到百度搜索”ARP防火牆“;
第三,在每台機子上采用雙向綁定的方法解決並且防止ARP欺騙。
1、在PC上綁定安全網關的IP和MAC地址:
1)首先,獲得路由器的內網的MAC地址(例如HiPER網關地址192.168.16.254的MAC地址為0022aa0022aa(在能上網的時候,打開命令行提示符,在其中輸入:arp -a 回車,就能看到現在網關的ip和mac地址的對應))。
2)編寫一個批處理文件rarp.bat內容如下:
@echooff
arp-d
arp-s192.168.16.25400-22-aa-00-22-aa
將文件中的網關IP地址和MAC地址更改為您自己的網關IP地址和MAC地址即可。 將這個批處理軟件拖到“windows--開始--程序--啟動”中。
2、在路由器上綁定用戶主機的IP和MAC地址(440以後的路由器軟件版本支持): 在HiPER管理界面--高級配置--用戶管理中將局域網每台主機均作綁定。
經過此三個步驟,一般的ARP攻擊就離我們遠去了。
本文來自於【系統之家】 www.xp85.com
