ARP欺騙方式分為二種:
第一種:廣播錯誤的網關MAC,以使PC找到不真正的網關.
第二種:欺騙網關,告訴它錯誤的終端MAC,以使資料收不回來.
如何判斷網絡中已經存在ARP攻擊
上網時斷時續、無法ping通網關、運作arp -d 或者重新開機機器以後可以短暫恢複上網,如果存在這幾種情況基本上就可以确定是網記憶體在arp攻擊,主要原因是區域網路内部分機器存在盜号木馬、病毒
當網絡中存在ARP病毒攻擊如何快速定位問題主機?
一. 在能上網的機器上,開始-->運作-->cmd,輸入指令:arp –a 檢視網關IP對應的正确MAC位址,将其記錄下來。
二。在不能上網的機器利用arp -a指令将得到的結果與正确的網關MAC位址進行對比,如果不符,則該MAC位址基本上就是問題主機的實際MAC(當然也存在利用假MAC位址進行ARP欺騙的可能)
三。利用區域網路掃描工具對該網段進行掃描,并且得到與該MAC位址相符的IP(如果ARP欺騙是針對全網欺騙可能掃到的所有IP的MAC都是病毒主機的,這個需要根據實際情況自行判斷)
徹底解決arp攻擊的方法:
1、在接入層使用可管理交換機對每台機器的IP與MAC位址進行綁定。(如果網絡規模小可以使用硬體防火牆或者寬帶路由器進行IP、MAC綁定)
2、用戶端綁定網關MAC位址。編寫一個自動批處理檔案arp.bat,内容如下
@echo off
arp -d
arp -s 192.168.1.1 11-22-33-44-55-66
其中192.168.1.1為網關的IP位址,11-22-33-44-55-66為網關的MAC.
最好将用戶端設為開機自動運作該批處理檔案。
3、用戶端安裝防毒軟體,最好是正版可線上更新病毒庫的。卡巴、瑞星等防毒軟體均可。
4、用戶端作業系統各種更新檔一定要打全。
本文轉自gaodi2002 51CTO部落格,原文連結:http://blog.51cto.com/gaodi2002/1618227
![圖解HTTP八:确認通路使用者身份的認證[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)