关于ARP
ARP定义ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。
遭受ARP攻击后现象
ARP欺骗木马的中毒现象表现为:使用局域网时会突然掉线,过一段时间后又会恢复正常。比如客户端状态频频变红,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp -d后,又可恢复上网。
ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。
ARP攻击原理
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
ARP攻击主要是存在于局域网网络中,局域网中若有一个人感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
ARP防火墙
http://www.chengyi.org/bbs/viewthread.php?tid=52164&fromuid=3785
ARP检测工具,能够有效的检测出攻击的来源
[ 本帖最后由 风伊翼 于 2008-4-10 07:50 编辑 ] 这几天在弄这个
个人觉得防护的最好手段还是花大价钱弄个好的路由,别指望局域网里其他人也懂电脑
360的ARP防火墙也挺废柴的。一般路由的MAC绑定在特定情况下也会出问题,比如它自己分配的IP发生变动等,总之这几天算是认识到这些低价路由的废柴性质了
现在的个人看法是,路由一定要有单独限制每个IP的上传/下载流量的能力,然后DHCP功能不要太蠢 小明怎么对ARP这么敏感? 360de ARP没用么?我怕一直用的这个。。是不是学校里我这个段的银都挺有良心的。。
页:
[1]