- 1、本文档共8页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
关于局域网ARP攻击,MAC地址欺骗解决方法
关于局域网ARP攻击,MAC地址欺骗的解决方法
最近很多网络反映频繁断线并且网速较慢,已经确认:这是由于一种名为“网吧传奇杀手Trojan.PSW.LMir.qh?”?的病毒爆发引起的,现我们发布查找病毒以及基本解决办法:????1、此类病毒采用arp攻击,克隆MAC地址条目进行欺骗。当发现网络非正常时,网管可任找一台机器,开启DOS窗口并输入“arp -a”?命令,?会发现很多不同IP地址有着相同的MAC地址表:
Code:
Interface:?192.168.0.1?on?Interface?0x1000004 Internet?Address Physical?Address Type????192.168.0.1 ?00-e0-1c-8c-9a-0e ?dynamic 192.168.0.101 ?00-e0-4c-8c-9a-47 ?dynamic 192.168.0.102 ?00-e0-4c-8c-9a-47 ?dynamic 192.168.0.104 ?00-e0-4c-8c-81-cc ?dynamic 192.168.0.105 ?00-e0-4c-8c-9a-47 ?dynamic 192.168.0.106 ?00-e0-4c-8c-9a-47 ?dynamic????192.168.0.107 ?00-e0-4c-8c-9a-47 ?dynamic 192.168.0.108 ?00-e0-4c-8c-9a-47 ?dynamic 192.168.0.112 ?00-e0-4c-8c-9a-47 ?dynamic 192.168.0.114 ?00-e0-4c-8c-81-cc ?dynamic 192.168.0.115 ?00-e0-4c
???我们可以断定MAC地址为00-e0-4c-8c-9a-47的机器感染了病毒。然后需要网管在每台工作站DOS窗口中输入“ipconfig /all”?
Code:
Connection-specific?DNS?Suffix .?:Descr#105;ption?.?.?.?.?.?.?.?.?.?.?.?:?RTL8139Physical?Address.?.?.?.?.?.?.?.?.?:?0-e0-4c-8c-9a-47DHCP?Enabled.?.?.?.?.?.?.?.?.?.?.?:?NoIP?Address.?.?.?.?.?.?.?.?.?.?.?.?:?192.168.0.133Subnet?Mask?.?.?.?.?.?.?.?.?.?.?.?:?255.255.255.0Default?Gateway?.?.?.?.?.?.?.?.?.?:?192.168.0.1DNS?Servers?.?.?.?.?.?.?.?.?.?.?.?:?61.177.7.1
通过以上步骤定位到染毒的机器,予以隔离处理。????2、基本解决办法,在任意一工作站通过在DOS窗口下运行TRACERT?(格式:tracert?[域名或者IP地址])命令,获取本地网关地址,然后运行ARP?-A找到对应网关IP的MAC地址,在C盘根目录下编写一批处理文件arp.bat,加入启动项每次启动运行,其原理是为在每台工作站增加、绑定属于网关的静态arp地址条目,不接受欺骗程序的arp条目更新请求:
Code:
cd?c:\[windows的安装路径]\system32arp?–d?arp?-s?192.168.168.1?00-e0-1c-8c-9a-0egoto?
????注意:各网络将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可,重新启动计算机。
?
?
对于ARP欺骗,提出几点加强安全防范的措施。环境是主机或者网关是基于Linux/BSD的。?一、理论前提?本着“不冤枉好人,不放过一个坏人的原则”,先说说我的一些想法和理论依据。首先,大家肯定发送ARP欺骗包肯定是一个恶毒的程序自动发送的,正常的?TCP/IP网络是不会有这样的错误包发送的(板砖扔了过来啊,废话!)。这就假设,如果犯罪嫌疑人没有启动这个破坏程序的时候,网络环境是正常的,或者说网络的ARP环境是正常的,如果我们能在犯罪嫌疑人启动这个犯罪程序的第一时间,一开始就发现了他的犯罪活动,那么就是人赃俱在,不可抵赖了,因为刚才提到,前面网络正常的时候证据是可信和可依靠的。好,接下来我们谈论如何在第一时间发现他的犯罪活动。?ARP欺骗的原理如下:?假设这样一个网络,一个Hub接了3台机器?
您可能关注的文档
- 一 EXE后缀型病毒文件手工杀毒方法教程.doc
- 篮球运球和传球教学教案.doc
- 一31岁妇女因腹痛住进地区医院.doc
- 一个狂赞GRE人称单词汇总文档~~~.doc
- 职业生涯规划(大三).doc
- 肩肘倒立教案公开课.doc
- 【生物】步步高精选:实验题解题技能2 “观察类实验”.ppt
- 【姚磊】微观经济学-第二章需求和供给11.ppt
- 【】荧光光谱分析方法与原理.ppt
- 【汇总和心得】我不是已成为女神,就是在成为女神路上.doc
- 国开景区管理作业2试题及答案.pdf
- 国开景区管理作业1-4试题及答案.pdf
- 河南开放大学本科《地域文化(本)》作业练习1-3试题及答案.pdf
- 2024年大型游乐设施操作证考试题库及答案很全.pdf
- 2024年门座式起重机司机考试题库及答案.pdf
- 2022-2023学年河北省衡水市武强中学高二(下)期末数学试卷【答案版】.docx
- 2022-2023学年河北省保定市崇德实验中学高二(下)期末数学试卷【答案版】.docx
- 江西省2017年中小学教师招聘考试高中化学试卷及答案.docx
- 2024年河北省八年级中考生物真题(解析版).docx
- 2024年南阳市社会保险中心(唐河县企业养老保险分中心)(参公)一级科员招录1人《行政职业能力测验》高频考点、难点(答案详解版).docx
文档评论(0)