ARP欺骗故障现象和解决方法.docxVIP

  • 5
  • 0
  • 约1.41千字
  • 约 3页
  • 2021-01-10 发布于天津
  • 举报
ARP欺骗现象和解决方法 ARP定义: ARP是地址解析协议,是将 ip地址转换成 mac地址的协议。是一种广播包。 ARP表生成: 在主机的cmd命令窗口下,输入 arp -a可以看到所有的ip和对应mac的信息 如 \Usei*s \c lienssai*p —a 鑿态态态态态态态 鑿态态态态态态态 妾口二 i?2.168,22.46 Internet 地址 1V2.16S.22.1 £1 50 1?62 55 239.25G.2SE.20 55 1— 8xb 物理地址 J8-he-bf-f3-b5-4f 4-7a-88-91-7a-3e ?c~4e^36-3d^cd^b4 5c-96^?d-78-dd-df 28^uF-tf?-21-0F^dl ff-ff-ff-ff-ff-ff ff-ff-ff-ff-ff-ff ARP表如何生成: 例如:主机A想要和主机B通信,主机A会查找本地arp表,找到主机 B的mac地址, 然后进行传输。如果主机 A没有找到主机 B的mac地址,那么主机 A就会发送一个arp广 播包,主机B收到这个ARP广播包后,回复主机 A它的mac地址。然后主机 A就会在本地 arp缓存表里,生成主机 B的ip和mac地址信息。(该表现默认会保存 300秒) ARP欺骗 Arp欺骗有两种方式,一种是对网关的欺骗,一种是对 pc的欺骗。 网关欺骗: 通过不断发送错误的 mac信息给网关,使真实的mac信息无法保存在路由器 的arp表中,结果网关设备发送的数据都是错误的 mac地址,导致正常的pc不能收到信息。 Pc欺骗:攻击者可以伪造自己是网关,这样, pc发送的数据都到达了假的网关,不能通 过正常的网关传输数据。 ARP故障现象 现象一:当局域网内某台主机感染了 ARP病毒时,会向本局域网内所有主机发送 ARP 欺骗攻击谎称自己是这个网端的网关设备, 让原本流向网关的流量改道流向病毒主机, 造成 主机不能正常上网 现象二:局域网内有某些用户使用了 ARP欺骗程序,发送 ARP欺骗数据包,致使被 攻击的电脑出现突然不能上网,过一段时间又能上网,反复掉线的现象。 ARP诊断 如果用户发现自己不能上网, 或者网络时断时续, 可以进行如下操作确定是否 arp欺骗 点击 开始”按钮- 选择 运行”〉输入“ arp -d点击 确定”按钮,然后重新尝试上网,如果 能恢复正常,则说明此次掉线可能是受 ARP欺骗所致。 ARP -a显示当前 arp项 ARP -d删除当前arp项 ARP处理 首先找出arp病毒源, 1、 通过抓包软件,对抓包软件抓取到的数据分析, 如果发现某个ip不停的发送arp 包,那么这个ip的主机就是arp病毒源。 2、 在不能上网的主机的 cmd窗口下,输入arp -a查看不能上网的主机除了有相同 的网关的mac/ip信息外,是否还有其他一样的 mac/ip地址信息,那么这个mac/ip 信息的设备就是arp病毒源。 3、 第三种方法是在 cmd窗口下输入tracert ,如果下一跳不是网关 的地址,那么下一跳的地址就是 arp病毒源。 找到arp病毒源后,先把中arp病毒的主机断开网络,然后通过杀毒软件查找, 并删除, 如果是单独被 arp病毒源攻击的主机,可以绑定网关 ip/mac地址信息,然后再找出攻击源 并做断网杀毒处理。

文档评论(0)

1亿VIP精品文档

相关文档