ARP病毒攻击防制---Qno侠诺路由器ARP病毒防制方案
近期,国内多家网吧出现短时间内断线(全断或部分断)的现象,但会在很短的时间内会自动恢复。这是因为MAC位址冲突引起的,当带毒机器的MAC映射到主机或者路由器之类的NAT设备,那么全网断线,如果只映射到网内其他机器,则只有这部分机器出问题。多发于传奇游戏特别是私服务外挂等方面。此类情况就是网络受到了ARP病毒攻击的明显表现,其目的在于,该病毒破解游戏加密解密规则系统,通过截取局域网中的数据包,然后分析游戏通信协议的方法截获用户的信息。运行这个病毒,就可以获得整个局域网中游戏玩家的详细信息,盗取用户用户名信息。下面我们谈谈如何防制这种攻击。
首先,我们先简单了解一下什么是ARP病毒攻击,这种病毒是对内网的PC进行攻击,使内网PC机的ARP表混乱,在局域网中,通过ARP协定来完成IP位址转换为第二层物理位址(即MAC位址)的。ARP协定对网络安全具有重要的意义。通过伪造IP位址和MAC位址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。进行ARP重定向和嗅探攻击。用伪造源MAC地址发送ARP回应包,对ARP缓冲内存机制的攻击。这些情况主要出现在网吧用户,造成网吧部分机器或全部机器暂时掉线或者不可以上网,在重新启动后可以解决,但保持不了多久有会出现这样的问题,网吧管理员对每台机器使用arp ―a命令来检查ARP表的时候发现路由器的IP和MAC被修改,这就是ARP病毒攻击的典型症状。
这种病毒的程式如PWSteal.lemir或其变种,属于木马程式/蠕虫类病毒,Windows 95/98/Me/NT/2000/XP/2003将受到影响,病毒攻击的方式对影响网络连接畅通来看有两种,对路由器的ARP表的欺骗和对内网PC网关的欺骗,前者是先截获网关数据,再将一系列的错误的内网MAC信息不停的发送给路由器,造成路由器发出的也是错误的MAC位址,造成正常PC无法收到信息。后者ARP攻击是伪造网关。它先建立一个假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。
就这两种情况而言,如果对ARP病毒攻击进行防制的话我们必须得做路由器方面和用户端双方的设置才保证问题的最终解决。所以我们选择路由器的话最好看看路由器是否带有防制ARP病毒攻击的功能,Qno侠诺产品正好提供了这样的功能,相比其他产品操作简单易学。下面具体谈谈Qno侠诺路由器产品是如何设置防止ARP病毒攻击的。
- 启动防止ARP病毒攻击:
输入路由器IP位址登陆路由器的Web管理页面,进入“防火墙配置”的“基本页面”,再在右边找到“防止ARP病毒攻击”在这一行的“启动”前面做点选,再在页面最下点击“确认”,如图1。
图1.中文路由器Web管理页面 - 在路由器端绑定用户IP/MAC地址:
进入“DHCP功能”的“DHCP配置”,在这个页面的右下可以看到一个“IP与MAC绑定”你可以在此添加IP与MAC绑定,输入相关参数,在“启动”上点“√”选再“添加到对应列表”,重复操作添加内网里的其他IP与MAC的绑定,再点页面最下的“确定”。如图2
当添加了对应列表之后,其对应的信息就会在下面的白色框里显示出来。不过建议不采用此方法,这样操作需要查询网络内所有主机IP/MAC位址工作量繁重,还有一种方法来绑定IP与MAC,操作会相对容易,可以减少大量的工作量,节约大量时间,下面就会讲到。 进入“DHCP功能”的“DHCP配置”找到IP与MAC绑定右边有一个“显示新加入的IP位址”点击进入。如图3
图2
点击之后会弹出IP与MAC绑定列表对话框,此对话框里会显示网内未做绑定的pc的IP与MAC位址对应情况,输入电脑“名称”和“启动”上“√”选,再在右上角点确定。 如图4
图3
此时你所绑定的选项就会出现在IP与MAC绑定列表框里,如图5再点击“确认/Apply”绑完成。
图4
图5 - 对每台pc上绑定网关的IP和其MAC地址
进行这样的操作主要防止ARP欺骗网关IP和其MAC地址
首先在路由器端查找网关IP与MAC位址,如图6
然后在每台PC机上开始/运行cmd进入dos操作,输入arp ―s 192.168.1.1 0-0e-2e-5b-42-03,Enter后完成pc01的绑定。如图7
图6
针对网络内的其他主机用同样的方法输入相应的主机IP以及MAC位址完成IP与MAC绑定。但是此动作,如果重起了电脑,作用就会消失,所以可以把此命令做成一个批次文件,放在操作系统的启动里面,批次文件可以这样写:
图7@echo off
对于已经中了arp攻击的内网,要找到攻击源。方法:在PC上不了网或者ping丢包的时候,在DOS下打 arp ―a命令,看显示的网关的MAC位址是否和路由器真实的MAC相同。如果不是,则查找这个MAC位址所对应的PC,这台PC就是攻击源。
arp -d
arp -s路由器LAN IP 路由器LAN MAC其他的路由器用户的解决方案也是要在路由器和PC机端进行双向绑定IP位址与MAC位址来完成相应防制工作的,但在路由器端和PC端对IP位址与MAC位址的绑定比较复杂,需要查找每台PC机的IP位址与MAC加大了工作量,操作过程中还容易出错。
以上方法基本可以解决ARP病毒攻击对网络造成相关问题,以上方法也经过多个用户以及网吧实验,都达到了用户预期的效果。QNO侠诺产品的解决方法操作比较容易学习,而且不必要查找整个网络的IP/MAC位址,就可以在路由器端进行绑定,安全可靠。
| 自由广告区 |
| 分类导航 |
| 邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |