下载后可任意编辑ARP 网络攻击解决方案:如何查找攻击者2024/11/20 13:57ARP 攻击现在常常发生,遇到这些问题怎么办呢?请看下面笔者给出的解决方法!前段时间常常有用户打电话抱怨上网时断时续,有时甚至提示连接受限、根本就无法获得 IP(我们单位用的是动态 IP)。交换机无法 ping 通,而指示灯状态正常。重启交换机后客户机可以上网,但很快又涛声依旧!严重影响了用户使用,甚至给用户造成了直接经济损失,(我们单位很多人都在炒股、炒基金,由于无法及时掌握行情,该出手时无法出手。)根据用户描述的情形和我们多次处理的经验,可以肯定是由于网络中存在 ARP攻击(ARP 欺骗)所致。至于什么是 ARP 攻击,我就不用再说了吧。知道了问题所在,但如何解决呢?虽然可以采纳在交换机绑定 MAC 地址和端口、在客户机绑定网关 IP 和 MAC 地址的“双绑”办法预防,但由于网管的工作量太大,且不能保证所有的用户都在自己的电脑上绑定网关 IP 和 MAC 地址,所以我们实行以下措施来预防和查找 ARP 攻击。我们推举用户在自己的电脑上安装 ColorSoft 开发的 ARP 防火墙(原名 Anti ARP Sniffer),该软件通过在系统内核层拦截虚假 ARP 数据包以及主动通告网关本机正确的 MAC 地址,可以保障安装该软件的电脑正常上网;拦截外部对本机的 ARP 攻击和本机对外部的 ARP 攻击。 假如发现内部 ARP 攻击,直接处理本机就行了;假如发现外部 ARP 攻击,则根据实际情况通过攻击者的 IP 地址和/或 MAC 地址查找该攻击者电脑。 1、在同一网段的电脑上下载 ARP 防火墙、安装、运行。发现了 ARP 攻击,如图 1。图 1 ARP 防火墙发现外部 ARP 攻击 2、为了不冤枉好人,进一步确认攻击者的 MAC 地址。进入核心交换机,查看该网段的 MAC 地址表。我们的核心交换机是华为的,键入命令“Display arp vlan xx”(xx 为所要查找 ARP 攻击网段的 VLAN 号),回车。显示如图 2 所示结果。---------------------------------------------------------精品 文档---------------------------------------------------------------------下载后可任意编辑图 2 核心交换机上显示的 MAC 地址表 为了方便查看,我们将该数据拷贝到 Word 中并按 MAC 地址排序。在 Word中,选中该数据,从“表格”菜单中选择“排序”菜单项,弹出“排序文字”窗口,“主要关键字”选“域 3”即 MAC 地址,如图 ...
