30选5玩法|福彩30选5开奖结果321|

安全急救班——锁定源头 驱逐ARP梦魇

来源:本站原创 安全技术 超过890 views围观 0条评论

剖析案例掌握技巧

现实中的ARP症状不仅复杂,而且会根据局域网的结构出现各种问题和排查难度,特别是在电脑过多?#37027;?#20917;下,往往会大大增加排查难度。下面的这个案例就是我真实处理的。

现场状况:记得机器狗变种大规模爆发时,公司局域网各个网段频繁出现问题,我经常在不同楼层间跑动,最?#29616;?#30340;一?#38382;?个网段的多个部门都出现断网情况。我赶到现场后,发现故障电?#28304;?#24320;网页速度缓慢,内部交换文件也时断时续。

我怀疑是ARP病毒在搞鬼了,调出命令提示符窗口,在窗口中输入Ping命令,Ping局域网内另外一台已经开机的电脑IP地址,但是发现无法Ping通,此时已经十有?#21496;?#32943;定是中了ARP病毒。为了保?#25484;?#35265;,我又在命令提示符窗口输入命令“ARP –d?#20445;?#36825;个命令的意思就是?#26696;?#35785;”电脑删除ARP缓存。

在运行完这个命令后,电脑可?#28304;?#24320;网页了,但?#24039;?#20316;停留网络连接就出现了问题,打开浏览?#39751;?#20837;网址后就开始莫名其妙地大量弹出广告窗口。此时虽然不能够断定是机器狗病毒,但是我已经可以断定局域网内有ARP攻击的问题了。但是由于局域网内电脑数量过于庞大,目前看来ARP攻击源头不止一个,如何查?#19994;?#22810;个ARP攻击源头就成为了需要解决的难题。

解决方法:由于局域网内电脑过多,如果采用传统的手工定位,逐一对比MAC地址几乎不太可能,因此我决定使用工具来协助解决问题。而且根据刚才的检查状况,局域网内部肯定有ARP病毒流窜,并造成了封包无法送到正确的地址问题。

我使用了一个名为ARP Checker的免费ARP欺骗检测工具,安装好这个工具后,只需要选择“始终检测”一项,软件就能够针对指定网?#25991;?#30340;所有IP地址发送Ping与Telnet的封包,多数电脑会无法响应而出现time out的现象,唯一有响应的电脑就有可能是中了ARP病毒的电脑。因为这类型的病毒必须?#32321;?#25968;据会传送回受感染的电脑,而受感染电脑的ARP缓存通常会变成固定式,不会因为接收到假的ARP封包而修改ARP缓存。

很快检测结果出来了(图4),其中一个局域网内有三台电脑被定位,可能是ARP源头。定位好源头之后,我首?#35748;?#23558;毒源电脑网络连接断开,然后再用闪存制作的杀?#25937;?#20214;逐一进行杀毒,将问题清理?#21024;弧?/p>

 

预防方法:根据我的经验,目前ARP病毒大多是透过网页挂马的方式感染用户电脑,因此局域网内最好能够进行IP地址绑定,使用工具设定电脑ARP缓存为固定模式,这样病毒就无法修改ARP缓存,电脑就够将数据传送至正确的地址了。

如果电脑数量太过庞大无法进行逐一绑定,可以启用网络设备中的动态ARP检查功能。它可以检查ARP交换情况并拒绝假的ARP封包。以侠诺FVR420V路由器为例,首先打开浏览?#39751;?#20837;路由器IP地址,进入登录界面,然后输入用户名和密码进入管理页面,在管理页面左边的选项栏中点击“防火墙配置?#20445;?#28982;后选择激活“放置ARP病毒攻击”一项,再根据网络具体情况输入放置ARP攻击每秒发送的帧即可。

文章出自:CCIE那点事 http://www.rygqfb.tw/ 版权所?#23567;?#26412;站文章除注明出处外,皆为作者原创文章,可?#26434;?#24341;用,但请注明来源。 禁止全文转载。
本文链接:http://www.rygqfb.tw/?p=277转载请注明转自CCIE那点事
如果?#19981;叮?a title="CCIE那点事 | IT运维故障发现和解决基地 我致力于为企业IT管理提供助力!" href="http://www.rygqfb.tw/?feed=rss2" target="_blank">点此订阅本站
  • 相关文章
  • 为您推荐
  • 各种观点
?
暂时还木有人评论,坐等沙发!
发表评论

您必须 [ 登录 ] 才能发表留言!

?
?
30选5玩法
广东十一选五*一定 河北快三快三推荐 快乐十分奖金表格 微信飞艇群 基金配资多少倍 股票指数期货期权 山东11选5计划 江苏快三号码遗漏 上海雀友麻将机价格 吉林十一选五开奖的