ARP欺骗方式分为二种:
第一种:广播错误的网关MAC,以使PC找到不真正的网关.
第二种:欺骗网关,告诉它错误的终端MAC,以使数据收不回来.
如何判断网络中已经存在ARP攻击
上网时断时续、无法ping通网关、运行arp -d 或者重启机器以后可以短暂恢复上网,如果存在这几种情况基本上就可以确定是网内存在arp攻击,主要原因是局域网内部分机器存在盗号木马、病毒
当网络中存在ARP病毒攻击如何快速定位问题主机?
一. 在能上网的机器上,开始-->运行-->cmd,输入命令:arp –a 查看网关IP对应的正确MAC地址,将其记录下来。
二。在不能上网的机器利用arp -a命令将得到的结果与正确的网关MAC地址进行对比,如果不符,则该MAC地址基本上就是问题主机的实际MAC(当然也存在利用假MAC地址进行ARP欺骗的可能)
三。利用局域网扫描工具对该网段进行扫描,并且得到与该MAC地址相符的IP(如果ARP欺骗是针对全网欺骗可能扫到的所有IP的MAC都是病毒主机的,这个需要根据实际情况自行判断)
彻底解决arp攻击的方法:
1、在接入层使用可管理交换机对每台机器的IP与MAC地址进行绑定。(如果网络规模小可以使用硬件防火墙或者宽带路由器进行IP、MAC绑定)
2、客户端绑定网关MAC地址。编写一个自动批处理文件arp.bat,内容如下
@echo off
arp -d
arp -s 192.168.1.1 11-22-33-44-55-66
其中192.168.1.1为网关的IP地址,11-22-33-44-55-66为网关的MAC.
最好将客户端设为开机自动运行该批处理文件。
3、客户端安装杀毒软件,最好是正版可在线升级病毒库的。卡巴、瑞星等杀毒软件均可。
4、客户端操作系统各种补丁一定要打全。
