学习啦 > 学习电脑 > 电脑安全 > 防火墙知识 >

局域网ARP攻击检测方法有哪些

时间: 加城1195 分享

  同路由的用户就可能会因为网速问题使用各种网络控制软件,对局域网内的用户进行ARP断网攻击,导致内网下所有用户都不能正常上网,怎么解决呢?怎么检测arp攻击?

  局域网ARP攻击检测方法

  一、首先诊断是否为ARP病毒攻击

  1、当发现上网明显变慢,或者突然掉线时,我们可以用:arp -a 命令来检查ARP表:

  点击“开始”按钮-选择“运行”-输入“cmd”点击“确定”按钮,在窗口中输入:arp -a 命令。

  如何排查内网ARP断网攻击祸首?局域网ARP攻击检测方法

  检查ARP列表

  如果发现网关的MAC地址发生了改变,或者发现有很多IP指向同一个物理地址,那么肯定就是ARP欺骗所致。这时可以通过 arp -d 清除arp列表,重新访问。

  2、利用ARP防火墙类软件(如:360ARP防火墙、Anti ARP Sniffer等……)。

  二、找出ARP病毒主机

  1、用 arp -d 命令,只能临时解决上网问题,要从根本上解决问题,就得找到病毒主机。通过上面的 arp -a 命令,可以判定改变了的网关MAC地址或多个IP指向的物理地址,就是病毒机的MAC地址。哪么对应这个MAC地址的主机又是哪一台呢,Windows中有 ipconfig /all 命令查看每台的信息,但如果电脑数目多话,一台台查下去不是办法,因此可以下载一个叫“NBTSCAN”的软件,它可以扫描到PC的真实IP地址和MAC地址。

  2、如果手头一下没这个软件怎么办呢?这时也可在客户机运行路由跟踪命令 马上就发现第一条不是网关机的内网IP,而是本网段内的另外一台机器的IP,再下一跳才是网关的内网IP;正常情况是路由跟踪执行后的输出第一条应该是默认网关地址,由此判定第一跳的那个非网关IP地址的主机就是罪魁祸首。

  查找访问外网路径

  当然找到了IP之后,接下来是要找到这个IP具体所对应的机子了,如果你每台电脑编了号,并使用固定IP,IP的设置也有规律的话,那么就很快找到了。但如果不是上面这种情况,IP设置又无规律,或者IP是动态获取的那该怎么办呢?难道还是要一个个去查?非也!你可以这样:把一台机器的IP地址设置成与作祟机相同的相同,然后造成IP地址冲突,使中毒主机报警然后找到这个主机。

  补充:防火墙实用技巧

  1、首先我们需要依次点击【开始】【控制面板】【系统和安全】【windows防火墙】,来查看我们的防火墙的状态。

  2、如果你防火墙的配置存在问题,那么你可以通过点击【自定义】设置来查看防火墙的配置情况。

  3、在我们开启了防火墙之后,如果你需要让某个程序允许通过防火墙测率,你可以通过点击【控制面板】【系统和安全】,单击右侧的【允许程序或功能通过windows防火墙】。

  4、在弹出的【允许的程序】对话框中设置允许你通过防火墙的程序。

  5、我们需要在【家庭/工作】、【公用】对话框中打钩。

  6、如果你想更改你程序的网络位置,你可以在下图中更改程序的网络位置。

  相关阅读:防火墙相关知识

  防火墙在网络中经常是以两种图标出现的。一种图标非常形象,真正像一堵墙一样。而另一种图标则是从防火墙的过滤机制来形象化的,在图标中有一个二极管图标。而二极管我们知道,它具有单向导电性,这样也就形象地说明了防火墙具有单向导通性。这看起来与防火墙过滤机制有些矛盾,不过它却完全体现了防火墙初期的设计思想,同时也在相当大程度上体现了当前防火墙的过滤机制。因为防火最初的设计思想是对内部网络总是信任的,而对外部网络却总是不信任的,所以最初的防火墙是只对外部进来的通信进行过滤,而对内部网络用户发出的通信不作限制。当然防火墙在过滤机制上有所改变,不仅对外部网络发出的通信连接要进行过滤,对内部网络用户发出的部分连接请求和数据包同样需要过滤,但防火墙仍只对符合安全策略的通信通过,也可以说具有“单向导通”性。

  防火墙的本义是指古代构筑和使用木制结构房屋的时候,为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称之为“防火墙”。其实与防火墙一起起作用的就是“门”。如果没有门,各房间的人如何沟通呢,这些房间的人又如何进去呢?当火灾发生时,这些人又如何逃离现场呢?这个门就相当于我们这里所讲的防火墙的“安全策略”,所以在此我们所说的防火墙实际并不是一堵实心墙,而是带有一些小孔的墙。这些小孔就是用来留给那些允许进行的通信,在这些小孔中安装了过滤机制,也就是上面所介绍的“单向导通性”。

4002630