永发信息网

经常遭到ARP攻击,DNS。。。。。

答案:2  悬赏:70  手机版
解决时间 2021-11-13 20:53
经常遭到ARP攻击,DNS。。。。。
最佳答案
这个问题我觉得你应该仔细分析一下,从你的描述看来,我得出以下假设:
1、你路由器的MAC地址表有部分客户机的静态绑定;
2、你每台客户机都作了“arp -s 网关ip 网关mac”的静态绑定;
3、某台机器掉线时它的arp表里的网关的IP-MAC是正确的,而路由器里对应该客户机IP的MAC地址不正确。
基于以上三点假设,为什么有的客户机还是会掉线呢?如果你理解了ARP协议,这就很好解释了。比如你某台客户机中了ARP欺骗病毒,那么该机会每隔一段时间对该网段内所有IP进行一次扫描,比如你的IP是192.168.0.1-192.168.0.254,那么中病毒的电脑会对这254个IP地址分别发送一个ARP Response消息(也可能是多个指向广播地址的ARP Response消息),这个消息可以更新所有这254台电脑的ARP表,更改的结果是所有电脑的ARP表内IP是网关的IP,而MAC地址却是中病毒的电脑的MAC地址。这个病毒之所以设计成这样是因为这样可使这个网段内所有的流量通过中病毒的那台主机,然后再通过路由器,专业术语叫做“man in the middle”,也就是中间人攻击,此举可以盗取该网段所有密码信息(因为所有流量都通过了中病毒主机,所以它可以任意监听感兴趣的信息并加以记录)。
现在再说你的情况,你的每台客户机都作了静态绑定,所以它们不受这个ARP Response消息的影响。(前提是你的客户机都是WinXP及以上的操作系统,WinXP以下的系统不能创建永久的静态绑定,也就是说就算你绑定了,隔一段时间后绑定信息会超时)。但是据你所说你在路由器上只绑定了部分客户机的IP-MAC,那么问题就出来了。比如说你在路由器上绑定了192.168.0.1-192.168.0.200的客户机的IP和MAC,那么在路由器接收到刚才所说的ARP Response消息时,会把192.168.0.201-192.168.0.254之内的所有IP所对应的MAC绑定为中病毒电脑的MAC。这时,这54个IP地址所对应的客户机可以正常的找到路由器,但是路由器却不能正确地找到该客户机,也就是说通信只能从客户机到路由器,不能从路由器到客户机。所以你的部分客户机无法上网。
解决办法是:
1、所有客户机静态绑定网关,网关路由器绑定所有客户机的IP-MAC。
2、在局域网内的某台电脑上安装Sniffer_Pro或者OmniPeek等协议分析软件(也就是俗称的抓包软件),然后在连接这台电脑的交换机端口上配置port mirror,如果是傻瓜交换机,那么你就在这个端口上接一个集线器(一定要是集线器,物理层设备),然后把装OmniPeek的电脑接到这个集线器上,然后抓包分析。当你看到某台机器没有发出ARP Request却收到了ARP Response,那么发送ARP Response的主机的MAC地址就是种病毒的电脑的MAC地址。有了MAC地址就可以找到种病毒的电脑了。
全部回答
下载一个360安全卫士和360防火墙就行了
我要举报
如以上问答信息为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
大家都在看
solidwork哪个版本适合作图,要画一个高速道
杨楼镇中心小学地址在哪,我要去那里办事,
请做出下面各数。
机械制造题,中小批加工某工件,工件材料HT15
怎么利用大漠建立的字库按顺序找字
苹果系统能安装搜狗浏览器吗?
八塬兰州抻面地址在什么地方,我要处理点事!
浆砌石拆除大概多少钱一方?干砌石多少钱一方
求9999倍奇迹SF
你好。有台HP4350高速打印机,遇到一个问题就
94年女生,在北京干过1年半的幼师 工资4000左
去乐岛在哪个火车站下
AKG k450现在还值的买吗?还是买魅族的HD50,
tf练习生是不是会接替tf
如何在幻灯片中利用smartart创造网格矩阵
推荐资讯
为什么退休的人老得特别快?
丁卯癸卯壬午辛亥男命如何
如何评价《战长沙》中胡小满这一人物
在工厂打工工资多少才够花,听听打工妹怎么说
我们想安大门在以前厕所的位置怎么办
古人寄月亮忧愁是什么意思
k69次列车到济南晚点吗
怎么用ai或者ps做出 “报纸效果”,就是图片
9.5+4.85减6.13用脱式计算怎么算
1.25×7.2简便计算方法
630a断路器能带多大功率
车辆违章8处未处理能上路吗?都是电子警察
正方形一边上任一点到这个正方形两条对角线的
阴历怎么看 ?