• <acronym id="6x9xz"><label id="6x9xz"></label></acronym><output id="6x9xz"></output>
    <tr id="6x9xz"></tr>

  • <pre id="6x9xz"></pre>
    1. <td id="6x9xz"></td><acronym id="6x9xz"><strong id="6x9xz"><listing id="6x9xz"></listing></strong></acronym>

      <tr id="6x9xz"><label id="6x9xz"></label></tr>

      <p id="6x9xz"></p>

      <table id="6x9xz"></table>

      FJ3C.net福建IT行業平臺
      用戶:
      密碼:
      2022-4-20 星期二  首頁 | 代理信息 | 產品新聞 | 行業新聞 | 技術文章 | 公司歷程 | 大洋主板 | 留言本 | 娛樂 | 聯系我們 
      代理產品
       錄音筆
       大洋主板
       工包顯卡
       KingMAX(勝創)閃存卡
       HP惠普光驅
       讀卡器
       專業服務器及配件
       黑匣子移動硬盤盒
       鑫谷電源
       其它產品
      局域網受到ARP欺騙攻擊的解決辦法

      http://www.saiministries.com 更新日期:2007/3/30       點擊:6110
        【故障現象】當局域網內某臺主機運行ARP欺騙的木馬程序時,會欺騙局域網內所有主機和安全網關,讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過安全網關上網現在轉由通過病毒主機上網,切換的時候用戶會斷一次線。

        切換到病毒主機上網后,如果用戶已經登陸了傳奇服務器,那么病毒主機就會經常偽造斷線的假像,那么用戶就得重新登錄傳奇服務器,這樣病毒主機就可以盜號了。

        由于ARP欺騙的木馬程序發作的時候會發出大量的數據包導致局域網通訊擁塞以及其自身處理能力的限制,用戶會感覺上網速度越來越慢。當ARP欺騙的木馬程序停止運行時,用戶會恢復從安全網關上網,切換過程中用戶會再斷一次線。

        【快速查找】在WebUIà系統狀態à系統信息à系統歷史記錄中,看到大量如下的信息:

        MAC SPOOF 192.168.16.200

        MAC Old 00:01:6c:36:d1:7f

        MAC New 00:05:5d:60:c7:18

        這個消息代表了用戶的MAC地址發生了變化,在ARP欺騙木馬開始運行的時候,局域網所有主機的MAC地址更新為病毒主機的MAC地址(即所有信息的MAC New地址都一致為病毒主機的MAC地址)。

        同時在安全網關的WebUIà高級配置à用戶管理à讀ARP表中看到所有用戶的MAC地址信息都一樣,或者在WebUIà系統狀態à用戶統計中看到所有用戶的MAC地址信息都一樣。

        如果是在WebUIà系統狀態à系統信息à系統歷史記錄中看到大量MAC Old地址都一致,則說明局域網內曾經出現過ARP欺騙(ARP欺騙的木馬程序停止運行時,主機在安全網關上恢復其真實的MAC地址)。

        在上面我們已經知道了使用ARP欺騙木馬的主機的MAC地址,那么我們就可以使用NBTSCAN(下載地址:http://www.utt.com.cn/upload/nbtscan.rar)工具來快速查找它。

        NBTSCAN可以取到PC的真實IP地址和MAC地址,如果有”傳奇木馬”在做怪,可以找到裝有木馬的PC的IP/和MAC地址。

        命令:“nbtscan -r 192.168.16.0/24”(搜索整個192.168.16.0/24網段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 網段,即192.168.16.25-192.168.16.137。輸出結果第一列是IP地址,最后一列是MAC地址。

        NBTSCAN的使用范例:

        假設查找一臺MAC地址為“000d870d585f”的病毒主機。

        1)將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:\下。

        2)在Windows開始à運行à打開,輸入cmd(windows98輸入“command”),在出現的DOS窗口中輸入:C:\nbtscan -r 192.168.16.1/24(這里需要根據用戶實際網段輸入),回車。

        3)通過查詢IP--MAC對應表,查出“000d870d585f”的病毒主機的IP地址為“192.168.16.223”。

        【解決辦法】

        采用雙向綁定的方法解決并且防止ARP欺騙。

        1、在PC上綁定安全網關的IP和MAC地址:

        1)首先,獲得安全網關的內網的MAC地址(例如HiPER網關地址192.168.16.254的MAC地址為0022aa0022aa)。

        2)編寫一個批處理文件rarp.bat內容如下:

        @echo off

        arp -d

        arp -s 192.168.16.254 00-22-aa-00-22-aa

        將文件中的網關IP地址和MAC地址更改為實際使用的網關IP地址和MAC地址即可。

        將這個批處理軟件拖到“windowsà開始à程序à啟動”中。

        3)如果是網吧,可以利用收費軟件服務端程序(pubwin或者萬象都可以)發送批處理文件rarp.bat到所有客戶機的啟動目錄。Windows2000的默認啟動目錄為“C:\Documents and Settings\All Users「開始」菜單程序啟動”。

        2、在安全網關上綁定用戶主機的IP和MAC地址:

        在WebUIà高級配置à用戶管理中將局域網每臺主機均作綁定。

      Copyright ©  2002-2003 福州無為科技有限公司 All Rights Reserved
      TEL:(0591)83328007 83302707 83328134 28353007 13600802806 FAX:83302707
      E-mail:ltwww@263.net  abiao@wair.cn  QQ:112185
      地址:福建省福州市五一中路大利嘉城D區10層B19-20  郵編:350000

      備案序號:閩ICP備18025041號-1 我要啦免费统计
      18禁止导深夜福利备好纸巾

    2. <acronym id="6x9xz"><label id="6x9xz"></label></acronym><output id="6x9xz"></output>
      <tr id="6x9xz"></tr>

    3. <pre id="6x9xz"></pre>
      1. <td id="6x9xz"></td><acronym id="6x9xz"><strong id="6x9xz"><listing id="6x9xz"></listing></strong></acronym>

        <tr id="6x9xz"><label id="6x9xz"></label></tr>

        <p id="6x9xz"></p>

        <table id="6x9xz"></table>

          業務主管
           
          南平商務
           
          存儲卡+讀卡器
           
          公司商務