首页 » 其他 » 正文

arp攻击之后,ping失效了

arp攻击之后,ping失效

今天小涛午饭回来之后,突然360弹出一个框,说我被局域网内的192.168.1.1的arp攻击,拿不是网关么,怎么回事,然后用360跟踪了一下,发现了攻击者的真正ip,如图所示:

http://www.zoneself.org/
http://www.zoneself.org/

哈哈,追踪到了,是同事的ip,在短短的时间内攻击了这么多次:

http://www.zoneself.org/

幸亏被360拦截了,如果真的被攻击,后果将不堪设想啊,然后去同事的电脑上看了一下,毫不知情,所以,无奈让他重启后,攻击仍然进行,最后还原了一下,攻击停止了,我就想应该是下载东西的时候,电脑本身没有安装杀毒软件,所以病毒或者木马太猖狂,以致找到网关,通过网关来对局域网的电脑进行攻击,同样我的另一个同事也拦截到这个攻击,然后午休了一会,原以为没有事了,接下来问题更严重了,午休后运行自己的项目,总是提示连接数据库超时,经过分析之后,原来本机链接的数据库是局域网上的一个测试服务器,cmd打开dos,ping了一下,擦,ping不通,找到问题的原因了,然后ping了一下本机,是可以ping通的,然后依据命令依次执行了一下:

arp -a                       只是显示的本机的ip和网关的信息

ping 192.168.1.60      ping不同

arp -a                        后又执行改命令,还是没有出现60的信息,正常情况下是有的,然后执行以下命令:

arp -s 192.168.1.60 00-0c-f1-dc-e2-90   大体意思就是手动绑定到arp信任列表里

arp -a                       后又执行该命令,显示的数据时正确的

 

下面的截图是,正常后的:

 

http://www.zoneself.org/

自己可以根据正常后的截图,来进行对症下药,其中arp -a 显示了当前arp缓存里的内容,当前只有一项,就是网关的。

然后ping一台主机,当然是本网段内的主机,然后在用arp -a 发现arp缓存中多出了一项。

这就说明了,第一个ping包发出之前,是先发了一个ARP请求包来获得目的机的mac地址,然后再发出4个ping包并收到4个回复。此时该主机的mac地址就记录在了arp缓存中,当然他会有生存时间,一般大概是20分钟。

如果我们马上在ping一次,就不会再发ARP请求包了,因为mac地址已经在缓存中了。

附一些必备知识:

遭受ARP攻击后现象  

ARP欺骗木马的中毒现象表现为:使用局域网时会突然掉线,过一段时间后又会恢复正常。比如客户端状态频频变红,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp -d后,又可恢复上网。   ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。
      常用的维护方法
  搜索网上,目前对于ARP攻击防护问题出现最多是绑定IP和MAC和使用ARP防护软件,也出现了具有ARP防护功能的路由器。下面来了解以下三种方法:静态绑定(本篇文章就是此方法)、Antiarp和具有ARP防护功能的路由器。

技术分享,技术交流,小涛与您共同成长……

本文共 1 个回复

  • 西安搬家公司 2012/05/08 12:06

    劳动节刚过,一直忙,今天有空来看看博主~!

发表评论