网络管理预防ARP攻击

02-12

ARP攻击是网吧网络安全的一个重大隐患,它也是是网吧管理员的心腹大患。预防ARP攻击比解决ARP攻击相对而言要容易得多,也重要得多。如何预防预防ARP攻击,保障网吧网络安全?大家不妨参考以下方法:

在网络正常的情况下,记录备份网络内的IP/MAC表,检测时用arp–a命令列出网络内的arp表,主要对照一下网关的IP/MAC地址是否于原告备份的相符、是否有重复的IP或MAC地址,如有以上现象则可判定网络内存在ARP攻击。

操作上可通过工具软件如antiarpsniffer或NBTSCAN命令行来检测,预防或解决措施如下:

⑴清空ARP缓存

大家可能都曾经有过使用ARP的指令法解决过ARP欺骗问题,该方法是针对ARP欺骗原理进行解决的,过程如下:在命令行模式下输入arp-a命令来查看当前本机储存在本地系统ARP缓存中IP和MAC对应关系的信息;

使用arp-d命令,将储存在本机系统中的ARP缓存信息清空,这样错误的ARP缓存信息就被删除了,本机将重新从网络中获得正确的ARP信息,达到局域网机器间互访和正常上网的目的

如果是遇到使用ARP欺骗工具来进行攻击的情况,使用上述的方法完全可以解决但如果是感染ARP欺骗病毒,病毒每隔一段时间自动发送ARP欺骗数据包,这时使用清空ARP缓存的方法将无能为力了。

⑵指定ARP对应关系:

其实该方法就是强制指定ARP对应关系由于绝大部分ARP欺骗病毒都是针对网关MAC地址进行攻击的,使本机上ARP缓存中存储的网关设备的信息出现紊乱,这样当机器要上网发送数据包给网关时就会因为地址错误而失败,造成计算机无法上网。

我们假设网关地址的MAC信息为00-14-78-a7-77-5c,对应的IP地址为192.168.2.1,指定ARP对应关系就是指这些地址在感染了病毒的机器上,点击桌面->任务栏的“开始”->“运行”,输入cmd后回车,进入cmd命令行模式;

使用arp-s命令来添加一条ARP地址对应关系,例如arp-s192.168.2.100-14-78-a7-77-5c命令这样就将网关地址的IP与正确的MAC地址绑定好了,本机网络连接将恢复正常了;

因为每次重新启动计算机的时候,ARP缓存信息都会被全部清除所以我们应该把这个ARP静态地址添加指令写到一个批处理文件例如:bat中,然后将这个文件放到系统的启动项中当程序随系统的启动而加载的话,就可以免除因为ARP静态映射信息丢失的困扰了

⑶添加路由信息应对ARP欺骗

一般的ARP欺骗都是针对网关的,那么我们是否可以通过给本机添加路由来解决此问题呢只要添加了路由,那么上网时都通过此路由出去即可,自然也不会被ARP欺骗数据包干扰了。

第一步:先通过点击桌面上任务栏的“开始”->“运行”,然后输入cmd后回车,进入cmd黑色背景命令行模式;

第二步:手动添加路由,详细的命令如下:

删除默认的路由:routedelete0000;

添加路由:routeadd-p0000mask00001921681254metric1;

确认修改:routechange

此方法对网关固定的情况比较适合,如果将来更改了网关,那么就需要更改所有的客户端的路由配置了

⑷使用杀毒软件或专杀工具

以上就是预防预防ARP攻击,保障网吧网络安全的措施。防患于未然,才能为网吧用户带来更好的体验。