arp攻击分为哪些种类_ *** arp攻击有什么表现

hacker|
111

中ARP病毒症状是什么?

ARP攻击时的主要症状:

1、网上银行、游戏及 *** 账号的频繁丢失

一些人为了获取非法利益,利用ARP欺骗程序在网内进行非法活动,此类程序的主要目的在于破解账号登陆时的加密解密算法,通 过截取局域网中的数据包,然后以分析数据通讯协议的 *** 截获用户的信息。运行这类木马病毒,就可以获得整个局域网中上网用 户账号的详细信息并盗取。

2、网速时快时慢,极其不稳定,但单机进行光纤数据测试时一切正常

当局域内的某台计算机被ARP的欺骗程序非法侵入后,它就会持续地向网内所有的计算机及 *** 设备发送大量的非法ARP欺骗数据包, 阻塞 *** 通道,造成 *** 设备的承载过重,导致 *** 的通讯质量不稳定。

3、局域网内频繁性区域或整体掉线,重启计算机或 *** 设备后恢复正常

当带有ARP欺骗程序的计算机在网内进行通讯时,就会导致频繁掉线,出现此类问题后重启计算机或禁用网卡会暂时解决问题,但掉 线情况还会发生 。

希望采纳!!

ARP攻击有那些特征?

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,当局域网中的某台机器B向A发送一个自己伪造的ARP应答,而如果这个应答是B冒充C伪造来的,即IP地址为C的IP,而MAC地址是伪造的,则当A接收到B伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址已经不是原来那个了。由于局域网的 *** 流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成 *** 不通,导致A不能Ping通C!这就是一个简单的ARP欺骗。 2. *** 执法官利用的就是这个原理! 在 *** 执法官中,要想限制某台机器上网,只要点击"网卡"菜单中的"权限",选择指定的网卡号或在用户列表中点击该网卡所在行,从右键菜单中选择"权限",在弹出的对话框中即可限制该用户的权限。对于未登记网卡,可以这样限定其上线:只要设定好所有已知用户(登记)后,将网卡的默认权限改为禁止上线即可阻止所有未知的网卡上线。使用这两个功能就可限制用户上网。其原理是通过ARP欺骗发给被攻击的电脑一个假的网关IP地址对应的MAC,使其找不到网关真正的MAC地址,这样就可以禁止其上网。 3.修改MAC地址突破 *** 执法官的封锁

满意请采纳

被Arp病毒攻击后,电脑会出现什么特征啊?

您好,

主要反应是网速特别慢,而且不稳定,经常掉线

你可以安装一个电脑管家,打开ARP防护墙

这样就没事了

如果以后有其它问题,欢迎再来电脑管家企业平台咨询

如何判断交换机是否受到ARP攻击以及处理方式

如何判断交换机是否受到ARP攻击以及处理方式

一、如果 *** 受到了ARP攻击,可能会出现如下现象:

1、用户掉线、频繁断网、上网慢、业务中断或无法上网。

2、设备CPU占用率较高、设备托管、下挂设备掉线、设备主备状态震荡、设备端口指示灯红色快闪。

3、Ping有时延、丢包或不通。

定位ARP攻击时,请先排除链路、环路或路由问题,排除后再执行下面的步骤。执行过程中请保存以下步骤的执行结果,以便在故障无法解决时快速收集和反馈信息。

1、在网关上执行命令display cpu-defend statistics all,查看ARP Request、ARP Reply或ARP Miss报文的“Drop”计数是否增长。

如果计数为0,设备没有丢弃ARP报文。

如果有计数,表示设备收到的ARP报文由于超过了CPCAR的速率限制而被丢弃。

如果是ARP Miss报文丢弃很多,设备很可能受到了ARP Miss攻击。

如果是ARP Request或ARP Reply报文丢弃很多,设备很可能受到了ARP Request或ARP Reply报文攻击。

2、在网关上执行命令display arp all,查看用户的ARP表项是否存在。

如果ARP表项还在,请再查看用户的ARP表项,然后确定是否有用户或网关的ARP表项被改变。

如果是网关上用户ARP表项被改变,设备受到了ARP欺骗网关攻击。

在设备与用户连接的接口上获取报文头,分析ARP报文的源地址,找出攻击者。

建议找出攻击者后进行杀毒或卸载攻击工具。也可以在网关设备上配置防攻击功能,请根据情况选择配置。

3、系统视图下执行命令arp static,配置静态ARP表项。

如果下挂用户较少,可以通过配置静态ARP表项,绑定MAC地址和IP地址,确保IP地址不会被伪用户盗用。

4、系统视图或接口视图下执行命令arp anti-attack entry-check { fixed-mac | fixed-all | send-ack } enable,配置ARP表项固化功能。

fixed-mac方式适用于用户MAC地址固定,但用户接入位置频繁变动的场景。当用户从不同接口接入设备时,设备上该用户对应的ARP表项中的接口信息可以及时更新。

fixed-all方式适用于用户MAC地址固定,并且用户接入位置相对固定的场景。

send-ack方式适用于用户的MAC地址和接入位置均频繁变动的场景。

二、处理方式:

1、配置黑名单或黑洞MAC对攻击源的报文进行丢弃处理。

如果是用户的网关ARP表项被改变,设备受到了ARP仿冒网关攻击。

在设备与用户连接的接口上获取报文头,分析ARP报文的源地址,找出攻击者。

建议找出攻击者后进行杀毒或卸载攻击工具。也可以在网关设备上配置防攻击功能,请根据情况选择配置。

2、在网关的下行接口配置端口隔离,防止同一VLAN的用户收到攻击的ARP。

系统视图下执行命令arp anti-attack gateway-duplicate enable,使能ARP防网关冲突攻击功能。

3、在接口或VLAN视图下执行命令arp anti-attack check user-bind enable,使能动态ARP检测功能(即对ARP报文进行绑定表匹配检查功能)。

动态ARP检测功能主要用于防御中间人攻击的场景,避免合法用户的数据被中间人窃取。

4、在系统视图下执行命令arp anti-attack packet-check { ip | dst-mac | sender-mac }*,使能ARP报文合法性检查功能,并指定ARP报文合法性检查项。

配置后,还需应用该防攻击策略才能生效。

用户视图下执行命令display arp anti-attack configuration arp-speed-limit,查看是否配置了ARP报文限速。

系统视图下执行命令arp speed-limit source-ip [ ip-address ] maximum maximum,调整根据源IP地址进行ARP报文限速的限速值。

系统视图下执行命令arp speed-limit source-mac [ mac-address ] maximum maximum,调整根据源MAC地址进行ARP限速的限速值。

系统视图、VLAN视图或接口视图下执行命令arp anti-attack rate-limit packet packet-number,调整ARP报文的限速值。

遭受ARP攻击后现象征集

什么是ARP协议:

ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中, *** 中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。

如何查看ARP缓存表:

ARP缓存表是可以查看的,也可以添加和修改。在命令提示符下,输入“arp -a”就可以查看ARP缓存表中的内容了。

用“arp -d”命令可以删除ARP表中某一行的内容;用“arp -s”可以手动在ARP表中指定IP地址与MAC地址的对应。

ARP协议的工作原理:

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在 *** 中产生大量的ARP通信量使 *** 阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成 *** 中断或中间人攻击。

ARP攻击主要是存在于局域网 *** 中,局域网中若有一个人感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在 *** 内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。

ARP欺骗:

其实,此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首,是网吧老板和网管员的心腹大患。

从影响 *** 连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。

之一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“ *** 掉线了”。

一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。有些网管员对此不甚了解,出现故障时,认为PC没有问题,交换机没掉线的“本事”,电信也不承认宽带故障。而且如果之一种ARP欺骗发生时,只要重启路由器, *** 就能全面恢复,那问题一定是在路由器了。为此,宽带路由器背了不少“黑锅”。

作为网吧路由器的厂家,对防范ARP欺骗不得已做了不少份内、份外的工作。一、在宽带路由器中把所有PC的IP-MAC输入到一个静态表中,这叫路由器IP-MAC绑定。二、力劝网管员在内网所有PC上设置网关的静态ARP信息,这叫PC机IP-MAC绑定。一般厂家要求两个工作都要做,称其为IP-MAC双向绑定。

显示和修改“地址解析协议”(ARP) 所使用的到以太网的 IP 或令牌环物理地址翻译表。该命令只有在安装了 TCP/IP 协议之后才可用。

arp -a [inet_addr] [-N [if_addr]

arp -d inet_addr [if_addr]

arp -s inet_addr ether_addr [if_addr]

参数

-a

通过询问 TCP/IP 显示当前 ARP 项。如果指定了 inet_addr,则只显示指定计算机的 IP 和物理地址。

-g

与 -a 相同。

inet_addr

以加点的十进制标记指定 IP 地址。

-N

显示由 if_addr 指定的 *** 界面 ARP 项。

if_addr

指定需要修改其地址转换表接口的 IP 地址(如果有的话)。如果不存在,将使用之一个可适用的接口。

-d

删除由 inet_addr 指定的项。

-s

在 ARP 缓存中添加项,将 IP 地址 inet_addr 和物理地址 ether_addr 关联。物理地址由以连字符分隔的6 个十六进制字节给定。使用带点的十进制标记指定 IP 地址。项是永久性的,即在超时到期后项自动从缓存删除。

ether_addr

指定物理地址。

急需ARP攻击的表现形式?

ARP欺骗木马的中毒现象表现为:使用局域网时会突然掉线,过一段时间后又会恢复正常。比如客户端状态频频变红,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp -d后,又可恢复上网。

ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个 *** 的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如盗取 *** 密码、盗取各种 *** 游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。

0条大神的评论

发表评论