PTT數位生活區 / NetSecurity (資安 資訊安全)

Re: [問題] 關於ARP網路攻擊的疑問~希望大家解惑

看板NetSecurity (資安 資訊安全)作者 (Sarod)時間16年前 (2008/01/14 17:29), 編輯推噓10(10019)
留言29則, 4人參與, 最新討論串2/2 (看更多)
※ 引述《loui921 (雨過 天晴)》之銘言: : ※ [本文轉錄自 AntiVirus 看板] : 作者: loui921 (雨過 天晴) 看板: AntiVirus : 標題: [問題] 關於ARP網路攻擊的疑問~希望大家解惑 : 時間: Sun Jan 13 02:23:18 2008 : 我不是中毒...預設的內容可以刪掉吼? : 我蒐尋打了一下ARP...查不到什麼資料... : 所以PO文詢問...如果PO錯地方請說一下~"~ : 最近我們學校常常遭受ARP網路攻擊 : 導致宿網非常不穩定 : 學校是直接把該中毒電腦的網路封鎖 : 讓他無法利用區域網路繼續攻擊其他電腦 : 但沒多久又會有新的電腦中類似的病毒 : 所以想請問一下有沒有比較好的預防方法 : 或者是殺毒 感覺好像一般的防毒軟體沒辦法殺掉他 : 才會一直到現在都沒有解決良策 : 因為PO到一半...順便也問問推薦的防火牆 : 如果可以爬文找到~麻煩告知一下 : 因為我正在趕期末>"< : 只有時間大概看一下文 : 沒有很多時間去爬... : 最後~在此先謝謝大家的回答^^ arp攻擊的部份,問題在於網路的邏輯架構不完整, 宿網又不太會去使用一個IP綁一個mac address的政策。 因為你不是網管人員,所以這邊我就不提掃描跟找出兇手的方法, 只提可以讓你不斷線的方法囉: 首先先知道arp攻擊的大概方式,簡單來說,當你要找GateWay的IP時, 會發送一個who has 10.0.0.1的arp封包,如果有中arp病毒的那台電腦這時就會發作, 跟你講說它有10.0.0.1的位置,mac address是"它的mac address"。 這樣你就找不到GateWay的mac address啦,然後就把封包都丟給那台偽裝的電腦。 所以大部分都稱它為arp偽裝攻擊。 再來說解決方法,打開cmd, 1.arp -a 查看你現在的arp列表 2.arp -d 清除所有arp列表 3.arp -s gatewate的mac address 將你gw的mac address手動綁定 上面的指令重開機之後就會失效,你可以寫一個bat檔一開機就執行。 -- -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 118.169.3.55
01/14 17:32, , 1F
arp -s 10.0.0.1 mac-address才對 少打了gw IP
01/14 17:32, 1F
01/14 18:35, , 2F
謝謝幫忙~~~我想這樣已經可以解決很多人的問題了^^
01/14 18:35, 2F
01/14 18:46, , 3F
所以我要打arp -s 157.55.85.xxx 類似這樣?
01/14 18:46, 3F
01/14 18:47, , 4F
而那IP就是getewate的mac address??
01/14 18:47, 4F
01/14 21:36, , 5F
你先用ipconfig /all查你的GW IP跟address
01/14 21:36, 5F
01/14 21:36, , 6F
arp -s ip macaddress ,ip跟address都是閘道器的
01/14 21:36, 6F
01/14 21:38, , 7F
打的格式類似 arp -s 192.168.1.1 00:14:51:7c:d9:e0
01/14 21:38, 7F
01/20 23:35, , 8F
但怎樣才能確知Gateway的mac是正確的呢? 因為我反覆的
01/20 23:35, 8F
01/20 23:35, , 9F
arp -d 和 ping gateway'IP 再去arp -a裡面看,發現mac
01/20 23:35, 9F
01/20 23:36, , 10F
位址會變動,所以不知道哪個才是真的gateway的mac,哪個
01/20 23:36, 10F
01/20 23:37, , 11F
是中毒電腦的mac? 因為在學網,所以不知如何查起...囧
01/20 23:37, 11F
01/20 23:40, , 12F
另外開機執行的bat,要怎麼寫呢? 直接放在啟動內嗎?
01/20 23:40, 12F
01/21 01:04, , 13F
我將簡單的解決方式放在此頁,因為這東西還會變種,如
01/21 01:04, 13F
01/21 01:05, , 14F
如果有其他的問題再提問,因為這東西還蠻麻煩的
01/21 01:05, 14F
01/21 02:04, , 16F
解毒的我丟另一篇,也可以確認一下自己是否中毒。
01/21 02:04, 16F
01/21 14:41, , 17F
目前情況為部份網頁無法開啟,大大給的連結開不起來..@@
01/21 14:41, 17F
01/21 14:45, , 18F
我用AntiARP跑出來的gateway mac 都是同一組,而用arp-a
01/21 14:45, 18F
01/21 14:45, , 19F
看到的GW mac卻會變動,真奇妙...囧
01/21 14:45, 19F
01/21 16:58, , 20F
我重新發一篇在下面了,希望能解決你的問題。
01/21 16:58, 20F
01/21 17:13, , 21F
因為AntiARP會先去確認GW的正常通道,arp這個指令單純
01/21 17:13, 21F
01/21 17:13, , 22F
只是給予使用者查看arp列表而已,不是修復工具,差別在此
01/21 17:13, 22F
01/21 17:15, , 23F
不過AntiARP算是使用第三方軟體來達成arp -s的功能,所
01/21 17:15, 23F
01/21 17:15, , 24F
以我不喜歡,萬一因此又中了木馬得不償失,故只介紹-s
01/21 17:15, 24F
01/21 18:28, , 25F
太感謝大大的熱心協助了...~~~ 我再跑跑看囉~
01/21 18:28, 25F
01/22 10:27, , 26F
謝謝大大的熱心協助>"<
01/22 10:27, 26F
01/22 18:55, , 27F
互相研究囉..反正我現在沒事作XD
01/22 18:55, 27F
02/23 02:24, , 28F
話說成大的宿網好像就是一個ip綁一個mac address?
02/23 02:24, 28F
02/23 02:28, , 29F
這篇好專業@@推!!
02/23 02:28, 29F
更多 evansariel 的文章
文章代碼(AID): #17Yok8fD (NetSecurity)
NetSecurity 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 evansariel 的文章
文章代碼(AID): #17Yok8fD (NetSecurity)