※ 引述《loui921 (雨過 天晴)》之銘言:
: ※ [本文轉錄自 AntiVirus 看板]
: 作者: loui921 (雨過 天晴) 看板: AntiVirus
: 標題: [問題] 關於ARP網路攻擊的疑問~希望大家解惑
: 時間: Sun Jan 13 02:23:18 2008
: 我不是中毒...預設的內容可以刪掉吼?
: 我蒐尋打了一下ARP...查不到什麼資料...
: 所以PO文詢問...如果PO錯地方請說一下~"~
: 最近我們學校常常遭受ARP網路攻擊
: 導致宿網非常不穩定
: 學校是直接把該中毒電腦的網路封鎖
: 讓他無法利用區域網路繼續攻擊其他電腦
: 但沒多久又會有新的電腦中類似的病毒
: 所以想請問一下有沒有比較好的預防方法
: 或者是殺毒 感覺好像一般的防毒軟體沒辦法殺掉他
: 才會一直到現在都沒有解決良策
: 因為PO到一半...順便也問問推薦的防火牆
: 如果可以爬文找到~麻煩告知一下
: 因為我正在趕期末>"<
: 只有時間大概看一下文
: 沒有很多時間去爬...
: 最後~在此先謝謝大家的回答^^
arp攻擊的部份,問題在於網路的邏輯架構不完整,
宿網又不太會去使用一個IP綁一個mac address的政策。
因為你不是網管人員,所以這邊我就不提掃描跟找出兇手的方法,
只提可以讓你不斷線的方法囉:
首先先知道arp攻擊的大概方式,簡單來說,當你要找GateWay的IP時,
會發送一個who has 10.0.0.1的arp封包,如果有中arp病毒的那台電腦這時就會發作,
跟你講說它有10.0.0.1的位置,mac address是"它的mac address"。
這樣你就找不到GateWay的mac address啦,然後就把封包都丟給那台偽裝的電腦。
所以大部分都稱它為arp偽裝攻擊。
再來說解決方法,打開cmd,
1.arp -a 查看你現在的arp列表
2.arp -d 清除所有arp列表
3.arp -s gatewate的mac address 將你gw的mac address手動綁定
上面的指令重開機之後就會失效,你可以寫一個bat檔一開機就執行。
--
--
: ※ [本文轉錄自 AntiVirus 看板]
: 作者: loui921 (雨過 天晴) 看板: AntiVirus
: 標題: [問題] 關於ARP網路攻擊的疑問~希望大家解惑
: 時間: Sun Jan 13 02:23:18 2008
: 我不是中毒...預設的內容可以刪掉吼?
: 我蒐尋打了一下ARP...查不到什麼資料...
: 所以PO文詢問...如果PO錯地方請說一下~"~
: 最近我們學校常常遭受ARP網路攻擊
: 導致宿網非常不穩定
: 學校是直接把該中毒電腦的網路封鎖
: 讓他無法利用區域網路繼續攻擊其他電腦
: 但沒多久又會有新的電腦中類似的病毒
: 所以想請問一下有沒有比較好的預防方法
: 或者是殺毒 感覺好像一般的防毒軟體沒辦法殺掉他
: 才會一直到現在都沒有解決良策
: 因為PO到一半...順便也問問推薦的防火牆
: 如果可以爬文找到~麻煩告知一下
: 因為我正在趕期末>"<
: 只有時間大概看一下文
: 沒有很多時間去爬...
: 最後~在此先謝謝大家的回答^^
arp攻擊的部份,問題在於網路的邏輯架構不完整,
宿網又不太會去使用一個IP綁一個mac address的政策。
因為你不是網管人員,所以這邊我就不提掃描跟找出兇手的方法,
只提可以讓你不斷線的方法囉:
首先先知道arp攻擊的大概方式,簡單來說,當你要找GateWay的IP時,
會發送一個who has 10.0.0.1的arp封包,如果有中arp病毒的那台電腦這時就會發作,
跟你講說它有10.0.0.1的位置,mac address是"它的mac address"。
這樣你就找不到GateWay的mac address啦,然後就把封包都丟給那台偽裝的電腦。
所以大部分都稱它為arp偽裝攻擊。
再來說解決方法,打開cmd,
1.arp -a 查看你現在的arp列表
2.arp -d 清除所有arp列表
3.arp -s gatewate的mac address 將你gw的mac address手動綁定
上面的指令重開機之後就會失效,你可以寫一個bat檔一開機就執行。
--
--
All Comments