arp电脑一次发很多数据包(局域网内大量arp请求包)
1. 局域網(wǎng)內(nèi)大量arp請(qǐng)求包
查看ARP緩存表方法:
一:在Windows下查看ARP緩存信息是通過DOS命令來完成的,點(diǎn)擊"開始"菜單,選擇"命令",輸入 cmd 即可進(jìn)入命令提示符窗口。
二:在命令提示符窗口中鍵入 arp -a 可以查看ARP緩存中的內(nèi)容。
三:在命令提示符窗口中鍵入 arp -d 或 arp -d 可以刪除指定IP或全部的ARP緩存記錄。
arp緩存表是指在以太局域網(wǎng)內(nèi)數(shù)據(jù)包傳輸依靠的是MAC地址,IP地址與MAC對(duì)應(yīng)的關(guān)系依靠ARP表,每臺(tái)安裝有TCP/IP協(xié)議的主機(jī)(包括網(wǎng)關(guān))都有一個(gè)ARP緩存表。該表中保存這網(wǎng)絡(luò)中各個(gè)電腦的IP地址和MAC地址的對(duì)照關(guān)系。
正常情況下arp緩存表能夠有效的保證數(shù)據(jù)傳輸?shù)囊粚?duì)一性。但是ARP協(xié)議對(duì)應(yīng)的ARP緩存表維護(hù)機(jī)制中存在不完善的地方,當(dāng)主機(jī)收到一個(gè)ARP的應(yīng)答包后,它并不驗(yàn)證自己是否發(fā)送過這個(gè)ARP請(qǐng)求,而是直接將應(yīng)答包里的MAC地址與IP對(duì)應(yīng)的關(guān)系替換掉原有的ARP緩存表里的相應(yīng)信息。這就是導(dǎo)致arp欺騙的根本原因。
2. arp協(xié)議抓包
1.主機(jī)會(huì)通過廣播發(fā)送 ARP 請(qǐng)求,這個(gè)包中包含了想要知道的 MAC 地址的主機(jī) IP 地址。
2.當(dāng)同個(gè)鏈路中的所有設(shè)備收到 ARP 請(qǐng)求時(shí),會(huì)去拆開 ARP 請(qǐng)求包里的內(nèi)容,如果 ARP 請(qǐng)求包中的目標(biāo) IP 地址與自己的 IP 地址一致,那么這個(gè)設(shè)備就將自己的 MAC 地址塞入 ARP 響應(yīng)包返回給主機(jī)。
3.操作系統(tǒng)通常會(huì)把第一次通過 ARP 獲取的 MAC 地址緩存起來,以便下次直接從緩存中找到對(duì)應(yīng) IP 地址的 MAC 地址。
不過,MAC 地址的緩存是有一定期限的,超過這個(gè)期限,緩存的內(nèi)容將被清除
3. 哪些主機(jī)收到了arp請(qǐng)求包
ARP協(xié)議是“Address Resolution Protocol”(地址解析協(xié)議)的縮寫。在局域網(wǎng)中,網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖恰皫保瑤锩媸怯心繕?biāo)主機(jī)的MAC地址的。
在以太網(wǎng)中,一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信,必須要知道目標(biāo)主機(jī)的MAC地址。但這個(gè)目標(biāo)MAC地址是如何獲得的呢?它就是通過地址解析協(xié)議獲得的。所謂“地址解析”就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程。
ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址,查詢目標(biāo)設(shè)備的MAC地址,以保證通信的順利進(jìn)行。
ARP(AddressResolutionProtocol)地址解析協(xié)議用于將計(jì)算機(jī)的網(wǎng)絡(luò)地址(IP地址32位)轉(zhuǎn)化為物理地址(MAC地址48位)[RFC826]。ARP協(xié)議是屬于鏈路層的協(xié)議,在以太網(wǎng)中的數(shù)據(jù)幀從一個(gè)主機(jī)到達(dá)網(wǎng)內(nèi)的另一臺(tái)主機(jī)是根據(jù)48位的以太網(wǎng)地址(硬件地址)來確定接口的,而不是根據(jù)32位的IP地址。
內(nèi)核(如驅(qū)動(dòng))必須知道目的端的硬件地址才能發(fā)送數(shù)據(jù)。當(dāng)然,點(diǎn)對(duì)點(diǎn)的連接是不需要ARP協(xié)議的。 為了解釋ARP協(xié)議的作用,就必須理解數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸過程。
這里舉一個(gè)簡(jiǎn)單的PING例子。
假設(shè)我們的計(jì)算機(jī)IP地址是192.168.1.1,要執(zhí)行這個(gè)命令:ping192.168.1.2。
該命令會(huì)通過ICMP協(xié)議發(fā)送ICMP數(shù)據(jù)包。
該過程需要經(jīng)過下面的步驟:
1、應(yīng)用程序構(gòu)造數(shù)據(jù)包,該示例是產(chǎn)生ICMP包,被提交給內(nèi)核(網(wǎng)絡(luò)驅(qū)動(dòng)程序);
2、內(nèi)核檢查是否能夠轉(zhuǎn)化該IP地址為MAC地址,也就是在本地的ARP緩存中查看IP-MAC對(duì)應(yīng)表;
3、如果存在該IP-MAC對(duì)應(yīng)關(guān)系,那么跳到步驟9;如果不存在該IP-MAC對(duì)應(yīng)關(guān)系,那么接續(xù)下面的步驟;
4、內(nèi)核進(jìn)行ARP廣播,目的地的MAC地址是FF-FF-FF-FF-FF-FF,ARP命令類型為REQUEST(1),其中包含有自己的MAC地址;
5、當(dāng)192.168.1.2主機(jī)接收到該ARP請(qǐng)求后,就發(fā)送一個(gè)ARP的REPLY(2)命令,其中包含自己的MAC地址;
6、本地獲得192.168.1.2主機(jī)的IP-MAC地址對(duì)應(yīng)關(guān)系,并保存到ARP緩存中;
7、內(nèi)核將把IP轉(zhuǎn)化為MAC地址,然后封裝在以太網(wǎng)頭結(jié)構(gòu)中,再把數(shù)據(jù)發(fā)送出去; 使用arp-a命令就可以查看本地的ARP緩存內(nèi)容,所以,執(zhí)行一個(gè)本地的PING命令后,ARP緩存就會(huì)存在一個(gè)目的IP的記錄了。
當(dāng)然,如果你的數(shù)據(jù)包是發(fā)送到不同網(wǎng)段的目的地,那么就一定存在一條網(wǎng)關(guān)的IP-MAC地址對(duì)應(yīng)的記錄。 知道了ARP協(xié)議的作用,就能夠很清楚地知道,數(shù)據(jù)包的向外傳輸很依靠ARP協(xié)議,當(dāng)然,也就是依賴ARP緩存。要知道,ARP協(xié)議的所有操作都是內(nèi)核自動(dòng)完成的,同其他的應(yīng)用程序沒有任何關(guān)系。同時(shí)需要注意的是,ARP協(xié)議只使用于本網(wǎng)絡(luò)。
4. 交換機(jī)端口接收過多arp包
先說一下為什么要有代理arp:如果ARP請(qǐng)求是從一個(gè)網(wǎng)絡(luò)的主機(jī)發(fā)往同一網(wǎng)段卻不在同一物理網(wǎng)絡(luò)上的另一臺(tái)主機(jī),那么連接它們的具有代理ARP功能的設(shè)備就可以回答該請(qǐng)求,這個(gè)過程稱作代理ARP(ProxyARP)。
代理ARP分為代理ARP和本地代理ARP。同一網(wǎng)段內(nèi)連接到設(shè)備的不同VLAN接口的主機(jī)可以利用設(shè)備的代理ARP功能,通過三層轉(zhuǎn)發(fā)實(shí)現(xiàn)互通。為了實(shí)現(xiàn)三層互通,在下面兩種情況之一需要開啟本地代理ARP功能。
連接到交換機(jī)同一個(gè)VLAN,相互隔離的端口下的設(shè)備要實(shí)現(xiàn)三層互通;交換機(jī)下掛的設(shè)備使能Isolate-user-vlan功能后,屬于不同SecondaryVLAN下的設(shè)備要實(shí)現(xiàn)三層互通。由此可見,代理arp的功能是做什么的。
默認(rèn)交換機(jī)下是關(guān)閉代理arp的。如果在沒有需求的情況下開啟了代理arp的功能,可能會(huì)導(dǎo)致路由環(huán)路等問題出現(xiàn)。
5. arp包過多
1、檢查網(wǎng)絡(luò)設(shè)備、網(wǎng)線是否有損壞,排除了硬件設(shè)備故障。
2、檢查內(nèi)網(wǎng)是否經(jīng)常有人大量下載或者使用P2P終結(jié)者等攻擊軟件。通過觀察和走訪發(fā)現(xiàn)也不是這個(gè)原因造成的,公司同事對(duì)電腦技術(shù)懂的很少,并且公司有明確規(guī)定,上班時(shí)間不允許看視頻和下載東西。
3、檢查內(nèi)網(wǎng)是否存在網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)攻擊。使用sniffer抓包分析網(wǎng)絡(luò)流量,發(fā)現(xiàn)內(nèi)網(wǎng)充斥大量的異常數(shù)據(jù),并且有ARP攻擊、DDOS攻擊。至此可以確定本次網(wǎng)絡(luò)問題是由于內(nèi)網(wǎng)攻擊造成的。
確定了故障原因,下一步就是使用合適的解決辦法。在使用了ARP防火墻、IP-MAC綁定之后,發(fā)現(xiàn)網(wǎng)絡(luò)掉線依舊,并沒有很好的改善。束手無策之際,一位師兄給我指明了方向,網(wǎng)絡(luò)問題要用網(wǎng)絡(luò)方法解決。
我查了大量資料,終于弄清了ARP攻擊的原理:ARP不是病毒,而是一種“協(xié)議性攻擊行為”,只所以稱之為病毒,是因?yàn)槟壳癆RP攻擊工具的傳播方式與發(fā)作現(xiàn)象已經(jīng)愈來愈接近病毒。ARP(地址解釋協(xié)議)是網(wǎng)絡(luò)通信協(xié)議中的不可缺少的關(guān)鍵協(xié)議,它是負(fù)責(zé)將IP地址轉(zhuǎn)換為對(duì)應(yīng)MAC地址的協(xié)議。ARP的存在給了好事者可趁之機(jī),但如果缺少了ARP協(xié)議,網(wǎng)絡(luò)設(shè)備之間將無法進(jìn)行通訊,這是為什么對(duì)ARP投鼠忌器的主要原因。
ARP病毒可分為兩種,一種是ARP欺騙,一種是ARP攻擊。ARP欺騙最先是黑客們偷盜網(wǎng)絡(luò)賬號(hào)使用的,后來被廣泛用于類似網(wǎng)路崗、網(wǎng)絡(luò)執(zhí)法官之類的網(wǎng)絡(luò)管理工具,被騙主機(jī)會(huì)將數(shù)據(jù)發(fā)送給偽裝的主機(jī),從而達(dá)到截獲數(shù)據(jù)的目的。而ARP攻擊純粹是以破壞網(wǎng)絡(luò)通訊為主要目的,發(fā)送虛假的ARP請(qǐng)求包或應(yīng)答包,使得網(wǎng)絡(luò)內(nèi)所有主機(jī)都失去了有序的組織和聯(lián)系。
ARP病毒的傳播,必須有“肉雞”,就是容易被感染的宿主機(jī),通過得到宿主機(jī)的控制權(quán)來發(fā)送ARP欺騙、虛假的ARP請(qǐng)求包和應(yīng)答包。由于沒有明顯的特征字以及ARP在網(wǎng)絡(luò)通訊中的重要地位,防毒墻和防火墻應(yīng)對(duì)ARP病毒也束手無策。所以從源頭上堵住問題數(shù)據(jù)的流出,同時(shí)放行合法的ARP數(shù)據(jù)包,才是徹底擺脫ARP困擾的終極解決方案。
這是由于以太網(wǎng)協(xié)議存在漏洞造成的,也就是為什么ARP防火墻、360、IP-MAC綁定出現(xiàn)這么久之后,ARP攻擊還是一直無法防治的原因,ARP防火墻、360防不了ARP攻擊!
并且目前信息網(wǎng)絡(luò)問題頻出,掉線、網(wǎng)速慢、內(nèi)網(wǎng)服務(wù)器訪問緩慢等,很多并不在于網(wǎng)絡(luò)設(shè)備的高級(jí)低級(jí),也不在于防火墻、殺毒等手段的實(shí)施,它的根源就在于以太網(wǎng)協(xié)議存在先天漏洞、不擅長(zhǎng)管理這兩大弊端。一旦這個(gè)弊端被黑客利用,內(nèi)網(wǎng)的每一臺(tái)PC都可能成為攻擊源,從內(nèi)網(wǎng)發(fā)起攻擊。而PC被感染的途徑太多,訪問網(wǎng)頁(yè)、收郵件、聊天下載、移動(dòng)筆記本、插U盤等等,都可能中招,防不勝防。統(tǒng)計(jì)數(shù)據(jù)表明,網(wǎng)絡(luò)問題80%是內(nèi)網(wǎng)引起的,就是這個(gè)原因。
目前的網(wǎng)絡(luò)安全產(chǎn)品,防火墻、UTM防御外網(wǎng)對(duì)內(nèi)網(wǎng)的攻擊,殺毒軟件保證單機(jī)安全,而防護(hù)內(nèi)網(wǎng)的產(chǎn)品卻很少。后來找到了一家專門針對(duì)內(nèi)網(wǎng)基礎(chǔ)安全、解決內(nèi)網(wǎng)攻擊的產(chǎn)品---免疫墻技術(shù)。
免疫墻能夠?qū)⑵胀ňW(wǎng)絡(luò)升級(jí)為免疫網(wǎng)絡(luò),從網(wǎng)絡(luò)底層、每個(gè)終端上進(jìn)行防控監(jiān)測(cè),不僅能防止本機(jī)不受攻擊,還能攔截本機(jī)對(duì)外的網(wǎng)絡(luò)攻擊。安裝在PC機(jī)上的免疫墻終端能夠完成對(duì)MAC-IP的看守式綁定,徹底根除ARP病毒影響,即使本機(jī)中毒(刪除本機(jī)的靜態(tài)綁定列表),也不能對(duì)自身和網(wǎng)絡(luò)造成影響。加固網(wǎng)絡(luò)基礎(chǔ)安全,填補(bǔ)以太網(wǎng)協(xié)議漏洞,能夠徹底有效的解決內(nèi)網(wǎng)攻擊問題。
并且免疫墻的技術(shù)范圍能夠拓展到網(wǎng)絡(luò)的最末端,深入到協(xié)議的最底層、盤查到外網(wǎng)的出入口、總覽到內(nèi)網(wǎng)的最全貌,使網(wǎng)絡(luò)本身具有自主防御和管理的功能,網(wǎng)絡(luò)可控、可管、可防、可觀。
使用了免疫墻技術(shù)之后,在免疫墻的監(jiān)控界面中看到了攔截了很多網(wǎng)絡(luò)攻擊,現(xiàn)在網(wǎng)絡(luò)很穩(wěn)定,沒有再出現(xiàn)過掉線了。
在遇到網(wǎng)絡(luò)問題時(shí),我們一定要思路清晰,確定排查方案,在找到故障原因后,確定解決方案。并且要不恥下問,多向他人請(qǐng)教;查閱資料,了解新技術(shù),把握網(wǎng)絡(luò)技術(shù)的發(fā)展
6. ARP請(qǐng)求包
1、TCP屬于面向連接的協(xié)議,UDP屬于面向無連接的協(xié)議
2、TCP可以保證數(shù)據(jù)可靠、有序的傳輸,可以進(jìn)行流量控制,UDP無法實(shí)現(xiàn)。
3、TCP協(xié)議有效載荷小于UDP協(xié)議(基于MSS計(jì)算),UDP性能高于TCP
4、TCP一般用于可靠的,對(duì)延時(shí)要求不高的應(yīng)用,UDP一般應(yīng)用于小數(shù)據(jù)量或?qū)ρ訒r(shí)敏感的應(yīng)用。
arp:在TCP/IP協(xié)議中,A給B發(fā)送IP包時(shí),在A不知道B的MAC地址的情況下,A就廣播一個(gè)ARP請(qǐng)求包,請(qǐng)求包中填有B的IP(192.168.1.2),以太網(wǎng)中的所有計(jì)算機(jī)都會(huì)接收這個(gè)請(qǐng)h求,而正常的情況下只有B會(huì)給出ARP應(yīng)答包,包中就填充上了B的MAC地址,并回復(fù)給A。A得到ARP應(yīng)答后,將B的MAC地址放入本機(jī)緩存,便于下次使用。
7. arp請(qǐng)求數(shù)據(jù)包
ARP地址解析過程
假設(shè)主機(jī)A和B在同一個(gè)網(wǎng)段,主機(jī)A要向主機(jī)B發(fā)送信息。具體的地址解析過程如下:
(1) 主機(jī)A首先查看自己的ARP表,確定其中是否包含有主機(jī)B對(duì)應(yīng)的ARP表項(xiàng)。如果找到了對(duì)應(yīng)的MAC地址,則主機(jī)A直接利用ARP表中的MAC地址,對(duì)IP數(shù)據(jù)包進(jìn)行幀封裝,并將數(shù)據(jù)包發(fā)送給主機(jī)B。
(2) 如果主機(jī)A在ARP表中找不到對(duì)應(yīng)的MAC地址,則將緩存該數(shù)據(jù)報(bào)文,然后以廣播方式發(fā)送一個(gè)ARP請(qǐng)求報(bào)文。ARP請(qǐng)求報(bào)文中的發(fā)送端IP地址和發(fā)送端MAC地址為主機(jī)A的IP地址和MAC地址,目標(biāo)IP地址和目標(biāo)MAC地址為主機(jī)B的IP地址和全0的MAC地址。由于ARP請(qǐng)求報(bào)文以廣播方式發(fā)送,該網(wǎng)段上的所有主機(jī)都可以接收到該請(qǐng)求,但只有被請(qǐng)求的主機(jī)(即主機(jī)B)會(huì)對(duì)該請(qǐng)求進(jìn)行處理。
(3) 主機(jī)B比較自己的IP地址和ARP請(qǐng)求報(bào)文中的目標(biāo)IP地址,當(dāng)兩者相同時(shí)進(jìn)行如下處理:將ARP請(qǐng)求報(bào)文中的發(fā)送端(即主機(jī)A)的IP地址和MAC地址存入自己的ARP表中。之后以單播方式發(fā)送ARP響應(yīng)報(bào)文給主機(jī)A,其中包含了自己的MAC地址。
(4) 主機(jī)A收到ARP響應(yīng)報(bào)文后,將主機(jī)B的MAC地址加入到自己的ARP表中以用于后續(xù)報(bào)文的轉(zhuǎn)發(fā),同時(shí)將IP數(shù)據(jù)包進(jìn)行封裝后發(fā)送出去。
8. arp請(qǐng)求包傳播方式
要看病毒類型,并不是所有的病毒都會(huì)傳播的。一般在同一個(gè)網(wǎng)絡(luò)的,蠕蟲病毒會(huì)通過系統(tǒng)的文件共享服務(wù)的漏洞進(jìn)行感染,而有些則會(huì)用ARP進(jìn)行網(wǎng)關(guān)欺騙等方法進(jìn)行傳播或者用系統(tǒng)的漏洞進(jìn)行傳播。
9. 網(wǎng)絡(luò)上有大量arp包怎么辦
ARP(Address Resolution Protocol,地址解析協(xié)議)是一個(gè)位于TCP/IP協(xié)議棧中的底層協(xié)議,負(fù)責(zé)將某個(gè)IP地址解析成對(duì)應(yīng)的MAC地址。
ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址,查詢目標(biāo)設(shè)備的MAC地址,以保證通信的進(jìn)行。ARP攻擊就是通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙,能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞,攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目,造成網(wǎng)絡(luò)中斷或中間人攻擊。ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中,局域網(wǎng)中若有一臺(tái)計(jì)算機(jī)感染ARP木馬,則感染該ARP木馬的系統(tǒng)將會(huì)試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信信息,并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障
10. 局域網(wǎng)內(nèi)大量arp請(qǐng)求包怎么刪除
arp病毒并不是某一種病毒的名稱,而是對(duì)利用arp協(xié)議的漏洞進(jìn)行傳播的一類病毒的總稱。arp協(xié)議是TCP/IP協(xié)議組的一個(gè)協(xié)議,用于進(jìn)行把網(wǎng)絡(luò)地址翻譯成物理地址(又稱MAC地址)。通常此類攻擊的手段有兩種:路由欺騙和網(wǎng)關(guān)欺騙。是一種入侵電腦的木馬病毒。
故障現(xiàn)象
當(dāng)局域網(wǎng)內(nèi)有某臺(tái)電腦運(yùn)行了此類ARP欺騙的木馬的時(shí)候,其他用戶原來直接通過路由器上網(wǎng)切換到病毒主機(jī)上網(wǎng)后,那么病毒主機(jī)就會(huì)經(jīng)常偽造斷線的假像。由于ARP欺騙的木馬發(fā)作的時(shí)候會(huì)發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞,用戶會(huì)感覺上網(wǎng)速度越來越慢。當(dāng)木馬程序停止運(yùn)行時(shí),用戶會(huì)恢復(fù)從路由器上網(wǎng),切換中用戶會(huì)再斷一次線。
該機(jī)一開機(jī)上網(wǎng)就不斷發(fā)Arp欺騙報(bào)文,即以假冒的網(wǎng)卡物理地址向同一子網(wǎng)的其它機(jī)器發(fā)送Arp報(bào)文,甚至假冒該子網(wǎng)網(wǎng)關(guān)物理地址蒙騙其它機(jī)器,使網(wǎng)內(nèi)其它機(jī)器改經(jīng)該病毒主機(jī)上網(wǎng),這個(gè)由真網(wǎng)關(guān)向假網(wǎng)關(guān)切換的過程中其它機(jī)器會(huì)斷一次網(wǎng)。倘若該病毒機(jī)器突然關(guān)機(jī)或離線,則其它機(jī)器又要重新搜索真網(wǎng)關(guān),于是又會(huì)斷一次網(wǎng)。所以會(huì)造成某一子網(wǎng)只要有一臺(tái)或一臺(tái)以上這樣的病毒機(jī)器,就會(huì)使其他人上網(wǎng)斷斷續(xù)續(xù),嚴(yán)重時(shí)將使整個(gè)網(wǎng)絡(luò)癱瘓。這種病毒(木馬)除了影響他人上網(wǎng)外,也以竊取病毒機(jī)器和同一子網(wǎng)內(nèi)其它機(jī)器上的用戶帳號(hào)和密碼(如QQ和網(wǎng)絡(luò)游戲等的帳號(hào)和密碼)為目的,而且它發(fā)的是Arp報(bào)文,具有一定的隱秘性,如果占系統(tǒng)資源不是很大,又無防病毒軟件監(jiān)控,一般用戶不易察覺。這種病毒開學(xué)初主要發(fā)生在學(xué)生宿舍,據(jù)最近調(diào)查,現(xiàn)在已經(jīng)在向辦公區(qū)域和教工住宅區(qū)域蔓延,而且呈越演越烈之勢(shì)現(xiàn)在轉(zhuǎn)由通過病毒主機(jī)上網(wǎng),切換的時(shí)候用戶會(huì)斷一次線。
解決方案
ARP病毒一般出現(xiàn)局域網(wǎng),在路由上進(jìn)行綁定MAC地址,現(xiàn)在好多路由器或上網(wǎng)行為管理軟件都支持不定時(shí)自動(dòng)廣播網(wǎng)關(guān)的,可以達(dá)到預(yù)防ARP病毒的情形。最好的辦法就是在路由和本機(jī)都進(jìn)行整個(gè)網(wǎng)絡(luò)的IP與MAC地址的全部綁定,也就是把ARP的映射又動(dòng)態(tài)變?yōu)殪o態(tài)的,這樣就算有病毒,也影響不了其它電腦。
還就是最好有整個(gè)網(wǎng)絡(luò)的IP MAC對(duì)應(yīng)表,然后在安裝有ARP防火墻的電腦上查看病毒電腦的IP,IP可能自動(dòng)變,因?yàn)橛袝r(shí)候不一定只是一臺(tái)中毒。主要查看MAC的地址,然后在表格里查看對(duì)應(yīng)的是那臺(tái)主機(jī),拔掉網(wǎng)線,查殺病毒。現(xiàn)在一般查殺木馬惡意軟件的工具,都可以查殺。
如果交換機(jī)支持VLAN 的話,就比較好了,因?yàn)锳RP病毒是通過廣播來傳播的,劃分了VALN就達(dá)到了隔離的目的。在較小的范圍里進(jìn)行查殺。
主要就是要定時(shí)檢查那臺(tái)電腦沒有安裝殺毒軟件,感染病毒的機(jī)率很大。公司查到的幾臺(tái)電腦全是沒有安裝殺毒軟件。。。。
祝你好運(yùn)。。。。
11. 局域網(wǎng)大量arp廣播包
首先,這兩個(gè)本質(zhì)上是一樣的。ARP綁定也是IP/MAC綁定,ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址,查詢目標(biāo)設(shè)備的MAC地址,以保證通信的進(jìn)行。
先來了解什么是ARP欺騙?
①在局域網(wǎng)中,黑客經(jīng)過收到的ARP Request廣播包,能夠偷聽到其它節(jié)點(diǎn)的 (IP, MAC) 地址, 黑客就偽裝為A,告訴B (受害者) 一個(gè)假地址,使得B在發(fā)送給A 的數(shù)據(jù)包都被黑客截取,而A, B 渾然不知。
②為什么黑客能夠進(jìn)行ARP欺騙? ARP 是個(gè)早期的網(wǎng)絡(luò)協(xié)議,RFC826在 1980就出版了。早期的互聯(lián)網(wǎng)采取的是信任模式,在科研、大學(xué)內(nèi)部使用,追求功能、速度,沒考慮網(wǎng)絡(luò)安全。尤其以太網(wǎng)的泛洪特點(diǎn),能夠很方便的用來查詢。但這也為日后的黑客開了方便之門。黑客只要在局域網(wǎng)內(nèi)閱讀送上門來的ARP Request就能偷聽到網(wǎng)內(nèi)所有的 (IP, MAC)地址。而節(jié)點(diǎn)收到ARP Reply時(shí),也不會(huì)質(zhì)疑。黑客很容易冒充他人。
那么做了ARP綁定后有什么好處呢?
答:可有效的防止ARP攻擊和欺騙導(dǎo)致的網(wǎng)絡(luò)異常
總結(jié)
以上是生活随笔為你收集整理的arp电脑一次发很多数据包(局域网内大量arp请求包)的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: android webview js 交
- 下一篇: Win7系统电脑开机很慢的优化方法(电脑