1、首先启动360安全卫士,点击功能大全中的流量防火墙功能。
2、如果在主界面中没有找到流量防火墙,就点击功能大全旁边的更多按钮,在已添加的功能中就能找到。
3、 在顶部的工具栏中选择局域网防护功能按钮。
4、对外Arp攻击拦截选择成已开启状态。设置完毕,这样Arp防火墙就开启了,就可以为我们抵御Arp攻击了。
5、再点击防蹭网功能按钮,扫描一下同一局域网内的上网设备,最好在其他设备上也做以上设置,开通Arp防火墙这样就可以杜绝Arp攻击了。
6、最后在做一次全盘病毒扫描查杀一下病毒。
首先一点,ARP是只有二层MAC地址的广播包,如果有ARP攻击,也是连接在二层交换网络的主机所为,如果是企业网,也是内部员工干的,有时甚至是出问题的网卡触发的。
这种ARP广播只要show interface summary 类似得命令,会看到每个接口 in/out unicast ,multicast ,broadcast 的统计,每10秒刷新一次,再 show一下就可以看到接口统计得变化,只要关心in方向的broadcast 增加最大得接口。那个接口就是肇事接口。
如果是有线网络,如果交换机上有这个feature:arp inspection,可以很快发现这种行为,一般交换机接一个host,或host + IP电话,一个接口最多两个地址足够了,如果发现异常情况,可以直接触发error disable ,关掉接口。
如果交换机下接Hub,可能会有多个主机,多个MAC,这种很难跟踪,因为HUB就是一个集线器,无从知道哪个端口发出来的。这个问题又牵扯到企业网的安全认证了,无论有线、无线,都需要认证,先802.1x认证,对应企业员工;
MAC认证:打印机、不支持802.1x 的设备;
web认证:临时访客,分配单独VLAN,分配最低权限,即只能访问Internet的权限。
所有交换机、AP都启用这个安全认证,这样一旦发生攻击 可以很快定位某台交换机某个端口,可以找到惹事的个人,有证据在,不怕抵赖。
aRP协议的那些自动化额,发送大量无法识别的报文特性,又或者是识别的报文不明确的特性可被攻击者利用。
ARP泛洪攻击,也叫拒绝服务攻击DoS(Denial of Service)
主要存在这样两种场景:
1、设备处理ARP报文和维护ARP表项都需要消耗系统资源,同时为了满足ARP表项查询效率的要求,一般设备 都会对ARP表项规模有规格限制。
攻击者就利用这一点,通过伪造大量源IP地址变化的ARP报文,使得设备ARP表资源被无效的ARP条目耗尽,合法用户的ARP报文不能继续生成ARP条目,导致正常通信中断。
2、攻击者利用工具扫描本网段主机或者进行跨网段扫描时,会向设备发送大量目标IP地址不能解析的IP报文, 导致设备触发大量ARP Miss消息,生成并下发大量临时ARP表项,并广播大量ARP请求报文以对目标IP地址进行解析,从而造成CPU(Central Processing Unit)负荷过重。
2、ARP欺骗攻击
是指攻击者通过发送伪造的ARP报文,恶意修改设备或网络内其他用户主机的ARP表项,造成用户或网络的报文通信异常。
ARP攻击行为存在以下危害:
1、会造成网络连接不稳定,引发用户通信中断,导致严重的经济损失。
2、利用ARP欺骗截取用户报文,进而非法获取游戏、网银、文件服务等系统的帐号和口令,造成被攻击者重大利益损失。为了避免上述ARP攻击行为造成的各种危害,可以部署ARP安全特性。
二、原理
1、ARP报文限速原理
如果设备对收到的大量ARP报文全部进行处理,可能导致CPU负荷过重而无法处理其他业务。因此,在处理之前,设备需要对ARP报文进行限速,以保护CPU资源。
设备提供了如下几类针对ARP报文的限速功能:
1、根据源MAC地址或源IP地址进行ARP报文限速
当设备检测到某一个用户在短时间内发送大量的ARP报文,可以针对该用户配置基于源MAC地址或源IP地址的ARP报文限速。在1秒时间内,如果该用户的ARP报文数目超过设定阈值(ARP报文限速值),则丢弃超出阈值部分的ARP报文。
1.1、根据源MAC地址进行ARP报文限速:
如果指定MAC地址,则针对指定源MAC地址的ARP报文根据限速值进行限速;如果不指定MAC地址,则针对每一个源MAC地址的ARP报文根据限速值进行限速。
1.2、根据源IP地址进行ARP报文限速:
如果指定IP地址,则针对指定源IP地址的ARP报文根据限速值进行限速;如果不指定IP地址,则针对每一个源IP地址的ARP报文根据限速值进行限速。
2、针对Super VLAN的VLANIF接口下的ARP报文限速
当设备的VLANIF接口接收到触发ARP Miss消息的IP报文时,或者在设备的VLANIF接口上启用ARP代理功能之后,设备接收到目的IP符合代理条件且该IP对应的ARP条目不存在的ARP请求报文时,都会触发Super VLAN的VLANIF接口进行ARP学习。
设备会将ARP请求报文在每个Sub VLAN下复制,如果该Super VLAN下配置了大量Sub VLAN,那么设备将产生大量的ARP请求报文。
为了避免CPU因复制、发送大量ARP请求报文而负担过重,设备支持Super VLAN的VLANIF接口下的ARP报文限速功能,以对该场景下设备发送的ARP请求报文进行流量控制。
3、针对全局、VLAN和接口的ARP报文限速
设备支持在全局、VLAN和接口下配置ARP报文的限速值和限速时间,当同时在全局、VLAN和接口下配置ARP报文的限速值和限速时间时,设备会先按照接口进行限速,再按照VLAN进行限速,最后按照全局进行限速。
另外,在接口下还可以指定阻塞ARP报文的时间段。如果设备的某个接口在ARP报文限速时间内接收到的ARP报文数目超过了设定阈值(ARP报文限速值),则丢弃超出阈值部分的ARP报文,并在接下来的一段时间内(即阻塞ARP报文时间段)持续丢弃该接口下收到的所有ARP报文。
3.1、针对全局的ARP报文限速:
在设备出现ARP攻击时,限制全局处理的ARP报文数量。
3.2、针对VLAN的ARP报文限速:
在某个VLAN内的所有接口出现ARP攻击时,限制处理收到的该VLAN内的ARP报文数量,配置本功能可以保证不影响其他VLAN内所有接口的ARP学习。
3.3、针对接口的ARP报文限速:
在某个接口出现ARP攻击时,限制处理该接口收到的ARP报文数量,配置本功能可以保证不影响其他接口的ARP学习。
2、ARP Miss消息限速原理
如果网络中有用户向设备发送大量目标IP地址不能解析的IP报文(即路由表中存在该IP报文的目的IP对应的路由表项,但设备上没有该路由表项中下一跳对应的ARP表项),将导致设备触发大量的ARP Miss消息。
网关绑定终端MAC地址,终端绑定网关MAC地址。ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的网络层,负责将某个IP地址解析成对应的MAC地址。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。ARP攻击的局限性,ARP攻击仅能在以太网(局域网如:机房、内网、公司网络等)进行。无法对外网(互联网、非本区域内的局域网)进行攻击。
通过路由器设定静态ARP列表彻底屏蔽局域网内ARP攻击。
1、登录路由器。在浏览器中输入路由器WEB管理地址(一般为192.168.1.1),回车,按照提示输入帐号密码(大多数默认为admin),点击“确定”登录。
2、依次点击“IP与MAC绑定”—“静态ARP绑定设置”,选中“启用”,然后点击“确定”。
3、点击“添加新条目”,按照提示把计算机的IP地址和MAC地址录入进去。然后点击“确定”。
4、然后把局域网中的计算机信息全部录入即可。如果局域网计算机过多,那么工作量就会很重,如果碰到有人乱改IP地址,那么后续工作量会更大。那么对于计算机量很大的局域网可以采用下述方法。
1、在电脑桌面双击打开浏览器,在搜索框中输入路由器的web管理地址(具体地址参照说明书),然后点击回车键登录。
2、在路由器web管理的登录界面,按照提示输入初始账号和密码(具体参考路由器的说明书,一般会有记录),然后点击确定登录。
3、在web管理主界面的左侧菜单中点击展开IP与MAC绑定,然后选中其下的ARP映射表。
4、在右侧窗口中找到并点击全部导入。
5、在左侧菜单中点击静态ARP绑定设置。
6、在右侧窗口中首先勾选启用,然后点击保存,最后找到并点击使所有条目生效。
7、在左侧菜单中找到并点击DHCP服务器。
8、在右侧窗口中勾选不启用DHCP服务器,最后点击保存即可。
方法步骤:该局域网内有一台主机断网,经排查并无硬件影响,IP获取正常,但是时不时的掉线,PING外网时断时续,偶尔还提示IP地址冲突,判定为ARP攻击,然后查看改机的IP地址:使用快捷键win键+r输入cmd,点击确定。
2.在运行窗口中输入ipconfig /all,把查询到的IP地址和MAC地址记下,然后登陆路由器。
3.在路由器中依次点击DHCP服务器—客户端列表,根据刚刚记录的IP地址查看使用的客户端,如果该客户端与刚记录的MAC地址不同,那么说明攻击源为这台主机。
4.锁定攻击源之后首先对其进行隔离,可以物理隔离也可以路由器设置隔离,哪种方面使用哪种方法,一般局域网主机进行攻击都是由于中了病毒导致的,隔离之后对该主机进行彻查,如果实在无法扫描解决,那么就格式化后重装系统。扩展资料功能地址解析协议由互联网工程任务组(IETF)在1982年11月发布的RFC 826中描述制定。 [1] 地址解析协议是IPv4中必不可少的协议,而IPv4是使用较为广泛的互联网协议版本(IPv6仍处在部署的初期)。
OSI模型把网络工作分为七层,IP地址在OSI模型的第三层,MAC地址在第二层,彼此不直接打交道。
在通过以太网发送IP数据包时,需要先封装第三层(32位IP地址)、第二层(48位MAC地址)的报头,但由于发送时只知道目标IP地址,不知道其MAC地址,又不能跨第二、三层,所以需要使用地址解析协议。
使用地址解析协议,可根据网络层IP数据包包头中的IP地址信息解析出目标硬件地址(MAC地址)信息,以保证通信的顺利进行。
1、打开“360安全卫士”。
2、在程序主界面中点击“更多”按钮。
3、在程序列表中点击“流量防火墙”,然后在打开的窗口中切换至“局域网防护”选项卡。
4、然后点击“详情/设置”按钮。
5、“详情/设置”界面看到“添加保护网关IP和MAC”的窗口,点击“添加网关”按钮。
6、手动输入自己的的网关IP和MAC地址,点击确定即可。
6、至此,局域网ARP冲突现象就得到有效遏制,此时网速就正常了。
arp是局域网常见的攻击手段了: 开始-运行-cmd 然后输入 arp -a 可以看到所有网关的列表,但是正常情况下,应该只有一个网关,多出来的,肯定是arp攻击发起者的电脑伪装的网关。
然后arp -d. 清除所有网关,然后你的电脑会自己找网关。
然后在arp -a.列出新找的网关,如果仍有多个,再继续arp -d. 知道arp -a只出现一条记录 这个列表会显示网关的IP地址和MAC地址 输入 arp -s xxx.xxx.xxx.xxx ab-cd-ef-gh-ij-kl xxx.xxx.xxx.xxx表示网关的IP地址 ab-cd-ef-gh-ij-kl表示网关的MAC地址。
