再谈谈ARP的问题
最近ARP病毒MS又开始大规模泛滥了原理很简单,要解决却很麻烦
最近发现几个关于ARP的网络情况
1、最传统的ARP欺骗,中毒MAC用ARP REPLY回应其他电脑虚假的网关MAC
ARP防火墙都能防御,并很容易找出源头
2、变种,虚假的网关MAC在局域网里根本不存在,无法从简单的抓包或者ARP防火墙中看出来,源的MAC,IP都是假的,
我的方法是通过抓包位置的部署,来发现数据包的异常
不知道还有什么好的方法
3、大规模的ARP REQUEST STORM,整个局域网里面很多台主机都在相互发,有时阻塞了整个局域网
(碰到过一次,一台主机6秒钟发了10000个ARP请求,nnd,昏迷,那个电脑还正在杀毒呢)
这个除去了局域网中可能有环路,或者交换机等等的硬件问题,对病毒或木马的排查,
我的方法仍然与情况2相似了
碰到这3种情况比较多,最差就是用2分法逐级隔离,看问题源,
在此抛泥块引玉了,请各位大大,指点比较好的解决方法
[ 本帖最后由 tingnan 于 2007-12-12 18:55 编辑 ] 连到交换机上去看
可以用solarwinds toolset的switch map查看 有的公司,并没有那种可以网管的交换机
大多用的只是智能型的HUB,……
这个是郁闷的 前期设备投入的不足造成后期大规模的瘫痪,从技术层面上来说解决起来相当的耗费人力物力精力。从商务层面来说可以立项改造了…… 用360安全卫士的ARP防火墙啊!!! 楼上的说的什么360真是没什么用,我开了后,P2P终结者,照样给我断开,360ARP防火墙动作都不动作 原帖由 tingnan 于 2007-12-13 09:14 发表 http://www.netexpert.cn/images/common/back.gif
有的公司,并没有那种可以网管的交换机
大多用的只是智能型的HUB,……
这个是郁闷的
WinArpAttacker 现在还有人在用hub啊》? 赶巧了....我们单位外网用的全是普通的100MTPLINK...
这次ARP差点玩死我......
后来下了个金山的ARP防火墙,解决了.....
全单位200多台外网机啊...... 如果事前进行所有的MAC绑定能不能阻止ARP攻击的发生?
就是双向绑定那种 慢慢的了解哈哈 灌点水 踩2脚回家吃饭 。。还可以的!!:victory: 我只说好,能行吧
页:
[1]