在使用電腦的過程中,我們難免會遇到我們的網絡被ARP攻擊的問題,所謂的ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量使網絡阻塞,造成網絡中斷或中間人攻擊。如果我們所使用的是比較舊Win2003系統,該如何來有效防御呢?
一般要提前做好防制工作,同時需要在客戶端和路由器上做雙向的綁定工作,這樣的話無論ARP病毒是偽造本機的IP/MAC或者網關的地址都不會出現上網掉線或者大面積斷線等問題了。
1、激活防止ARP病毒攻擊:
進入Qno俠諾路由器Web管理頁面的“防火牆配置”的“基本頁面”,激活“防止ARP病毒攻擊”。
2、對每台pc上綁定網關的IP和其MAC地址
進入電腦的Dos操作,通過arp –s令或者批處理來實現pc的綁定工作(命令格式:arp –s [路由器IP地址] [路由器MAC地址])。
或者針對網絡內的其他主機用同樣的方法輸入相應的主機IP以及MAC地址完成IP與MAC綁定。但是此動作,如果重啟了電腦,作用就會消失,所以可以把此命令做成一個批處理文件,放在操作系統的啟動裡面:
@echo off
arp -d
arp -s路由器LAN IP 路由器LAN MAC
當電腦上做綁定之後,就不會收到ARP欺騙攻擊,向偽造的網關的 IP/MAC發送消息。
對於已經中了ARP攻擊的內網,要找到攻擊源。方法:在PC上不了網或者ping丟包的時候,在DOS下打 arp –a命令,看顯示的網關的MAC地址是否和路由器真實的MAC相同。如果不是,則查找這個MAC地址所對應的PC,這台PC就是攻擊源。
3、在路由器端綁定用戶IP/MAC地址
Qno俠諾路由器提供IP/MAC綁定功能,你可以將內網的電腦的IP與對應的MAC地址綁定在一起,使路由器對沒有綁定的IP/MAC將其封鎖,當內網有ARP欺騙攻擊的時候,其偽造IP/MAC向路由器發送消息,這時候由於偽造的IP/MAC並不在路由器的IP/MAC綁定列表裡面,路由器會拒絕這類消息,將其擋掉。
4、進一步的防制
Qno俠諾技術工程師建議通過一些手段來進一步控制ARP的攻擊。
(1)病毒源,對病毒源頭的機器進行處理,殺毒或重新裝系統。
(2)網吧管理員檢查局域網病毒,安裝殺毒軟件。
(3)給系統安裝補丁程序。
(4)給系統管理員帳戶設置足夠復雜的強密碼。
(5)經常更新殺毒軟件,安裝並使用網絡防火牆軟件。
(6)關閉一些不需要的服務,條件允許的可關閉一些沒有必要的共享,也包括C$、D$等管理共享。完全單機的用戶也可直接關閉Server服務
(7)建議用戶不要隨便點擊打開QQ、MSN等聊天工具上發來的鏈接信息,以免病毒的傳播。
總結
以上從原理和解決步驟進行詳細的分析,如果我們通過上面的步驟來解決ARP病毒攻擊是行之有效的。雖然ARP病毒版本不斷更新、不斷升級,給企業用戶及網吧不斷帶來新的沖擊與危害,但是如果能夠提前能夠提前做好防制工作,相信ARP的危害會減少到最小的程度。