首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

邮件网络安全

系统安全 | 邮件软件漏洞 | 攻防技术 | 安全基础 | 病毒公告 | 病毒查杀 | Forefront/TMG/ISA | 防火墙 | 数字签名 |
首页 > 邮件网络安全 > 病毒查杀 > 如何有效防治ARP欺骗攻击 > 正文

如何有效防治ARP欺骗攻击

出处:5DMail.Net收集整理 作者:5DMail.Net收集整理 时间:2008-1-30 15:38:55

    最近以来,公司局域网中很多机器中了ARP木马,在网络中发送大量的虚假ARP数据包,造成其他机器无法正常上网。勉强可以上网的机器,也频繁弹出病毒警告窗口,严重影响了正常的工作。为了解决这个问题,使用了很多方法,此文将这些此过程中积累的一些经验进行了总结,与大家分享。图1

病毒警告提示

    一、ARP协议不坚定的“投递员”

    很多朋友都认为此现象是由于中了病毒或木马造成的,其实追根溯源,这与ARP协议本身有很大关系。这位“投递员”无法区分局域网广播或ARP询问包的是否真实,从而造成用户无法通过MAC与IP的映射,访问正确的地址。网上关于ARP协议的资料很多,在此不再复述。


    通常的ARP攻击对象包括路由器和局域网中的客户端主机,其中针对客户端主机的攻击居多,因此着重于客户端主机ARP欺骗的防治。通常解决ARP欺骗攻击的方法有三种:

    1、 利用ARP echo传送正确的ARP对照表,达到防御目的;
    2、 进行MAC与IP地址的绑定,生成固定的ARP对照表,保证映射关系的正确;
    3、 采用其他协议(如:PPPoE)传送地址信息。

    以上三种方法中,第二种方法最为方便和有效。主要原因如下:使用ARP echo方式,需要配置一台负责发送ARP echo广播的设备,当ARP攻击非常频繁时,该设备的负担将很大,因此ARP echo将无法达到理想的效果。而局域网主机众多的网络,想要实施第三种方法,其工作量也是相当庞大的。因此,上述三种方法中,以第二种方法最为实用。 
   二、查找攻击主机

    若使用第二种方法,就需要查找出局域网中,发送虚假ARP信息或中了ARP病毒的主机,这里为大家介绍一款非常简便实用的工具:ARP防火墙,此软件可以安装在局域网中任意一台主机上,软件中提供了“追踪”功能,可以自动识别哪台机器发起了ARP攻击,从而帮助用户采取有针对性的防治措施。其实,即使是没有发起ARP攻击的主机,也可以安装此软件进行预防,因为它不仅可以阻挡外来的ARP攻击,也可以阻断主机自身发送ARP攻击包,去攻击局域网中其他的主机。图2

 

   

ARP防火墙

    
    三、清除ARP病毒

    查找出发起攻击的主机后,需要对计算机进行检查,查看其是否中了ARP病毒,对于感染了Arp欺骗病毒(木马)的机器可以使用以下两款软件(都是完全免费的软件)对其进行查杀:

    1、恶意软件清理助手下载:该软件是绿色免费软件,无需安装,可升级特征库。
    2、360安全卫士由此下载:免费软件,需要安装,可升级特征库。 
  四、MAC地址绑定

    如果中毒的主机较多,通常此过程需要较长的时间,此期间,为了解决其他主机上网以及正常的工作,可以对遭受攻击的其他主机进行地址绑定。这里为大家推荐一款可以绑定MAC的小软件(下载地址:http://green.crsky.com/soft/6064.html),这也是一款绿色的软件,下载后解压,双击相应的exe程序即可运行。图3

 

  

MAC绑定

    
    首先,双击图3中的“MacScan.exe”打开MAC地址扫描窗口。扫描完成后,会在当前目录下,自动生成和创建“BindArp.bat”批处理文件,同时也将扫描出的MAC和IP地址添加到ini文件“ArpList.ini”中,格式如下:

    192.168.1.1|00:14:78:AE:9F:28
    192.168.1.2|00:14:78:1B:A7:36
    192.168.1.11|00:0C:76:11:1A:9C
    192.168.1.12|00:19:21:8A:53:F3
    192.168.1.16|00:40:05:63:19:59
    ……图4

 

  

 MAC地址扫描

   以上步骤完成后,双击图3中exe程序“BindArp.exe”,即可根据“MacScan.exe”的扫描结果进行MAC地址的绑定。为了使省事,可以将“BindArp.exe”和“ArpList.ini”拷贝到其他主机,双击运行即可。图5

 

  

ARP绑定程序

    
    为了使绑定程序可以自动运行,可将“BindArp.exe”拖动到启动菜单中让自动运行即可,还有一种方法,也可以将运行“MacScan.exe”后,自动生成的“BindArp.bat”批处理文件拖动到启动菜单,进行计算机启动时的MAC与IP的自动绑定。

    提示:进行MAC绑定时,不能运行“ARP防火墙“,因为ARP防火墙的进程保护功能会阻止批处理文件修改ARP对照表,不仅如此,甚至连杀毒软件也无法访ARP防火墙的进程。

    结束语:这里需要提醒大家的是,当局域网增加主机或主机更换网卡以及修改IP地址后,需要使用“MacScan.exe”重新扫描MAC地址列表,并分发“ArpList.ini”文件,因此,查找出发起ARP攻击的主机,并对其进行有效的清除,才能减少工作量。

相关文章 热门文章
  • IceWarp -适合于所有规模企业的灵活的信息和协作解决方案
  • IceWarp Merak 邮箱系统海外收发解决方案
  • Mimosa加强NearPoint归档产品的电子发现功能
  • MDaemon使用技巧大全--Tarpitting
  • 总结在Sendmail的MTA中利用Tcpwarpper来拒收垃圾邮件的应用
  • 侠诺增强企业网络防御力 ARP智能一键双绑
  • Mimosa 在NearPoint 上增加文件归档
  • 看清ARP,轻松排除网络故障
  • Mimosa推出文件归档系统工具NearPoint FSA
  • 爱思华宝IceWarp Merak Mail Server最新版本V9发布
  • IceWarp CEO Ladislav Goc以及亚太区CEO 李平原专访
  • 使用IceWarp配置IM网关
  • 手工彻底清除PWSteal.Lemir.Gen木马的方法
  • 最流行的恶意网站清除解决办法
  • 手工清除Backdoor.livup(msstart.exe)木马
  • 局域网病毒防杀一点通
  • 对付Backdoor.D.WinSys木马的窍门
  • 最近猖獗的熊猫烧香病毒分析与解决方案
  • 清除worm.snake.a病毒的方法
  • 手工彻底清除Backdoor.PWStealer木马的方法
  • 巧用NTFS权限屏蔽FlashGet弹出广告
  • 邮件病毒入侵后的五个清除步骤
  • 彻底清除征途木马病毒
  • "Worm.NetSky.B"4A级蠕虫分析报告
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号