SiS001! Board - [第一会所关闭注册]

标题: [求助] 怎么防ARP攻击 [打印本页]

作者: tianfan 时间: 2009-8-9 08:27 标题: 怎么防ARP攻击

局域网受到ARP的攻击,用360和antiarp都到拦截,但是不能彻底解决,有时能连上有时连不上.
查到攻击的地址是没人用的,因为局域网内电脑实在太多,不可能一台台拔线去找哪台机子中毒.
哪位大大知道怎么处理烦指教下. 多谢了!!

作者: HDNNSCNZ 时间: 2009-8-9 08:59

打系统补丁，不行就去弄个ARP防火墙一类的。或者在防火墙里干脆把那些可疑IP全禁止了。毕竟局域网内很少互联

作者: h20081212 时间: 2009-8-9 09:27

安装360,就可以实现你所说的问题,免费的

作者: goodboy6 时间: 2009-8-9 09:41

用360防火墙，我也是老有ARP攻偶击。现在没有了，到网上下一个就行！

作者: wndvqxf00 时间: 2009-8-9 09:42

我这里也碰到了这样的问题，真是不好解决啊

作者: uedg 时间: 2009-8-9 11:14

现在的瑞星防火墙集合了ARP的功能你可以去用效果不错

作者: 0408regedit 时间: 2009-8-9 11:34

在防火墙里干脆把那些可疑IP全禁止了。毕竟局域网内很少互联

作者: shuiguotang 时间: 2009-8-9 11:51

还是使用arp防火墙，局域网的话应该可以找专业人员维护一下，有可能是交换器中毒了

作者: zhq3051 时间: 2009-8-9 11:59

要防还真不容易啊.虽然许多公司推出了ARP防火墙,不过我试用了下,基本不起作用.只能和同用网络的人协商解决下.

作者: wayman01 时间: 2009-8-9 12:04

用WINDOWS自带的一些功能也可以
首先我们在“运行”中输入“cmd”并回车进入命令提示符窗口，然后输入以下命令
一、轻松辨别不明进程——Tasklist
　　通常的病毒、木马的运行，都是有一定的进程的。查看进程通常大家会想到打开任务管理器，直接在“进程”标签中查看，且不说有一些病毒本身会禁止任务管理器的运行，在“进程”标签中有很多隐藏的进程是无法查看的，而且即使能够看到的进程的信息也是比较有限的。这时候不防试试第一位壮士：tasklist。
　　首先我们在“运行”中输入“cmd”并回车进入命令提示符窗口，然后输入tasklist，这样即可显示所有运行的进程。不过这时候显示的进程信息比较简单，还不能从中判断出其有无危害。对此，我们可以继续执行tasklist /m查看每个进程任务加载的dll模块，运行tasklist /svc了解每个进程中活动服务的列表。通过某个具体的进程加载的dll文件和服务，我们就可以辨别出所属进程是否存在危害。

　　二、进程轻松关闭——Ntsd
　　当我们查看到危险进程时，自然要将其关闭了。要关闭这些进程，有时在任务管理器的“进程”标签是关不掉的。这时另外一修正反毒壮士就派上用场了。
　　在通过运行Tasklist查看进程信息时，进程信息列表中有一列PID，找到然害进程的PID值并将其记录下来，然后在命令行下运行“ntsd -c q -p PID值”即可，通过这个命令可以将除系统核心进程外所有进程都能关闭。
　　另外如果不喜欢通过tasklist命令来查看PID值，那么可以直接打任务管理器窗口，然后在“进程”标签中打开“查看”菜单，选择“选择列”命令，把“PID”项选中，这样在“进程”标签中就可以直接查看PID值了。

　　三、查看开放端口——Netstat
　　木马病毒要通过网络进行传播，产生危害，都是通过电脑上一个个开放的端口来完成的，这些开放的端口就相当于一扇扇没有人看管的大门。
　　这时你不防在DOS提示符下运行“Netstat -a”，这样即可显示所有的端口开放连接信息。其信息中的Proto表示连接的协议，一般主要是TCP和UDP，Local Address是本地名称和地址，其中冒号后面的则是开放的端口号，Foreign Address表示远程连接的地址，State表示连接的状态，如果状态是Established表示已建立连接，如果是Listening表示有监听连接请求。如果发现有陌生的端口正处于监听状态或连接状态，那么就要进行进一步检查是否存在木马了。

　　四、揭开幕后黑手——Find
　　中木马很多时候都是因为运行了一些来历不明的文件，因为将木马捆绑在文件中是隐藏木马最常用的一种方法。因此在运行这类文件之前，我们可以先用Find命令来看是否捆绑其它文件。
　　在命令提示符下输入“Find /c "This Program" 检查的文件路径”，例如“Find /c "This Program" d:/itedit.doc”，命令执行之后，如果显示为0表示正常，如果高于0则可能捆绑其它文件。不过如果检查的是EXE文件，那么返回的值则是1，高于1才认为是危险的。

　　五、注册表保镖——FC
　　注册表也是很多病毒、木马以及恶意软件攻击的地方。如果要想检查是否被修改，那么可以事先做好准备工作。即运行“regedit”后打开注册表编辑器，然后选择根键后打开“文件”菜单下的“导出”命令，将正常的注册表导出一个源备份文件。
　　接下来要检查时，只需要再次检查注册表，然后在命令提示符下运行“FC /u 源文件.reg 对比检查文件.reg>change.txt”，运行执行后我们只需要打开当前目录下的change.txt即可了解注册表改动的详细信息了。

作者: leinuo 时间: 2009-8-9 12:21

楼主完全可以实用一些防火墙的arp拦截功能，要是不相信360自带的那个你可以下载一个别的arp防火墙试试

作者: 052055015 时间: 2009-8-9 13:50

ARP在局域网，尤其是校园的局域网里面真是个老大难啊。机器多，难以找到每台机器一一杀毒，如果滥用ARP防火墙的话，其实也会导致严重的网络堵塞导致网速变慢甚至断网。

作者: ekimi 时间: 2009-8-10 06:49

瑞星有了防止ARP欺骗功能的
楼主去试下
不行的话可以下个ARP工具百度或者GOOGLE一下就行

作者: vanvenj 时间: 2009-8-10 10:50

用天网防火墙也不错，这是一个很老的软件了，现在的人都在用360arp防火墙，其实个人感觉还是天网比较实用，可能是许多年都用天网的缘故吧。

作者: xiangnan 时间: 2009-8-10 12:16

我也经常让这个问题困扰啊！谢谢大家的指导，非常有用！

作者: whzlq 时间: 2009-8-10 19:27

用彩影ARP防火墙,或者自己进入CMD窗口用ARP -D命令清除一下

作者: rainbowdream 时间: 2009-8-10 20:36

arp现在好像没有了吧，好多软件都有防范功能。

作者: tianfan 时间: 2009-8-10 20:54

兄弟们, 360和antiARP我到已经试过了, 不能解决问题.
有哥们说用天网, 这个没试过, 估计也够呛,等下试试看.
有达人还提些建设性的高见吗? 烦得不行了.

作者: stabber120 时间: 2009-8-10 21:01

arp欺骗是局域网杀手，在百兆网内出现ARP欺骗基本等于瘫痪。如果要清除的话，你最好找专业人士. 在系统缓冲池里查找到发包机器IP 然后通过NBTSTAT命令查看机器标识之后对该机器上的病毒进行清除。最好是断网杀毒，现在的APR病毒都能够交叉感染。如果你只是想被动防御的话360完全够用了。

作者: bywwkqagt1 时间: 2009-8-10 21:01

靠楼上的几位都是强人鄙视直接转载的

作者: gp86859 时间: 2009-8-10 21:16

装个ARP防火墙，再杀杀毒，清理清理系统。

作者: forsex 时间: 2009-8-10 21:47 标题: 回复 1楼的帖子

360安全卫士里面有个防ARP攻击选项，你开启后下载补丁就可以

作者: 558559 时间: 2009-8-10 22:13

试试其它的一些ARP防火墙，同时杀杀毒。

作者: 131382 时间: 2009-8-11 11:02

360和瑞星两个ARP防火墙同时开启
还凑乎
没有好网管啊

作者: tbbdjj2006 时间: 2009-8-11 11:17

我用360做好实验，可以抵御大部分arp攻击，虽然依然是有告警，实际上对方没法限制你的网络了。

作者: kevinonly 时间: 2009-8-11 12:39

这个前段时间我也经常受到攻击，老是断网，后来杀了几次毒装好补丁，现在就没有这些问题了

作者: wenter 时间: 2009-8-11 13:10

用360 开防御ARP攻击还有个办法就是绑定你的地址你在网上搜索下以前我弄过现在忘了大概就是这样

作者: tangbohu314 时间: 2009-8-11 21:34

360不是有个arp防火墙的嘛打开不就结了

作者: cyclone2020 时间: 2009-8-11 22:23

360有个ARP防火墙，装好，要开启才能有效。
不过我个人没有用过，不知道效果如何。
原来在局域网里是用一个叫什么ARP防火墙的软件，确实有用处。

作者: gmix520 时间: 2009-8-25 11:10

楼主下个彩影的ARP防火墙而且是免费的.很好用的.

作者: bigcabbagehead 时间: 2009-8-25 11:25

弄个ARP防火墙一类的瑞星啊 360啊等等适合新手

作者: tanghailang 时间: 2009-8-25 13:42

怎么到处都在流行洪水啊
这个东西现在还有人用？

作者: hsj2009 时间: 2009-8-25 14:31 标题: 你查看路由功能啊！谁的数据包有问题一目了然啊！

把他T掉！等下谁叫上不了了就是它了！要是勤快的话把MAC地址绑定！你不就知道谁是谁了么？要是你没这个权限你就烦网管到死！！5分钟一个电话！绝对管用！，

作者: gnu321 时间: 2009-8-25 15:20

静态绑定
　　最常用的方法就是做IP和MAC静态绑定，在网内把主机和网关都做IP和MAC绑定。
　　欺骗是通过ARP的动态实时的规则欺骗内网机器，所以我们把ARP全部设置为静态可以解决对内网PC的欺骗，同时在网关也要进行IP和MAC的静态绑定，这样双向绑定才比较保险。

作者: 591kissyou 时间: 2009-8-25 15:22

还有用360吧，里面就有这个防arp的功能，我也在用。

作者: fidodido 时间: 2009-8-25 15:24

一般的防火墙都有这个功能。比如天网防火墙。
本着”人不犯我我不犯人“的原则，可以装个聚生网管，必要的时候断了他的线。

作者: pjch40342 时间: 2009-9-5 16:06

装个360防火墙试试，用麦咖啡拦截也很强，资源占得很少很少

欢迎光临 SiS001! Board - [第一会所关闭注册] (http://154.84.5.248/bbs/)