360 indica que se está produciendo un ataque de desconexión de ARP y 360 lo ha interceptado. ¿Cómo encontrar la IP de origen del ataque?
1. Principio del ataque ARP: llame al archivo npptools.dll en el sistema.
1. El software de defensa y ataque ARP, como Network Law Enforcement Officer y Caiying arp firewall, también lo utilizan. Si elimina este archivo DLL, simplemente cree un archivo DLL aleatorio y cámbiele el nombre a npptools.dll.
2. Si la unidad C está en formato NTFS, elimine todos los permisos. Si está en formato FAT, simplemente hágala de solo lectura.
3. Archivo antiataque: C:\WINDOWS\system32\ npptools.dll
4. Método de procesamiento: cree un nuevo documento de texto vacío, cámbiele el nombre a npptools.dll y cópielo. Vaya a la carpeta system32 y sobrescriba el npptools.dll original. Si la protección de archivos no está desactivada, desactívela primero. Luego sobrescriba npptools.dll en system32\dllcache, luego cambie sus atributos a solo lectura, ocultos y finalmente elimine los permisos de todos, ¡y listo!
5. Después de cambiar los atributos del archivo npptools.dll a solo lectura y oculto, y luego eliminar todos los permisos, el virus no podrá reemplazarlo ni usarlo, y arp no funcionará. , Para lograr así el propósito de prevenir ARP.
2. Localice la fuente de los ataques ARP
1. Método de localización activa: debido a que todas las fuentes de ataques ARP tendrán sus propias características (la tarjeta de red estará en modo promiscuo), puede hacerlo. utilice herramientas como ARPKiller Escanee la tarjeta de red de cualquier máquina en la red que esté en modo promiscuo para determinar si esta máquina es la "culpable". Después de localizar la máquina, recopile información sobre el virus y envíela a Trend Micro para su análisis y procesamiento.
Nota: La tarjeta de red se puede colocar en un modo llamado modo promiscuo. La tarjeta de red que funciona en este modo puede recibir todos los datos que pasan a través de ella, independientemente de si la dirección de destino real de los datos es esa. En realidad, este es el principio básico de cómo funciona Sniffer: dejar que la tarjeta de red reciba todos los datos que pueda recibir.
2. Método de posicionamiento pasivo: cuando ocurre un ataque ARP en la LAN, verifique el contenido de la tabla ARP dinámica del conmutador para determinar la dirección MAC de la fuente del ataque; también puede implementar la herramienta Sniffer; en la LAN para localizar la MAC del ataque de la fuente del ataque ARP.
También puede hacer ping directamente a la IP de la puerta de enlace. Después de completar el ping, use ARP –a para verificar la dirección MAC correspondiente a la IP de la puerta de enlace. Esta dirección MAC debe ser falsificada. Utilice NBTSCAN para obtener la IP real. dirección de la PC y el nombre de la máquina y la dirección MAC. Si hay un "ataque ARP" que causa problemas, puede encontrar la IP, el nombre de la máquina y la dirección MAC de la PC equipada con el ataque ARP.
Comando: "nbtscan -r 192.168.16.0/24" (busca en todo el segmento de red 192.168.16.0/24, es decir, 192.168.16.1-192.168.16.254 o "nbtscan 192.168.16.25-); 137" busca el segmento de red 192.168.16.25-137, es decir, 192.168.16.25-192.168.16.137. La primera columna del resultado es la dirección IP y la última columna es la dirección MAC. 3. 3. Ejemplo de uso de NBTSCAN:
Supongamos que desea encontrar un host de virus con una dirección MAC de "000d870d585f".
1) Descomprima nbtscan.exe y cygwin1.dll en el paquete comprimido y colóquelos en c:.
2) Inicio - Ejecutar - Abrir en Windows, ingrese cmd (ingrese "comando" en windows98), ingrese en la ventana de DOS que aparece: C: btscan -r 192.168.16.1/24 (aquí necesita para especificar el nombre de usuario) Ingrese el segmento de red real) y presione Enter.
3) Al consultar la tabla de correspondencia IP-MAC, se encontró que la dirección IP del host del virus “000d870d585f” es “192.168.16.223”.
A través del método anterior, podemos encontrar rápidamente el origen del virus y confirmar su MAC -> nombre de la máquina y dirección IP.
4. Métodos de defensa
a. Utilice un conmutador de tres capas que pueda defenderse contra ataques ARP, vincular el puerto MAC-IP, limitar el tráfico ARP, detectar y bloquear automáticamente los ataques ARP. puertos de manera oportuna, dividir racionalmente las VLAN, prevenir por completo el robo de direcciones IP y MAC y eliminar los ataques ARP.
b. Para redes donde los virus suelen aparecer, implemente un control de acceso a Internet para restringir el acceso de los usuarios a la red. Este tipo de programa de ataque ARP generalmente se descarga de Internet al terminal del usuario. Si se puede fortalecer el control de acceso del usuario a Internet, la aparición de este problema se puede reducir considerablemente.