¿Principios y métodos de prevención de ataques LAN ARP comunes?
Virus ARP
Un ataque troyano ARP transportado por un complemento Cuando se utiliza un complemento en la red local, el virus transportado por el complemento mapeará el virus. Dirección MAC de la máquina a la dirección IP de la puerta de enlace, enviando el virus a la puerta de enlace. Se envía una gran cantidad de paquetes ARP en la LAN, lo que hace que otras máquinas en el mismo segmento de red lo consideren erróneamente como una puerta de enlace. , la intranet está interconectada, pero la computadora no puede acceder a Internet. El método es ingresar a la ventana de MS-DOS cuando pueda acceder a Internet, ingresar el comando: arp –a para verificar la dirección MAC correcta correspondiente a la IP de la puerta de enlace y registrarla. Si ya no puede acceder a Internet, ejecútela. El comando arp –d primero para guardar la dirección MAC en el caché de arp. Elimine el contenido y la computadora podrá reanudar temporalmente Internet. Una vez que Internet esté disponible, desconecte inmediatamente la red, desactive la tarjeta de red o desconecte el cable de red. y luego ejecute arp –a.
Si ya tiene la dirección MAC correcta de la puerta de enlace, cuando no pueda acceder a Internet, vincule manualmente la IP de la puerta de enlace y la MAC correcta para asegurarse de que la computadora ya no se vea afectada por ataques. Puede ejecutar el siguiente comando en la ventana de MS-DOS: arp –s gateway IP gateway MAC. Si es atacado, use este comando para verificar y encontrará que la MAC ha sido reemplazada por la MAC de la máquina atacante. Registre la MAC para la búsqueda. Encuentre la computadora con virus: si ya tiene la dirección MAC de la computadora con virus, puede usar el software NBTSCAN para encontrar la IP correspondiente a la dirección MAC en el segmento de red, es decir, la dirección IP de la computadora con virus.
〇La causa del fallo
La razón principal es que alguien utiliza programas troyanos de suplantación de ARP en la LAN, como algún software de robo de cuentas.
〇Fenómeno de fallas
Cuando una computadora en la red local ejecuta un troyano de suplantación de ARP, otros usuarios que originalmente accedieron a Internet directamente a través del enrutador ahora acceden a Internet a través del host de virus. El usuario se desconectará una vez al cambiar.
Después de cambiar al host del virus para acceder a Internet, si el usuario ha iniciado sesión en el servidor legendario, el host del virus a menudo fingirá la desconexión y el usuario tendrá que iniciar sesión en el servidor legendario. nuevamente, para que el host del virus pueda robar la cuenta.
Cuando el troyano de suplantación de identidad ARP ataca, envía una gran cantidad de paquetes de datos, provocando congestión en las comunicaciones LAN, y los usuarios sentirán que la velocidad de Internet es cada vez más lenta. Cuando el programa troyano deja de ejecutarse, el usuario reanudará el acceso a Internet desde el enrutador y se desconectará nuevamente durante el cambio.
〇Solución
No base la relación de confianza de seguridad de su red en IP o MAC.
Establezca una tabla de mapeo MAC-->IP estática y no permita que el host actualice la tabla de conversión que configuró.
A menos que sea necesario, deje de usar ARP y guarde ARP como una entrada permanente en la tabla correspondiente.
Utilizar servidor ARP. Asegúrese de que este servidor ARP no esté pirateado.
Utilice "proxy" para proxy de transmisión IP.
Utiliza hardware para proteger el host.
Obtenga periódicamente una solicitud rarp del paquete IP de respuesta para comprobar la autenticidad de la respuesta ARP.
Encuesta periódicamente para comprobar la caché ARP en el host.
Monitorea continuamente tu red mediante un firewall.
〇Solución
Se recomienda utilizar enlace bidireccional para resolver y prevenir la suplantación de ARP. Vincule la dirección IP y MAC del enrutador en la computadora
Primero, obtenga la dirección MAC de la red interna del enrutador (por ejemplo, la dirección MAC de la dirección de puerta de enlace HiPER 192.168.16.254 es 0022aa0022aa dirección MAC del puerto LAN>) .
Escribe un archivo por lotes rarp.bat con el siguiente contenido:
@echo off
arp -d
arp -s 192.168 16.254 00-22-aa-00-22-aa
Cambie la IP y MAC de la puerta de enlace a su propia IP y MAC de puerta de enlace y deje que este archivo se ejecute en la computadora (arrástrelo a "Inicio-Programas-. Comenzar" ").
Principales fenómenos durante los ataques ARP:
1. Pérdida frecuente de cuentas QQ, de juegos y de banca online.
Algunas personas utilizan la suplantación de identidad de ARP para obtener beneficios ilegales. Los programas llevan a cabo actividades ilegales dentro de la red. El objetivo principal de dichos programas es descifrar el algoritmo de cifrado y descifrado utilizado al iniciar sesión en una cuenta, interceptando paquetes de datos en la LAN y luego interceptando la información del usuario analizando la comunicación de datos. protocolo. Al ejecutar este tipo de virus troyano, se puede obtener y robar la información detallada de las cuentas de los usuarios de Internet en toda la red de área local.
2. La velocidad de la red es a veces rápida y a veces lenta, y es extremadamente inestable, pero todo es normal cuando se prueban datos de fibra óptica en una sola máquina.
Cuando hay un ordenador en la zona es invadido ilegalmente por un programa de engaño ARP, continuará enviando una gran cantidad de paquetes de suplantación de ARP ilegales a todas las computadoras y equipos de red en la red, bloqueando los canales de la red, causando sobrecarga del equipo de red y causando inestabilidad en la calidad de la comunicación de la red.
3. Desconexiones regionales o generales frecuentes en la LAN, y la computadora o el equipo de red volverá a la normalidad después de reiniciar.
Cuando una computadora con un programa de suplantación de ARP se comunica en la red , Provocará desconexiones frecuentes. Después de que ocurran tales problemas, reiniciar la computadora o deshabilitar la tarjeta de red resolverá temporalmente el problema, pero las desconexiones aún ocurrirán.