奇怪的ARP欺骗

显示全部楼层 · 发表于 2014-12-19 09:38:41

本帖最后由 zu3l9ps 于 2014-12-19 09:42 编辑

对ARP欺骗的防御我历来是不屑一顾，甚至认为完全不需要软件来防御，在路由器铭牌上记录下正确的路由MAC，然后用ARP -S命令(赛文系统和八一系统的不是这个命令，稍复杂些)绑定起来就OK了，但最近新进一公司遇到了个奇怪的ARP欺骗攻击。用arp -s命令绑定后，ping得通外网，但网页打不开，解除绑定，即接受ARP欺骗，网络恢复正常，没有发现下载限制、视频网站打不开等网络限制的情况，用彩影ARP防火墙依然如此。这是一家有数十人规模的中型公司，按概率说人越多，出现懂电脑技术人员的可能就越增加，但我了解下来公司没人懂懂电脑技术，连路由器都保持默认的(如果有人懂的话，他想干坏事，早就改了！)，这就是说人为在使用网管软件的可能性不大，难道有机子中毒？但问题是我用的电脑网络并没有异常，也没听谁说公司网络异常，这时，我注意到了路由器默认开启了ARP防御！如果是路由器有防御的缘故，那么应该不会遭到ARP欺骗！那为什么却是仍有ARP欺骗，只是安然无恙，连接正确的网关地址反而会出现网页打不开的情况呢？

显示全部楼层 · 发表于 2014-12-19 19:35:51

双向arp网关绑定，本地绑定，路由器也要绑定。
用彩影ARP防火墙扫描一下，看看有没有人混杂模式了，如果没有的话，还要看看自己的电脑是否成了僵尸主机。
或者，这个arp欺骗只是个误报也说不定吧。。。网络正常连接就行了，只有对你的电脑没有侵害的话，就别理它了

显示全部楼层 · 发表于 2014-12-23 15:37:13

914525753 发表于 2014-12-19 19:35
双向arp网关绑定，本地绑定，路由器也要绑定。
用彩影ARP防火墙扫描一下，看看有没有人混杂模式了，如果没 ...

双向ARP绑定不会，因为我以往一直轻视ARP欺骗攻击，一直以为防御ARP欺骗易如反掌！所以就没有去研究双向ARP绑定！
彩影ARP防火墙检测到混杂模式
误报时绝对不可能的，因为ARP -S命令发现两个MAC相同的IP！

显示全部楼层 · 发表于 2014-12-23 15:52:49

考虑你了解的的并想绑定的网关就是错误的网关，而你以为欺骗你的那网关才是正经的网关。

显示全部楼层 · 发表于 2014-12-23 16:39:11

首先，建议你把路由器登录密码修改一下，其次，进入路由器把DNS，改为114.114.114.114和8.8.8.8，然后，在电脑使用抓包程序，观看网络数据有异常没有，如果有的话，可以对此IP查封一下情况。

显示全部楼层 · 发表于 2014-12-23 21:17:16

zu3l9ps 发表于 2014-12-23 15:37
双向ARP绑定不会，因为我以往一直轻视ARP欺骗攻击，一直以为防御ARP欺骗易如反掌！所以就没有去研究双 ...

建议arp -d，然后重新绑定，用arp -d命令的时候记得将彩影的禁止修改缓存表那个防御给关了。不然的话是用不了的。

显示全部楼层 · 发表于 2014-12-24 21:01:07

双向绑定是个不错的方法，不过楼主可以抓包看看是哪发来的arp请求，找到那台机器然后定位解决。

显示全部楼层 · 发表于 2014-12-24 23:01:26

天月来了发表于 2014-12-23 15:52
考虑你了解的的并想绑定的网关就是错误的网关，而你以为欺骗你的那网关才是正经的网关。

有道理,建议楼主查查

显示全部楼层 · 发表于 2014-12-25 01:51:32

在本机查看网关地址是否正确的出口路由器

显示全部楼层 · 发表于 2014-12-26 10:37:56

hufangfang 发表于 2014-12-23 16:39
首先，建议你把路由器登录密码修改一下，其次，进入路由器把DNS，改为114.114.114.114和8.8.8.8，然后，在 ...

路由密码早就被我更改了，不改掉，还等着别人来改啊？DNS改成OneDNS!可以屏蔽恶意网站

[网络] 奇怪的ARP欺骗

评分