不知道各位同行有没有遇到过局域网的ARP攻击,相信应该绝大多数都遇到过,这种局域网内的ARP断网攻击的解决一般分为定点,隔离,防治三个流程,当然相信大家应该有更好的解决办法,今天小编来抛砖引玉分享下第一次遇到ARP攻击的解决办法以及后续如何进行防治的。
(01)ARP断网攻击一般是发生在动态获取IP地址的局域网内,由于并未做IP与MAC双向绑定导致有缝隙可钻,小编第一次遇到ARP攻击是在一家小型企业内做网管,公司拥有50多台主机,由于此次ARP攻击较为简单,所以也很快解决掉了,下面具体说明下步骤。
(02)该局域网内有一台主机断网,经排查并无硬件影响,IP获取正常,但是时不时的掉线,PING外网时断时续,偶尔还提示IP地址冲突,判定为ARP攻击,然后查看改机的IP地址:使用快捷键win键+r输入cmd,点击确定。
(03)在运行窗口中输入ipconfig /all,把查询到的IP地址和MAC地址记下,然后登陆路由器。
(04)在路由器中依次点击DHCP服务器—客户端列表,根据刚刚记录的IP地址查看使用的客户端,如果该客户端与刚记录的MAC地址不同,那么说明攻击源为这台主机。
(05)锁定攻击源之后首先对其进行隔离,可以物理隔离也可以路由器设置隔离,哪种方面使用哪种方法,一般局域网主机进行攻击都是由于中了病毒导致的,隔离之后对该主机进行彻查,如果实在无法扫描解决,那么就格式化后重装系统。
(06)这次简单的ARP攻击解决后,小编对局域网内的主机都进行了IP与mac的双向绑定,这种绑定可以最大程度的减少ARP攻击的几率,下面说下具体的绑定办法。
(07)所谓的双向绑定其实就是在出口网关和主机端对IP和MAC地址都进行绑定,我们先说下主机端的绑定方法,同样使用快捷键win键+r,在弹出的窗口中输入cmd,点击确定,在打开的运行窗口中输入arp -s ip地址 物理地址,然后点击回车即可。
(08)登录路由器,首先关闭DHCP服务器,然后点击IP与MAC绑定。
(09)勾选启用ARP绑定,然后点击添加单个条目,把规划好的IP与MAC绑定信息录入进去,点击保存即可。
(10)其实这样设置只是最大程度上的减少了ARP攻击的概率并不是完全防治,想真正意义上的防治目前还没有这种方法,但是相对于这种方法还有一种更为安全的方法:锁定局域网中的每台主机,管好每一台终端设备,锁定每个攻击源,一旦发现自动隔离。目前很多企业也是使用的这种方法,其实就是使用网管软件进行管理,下面小编以近期在使用的聚生网管为例来介绍下方法。
(11)搜狗搜索聚生网管,找到其官网进行下载,下载完成后解压,然后找到和这两个安装文件,依次双击安装即可。
(12)安装完成后,依次点击开始—所有程序—聚生网管—聚生网管快捷方式,在弹出的对话框中点击新建监控网段。
(13)在弹出的对话框中点击下一步,选中监控网卡,然后根据自己的规划填写下方的信息,填写完成后依次点击下一步、完成即可。
(14)在监控网络配置窗口中勾选刚刚新建的网段,然后点击开始监控,在弹出的窗口中根据提示输入密码,然后点击登录。
(15)在该系统的主界面左上角首先点击启动管理,系统会自动扫描并列出局域网中活动的主机,然后点击右侧的安全防御,选中IP与MAC绑定。
(16)在打开的窗口中勾选启用IP-MAC地址绑定,然后点击右侧的获取IP-MAC关系,即可导入当前主机的IP与MAC关系,勾选自动发现新主机并进行绑定、发现非法IP-MAC绑定时,断开该主机公网连接,最后点击保存配置即可。
(17)再次点击安全防御,在弹出的菜单中点击安全监测工具。
(18)勾选启用局域网ARP攻击防御功能,然后依次勾选其下的自动向局域网发送ARP攻击免疫信息、检测到ARP攻击时,自动加大免疫力度、检测到ARP攻击时记录危险主机。最后点击保存配置即可。
(19)通过上述设置,局域网才能真正意义上免疫绝大多数ARP攻击,如果你有更好的方法也可以指导下小编。
