近期,国内多家网吧出现短时间内断线 ( 全断或部分断 ) 的现象,但会在很短的时间内会自动恢复。这是因为 MAC
地址冲突引起的,当带毒机器的 MAC 映射到主机或者路由器之类的 NAT
设备,那么全网断线,如果只映射到网内其他机器,则只有这部分机器出问题。多发于传奇游戏特别是私服务外挂等方面。此类情况就是网络受到了
ARP
病毒攻击的明显表现,其目的在于,该病毒破解游戏加密解密算法,通过截取局域网中的数据包,然后分析游戏通讯协议的方法截获用户的信息。运行这个病毒,就可以获得整个局域网中游戏玩家的详细信息,盗取用户帐号信息。下面我们谈谈如何防制这种攻击。
首先,我们先简单了解一下什么是 ARP 病毒攻击,这种病毒是对内网的 PC 进行攻击,使内网 PC
机的 ARP 表混乱,在局域网中,通过 ARP 协议来完成 IP 地址转换为第二层物理地址(即 MAC 地址)的。 ARP
协议对网络安全具有重要的意义。通过伪造 IP 地址和 MAC 地址实现 ARP 欺骗,能够在网络中产生大量的 ARP
通信量使网络阻塞。进行 ARP 重定向和嗅探攻击。用伪造源 MAC 地址发送 ARP 响应包,对 ARP
高速缓存机制的攻击。这些情况主要出现在网吧用户,造成网吧部分机器或全部机器暂时掉线或者不可以上网,在重新启动后可以解决,但保持不了多久有会出现这样的问题,网吧管理员对每台机器使用
arp -a 命令来检查 ARP 表的时候发现路由器的 IP 和 MAC 被修改,这就是 ARP 病毒攻击的典型症状。
这种病毒的程序如 PWSteal.lemir 或其变种,属于木马程序 / 蠕虫类病毒,
Windows 95/98/Me/NT/2000/XP/2003 将受到影响,病毒攻击的方式对影响网络连接畅通来看有两种,对路由器的
ARP 表的欺骗和对内网 PC 网关的欺骗,前者是先截获网关数据,再将一系列的错误的内网 MAC
信息不停的发送给路由器,造成路由器发出的也是错误的 MAC 地址,造成正常 PC 无法收到信息。后者 ARP
攻击是伪造网关。它先建立一个假网关,让被它欺骗的 PC 向假网关发数据,而不是通过正常的路由器途径上网。在 PC
看来,就是上不了网了, “ 网络掉线了 ” 。
就这两种情况而言,如果对 ARP
病毒攻击进行防制的话我们必须得做路由器方面和客户端双方的设置才保证问题的最终解决。所以我们选择路由器的话最好看看路由器是否带有防制
ARP 病毒攻击的功能, Qno 侠诺产品正好提供了这样的功能,相比其他产品操作简单易学。下面具体谈谈 Qno
侠诺路由器产品是如何设置防止 ARP 病毒攻击的。
1 、激活防止 ARP 病毒攻击:
输入路由器 IP 地址登陆路由器的 Web
管理页面,进入 “ 防火墙配置 ” 的 “ 基本页面 ” ,再在右边找到 “ 防止 ARP 病毒攻击 ” 在这一行的 “ 激活 ”
前面做点选,再在页面最下点击 “ 确认 ” ,如图1。
图
1 中文路由器 Web 管理页面
2 、在路由器端绑定用户 IP/MAC 地址:
进入 “DHCP 功能 ” 的 “DHCP
配置 ” ,在这个页面的右下可以看到一个 “IP 与 MAC 绑定 ” 你可以在此添加 IP 与 MAC 绑定,输入相关参数,在 “
激活 ” 上点 “√” 选再 “ 添加到对应列表 ” ,重复操作添加内网里的其他 IP 与 MAC 的绑定,再点页面最下的 “ 确定
" 。如图 2
图 2
当添加了对应列表之后,其对应的信息就会在下面的白色框里显示出来。不过建议不采用此方法,这样操作需要查询网络内所有主机
IP/MAC 地址工作量繁重,还有一种方法来绑定 IP 与 MAC
,操作会相对容易,可以减少大量的工作量,节约大量时间,下面就会讲到。
进入 “DHCP 功能 ” 的 “DHCP 配置
” 找到 IP 与 MAC 绑定右边有一个 “ 显示新加入的 IP 地址 ” 点击进入。如图 3
图 3
点击之后会弹出 IP 与 MAC 绑定列表对话框,此对话框里会显示网内未做绑定的 pc 的 IP 与
MAC 地址对应情况,输入计算机 “ 名称 ” 和 “ 激活 ” 上 “√” 选,再在右上角点确定。 如图 4
图 4
此时你所绑定的选项就会出现在 IP 与 MAC 绑定列表框里,如图 5 再点击 “ 确认
/Apply” 绑完成。
图 5
3 、对每台 pc 上绑定网关的 IP 和其 MAC 地址
进行这样的操作主要防止 ARP
欺骗网关 IP 和其 MAC 地址
首先在路由器端查找网关 IP 与 MAC 地址,如图 6
图 6
然后在每台 PC 机上开始 / 运行 cmd 进入 dos 操作,输入 arp -s
192.168.1.1 0-0e-2e-5b-42-03 , Enter 后完成 pc01 的绑定。如图 7
图 7
针对网络内的其他主机用同样的方法输入相应的主机 IP 以及 MAC 地址完成 IP 与
MAC
绑定。但是此动作,如果重起了电脑,作用就会消失,所以可以把此命令做成一个批处理文件,放在操作系统的启动里面,批处理文件可以这样写:
@echo off
arp -d
arp -s 路由器 LAN IP 路由器 LAN MAC
对于已经中了 arp 攻击的内网,要找到攻击源。方法:在 PC 上不了网或者 ping
丢包的时候,在 DOS 下打 arp -a 命令,看显示的网关的 MAC 地址是否和路由器真实的 MAC 相同。如果不是,则查找这个
MAC 地址所对应的 PC ,这台 PC 就是攻击源。
其他的路由器用户的解决方案也是要在路由器和 PC
机端进行双向绑定 IP 地址与 MAC 地址来完成相应防制工作的,但在路由器端和 PC 端对 IP 地址与 MAC
地址的绑定比较复杂,需要查找每台 PC 机的 IP 地址与 MAC 加大了工作量,操作过程中还容易出错。
以上方法基本可以解决 ARP 病毒攻击对网络造成相关问题,以上方法也经过多个用户以及网吧实验,都达到了用户预期的效果。 QNO
侠诺产品的解决方法操作比较容易学习,而且不必要查找整个网络的 IP/MAC 地址,就可以在路由器端进行绑定,安全可靠。
【本站声明】本站刊载的部分内容全部来源互联网,对于此类文章本站仅提供交流平台,不为其版权负责。如涉及侵犯您的知识产权的文章,请联系我们,我们将尽快做出更正。并向您表示感谢!同时特别感谢对本站所有支持的网友。
