ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。我们单位用的是TP-LINK路由器,我进去看了下系统日记,系统日记出现了一个IP地址为192.168.1.1,MAC地址不断变化的电脑不断的发送广播信号,所以我断定是ARP地址欺骗,于是从网上下了sniffer工具,想通过局域网流量分析,来找出这台中毒的电脑,当我满怀信心的装好sniffer v7.5的时候,我发现流量最大的居然是我自己的电脑,于是我把自己的电脑系统重做,所有的磁盘格式化,心想这下总该没病毒了吧,当我再次打开sniffer v7.5的时候,居然发现流量最大的还是我的电脑,这个时候我感到困惑了,于是我把同事的电脑也装上这个工具,打开的时候居然显示流量最大的是同事的电脑,于是我知道了,原来这个工具监控流量不准,或者说免费版的根本没用,所以这里也告诫大家以后别用这个工具了,查不出来原因。
(责任编辑:jida2010)今天上午,一个同事的话提醒了我,他说发生ARP断网攻击,也有可能是两台路由器的WAN口地址冲突,我恍然大悟,因为我们单位的网络除了财务部有台路由器之外,在机房也有一台,这两台路由器是平行的,于是我登陆了另外一台路由器,发现两台电脑的路由器WAN口地址都是218.22.52.190,并且这两台路由器的DHCP设置的网关都是192.168.1.1,所以才会出现两个192.168.1.1互相打架的问题,于是我把财务部的DHCP网关地址设成192.168.0.1,把WAN口地址改成218.22.52.187,然后重启路由器,问题就彻底解决了。 由这件事情,希望看过这篇文章的同志,以后出现这种情况可以查看是不是路由器WAN口地址和网关冲突引起的,还有就是在多路由器平行存在的情况下,大家要么把两台路由器的网关地址设的不同,要么就是关闭DHCP服务,手动配置IP地址,这样就不会存在老是断网的现象了。 本文由路由器网www.luyouqiwang.net作者亲身体验ARP断网攻击之后原创,转载请注明出处。 |