ARP的工作过程是什么、
ARP的攻击主要有以下几种方式 一.简单的欺骗攻击 这是比较常见的攻击,通过发送伪造的ARP包来欺骗路由和目标主机,让目标主机认为这是一个合法的主机.便完成了欺骗.这种欺骗多发生在同一网段内,因为路由不会把本网段的包向外转发,当然实现不同网段的攻击也有方法,便要通过ICMP协议来告诉路由器重新选择路由. 二.交换环境的嗅探 在最初的小型局域网中我们使用HUB来进行互连,这是一种广播的方式,每个包都会经过网内的每台主机,通过使用软件,就可以嗅谈到整个局域网的数据.现在的网络多是交换环境,网络内数据的传输被锁定的特定目标.既已确定的目标通信主机.在ARP欺骗的基础之上,可以把自己的主机伪造成一个中间转发站来监听两台主机之间的通信. 三.MAC Flooding 这是一个比较危险的攻击,可以溢出交换机的ARP表,使整个网络不能正常通信 四.基于ARP的DOS 这是新出现的一种攻击方式,D.O.S又称拒绝服务攻击,当大量的连接请求被发送到一台主机时,由于主机的处理能力有限,不能为正常用户提供服务,便出现拒绝服务.这个过程中如果使用ARP来隐藏自己,在被攻击主机的日志上就不会出现真实的IP.攻击的同时,也不会影响到本机. 防护方法: 1.IP+MAC访问控制. 单纯依靠IP或MAC来建立信任关系是不安全,理想的安全关系建立在IP+MAC的基础上.这也是我们校园网上网必须绑定IP和MAC的原因之一. 2.静态ARP缓存表. 每台主机都有一个临时存放IP-MAC的对应表ARP攻击就通过更改这个缓存来达到欺骗的目的,使用静态的ARP来绑定正确的MAC是一个有效的方法.在命令行下使用arp -a可以查看当前的ARP缓存表.以下是本机的ARP表 C:\\\\Documents and Settings\\\\cnqing>arp -a Interface: 210.31.197.81 on Interface 0x1000003 Internet Address Physical Address Type 210.31.197.94 00-03-6b-7f-ed-02 dynamic 其中dynamic 代表动态缓存,即收到一个相关ARP包就会修改这项.如果是个非法的含有不正确的网关的ARP包,这个表就会自动更改.这样我们就不能找到正确的网关MAC,就不能正常和其他主机通信.静态表的建立用ARP -S IP MAC. 执行arp -s 210.31.197.94 00-03-6b-7f-ed-02后,我们再次查看ARP缓存表. C:\\\\Documents and Settings\\\\cnqing>arp -a Interface: 210.31.197.81 on Interface 0x1000003 Internet Address Physical Address Type 210.31.197.94 00-03-6b-7f-ed-02 static 此时TYPE项变成了static,静态类型.这个状态下,是不会在接受到ARP包时改变本地缓存的.从而有效的防止ARP攻击.静态的ARP条目在每次重启后都要消失需要重新设置. 3.ARP 高速缓存超时设置 在ARP高速缓存中的表项一般都要设置超时值,缩短这个这个超时值可以有效的防止ARP表的溢出. 4.主动查询 在某个正常的时刻,做一个IP和MAC对应的数据库,以后定期检查当前的IP和MAC对应关系是否正常.定期检测交换机的流量列表,查看丢包率. 总结:ARP本省不能造成多大的危害,一旦被结合利用,其危险性就不可估量了.由于ARP本身的问题.使得防范ARP的攻击很棘手,经常查看当前的网络状态,监控流量对一个网管员来说是个很好的习惯. 由于作者水平有限,文章中有出入的地方欢迎大家指出,探讨
哪个高手给我来一个运行命令的总结好吗
在下感激不尽
转自 stef_zi 开始菜单中的“运行”是通向程序的快捷途径,输入特定的命令后,即可快速的打开Windows的大部分程序,熟练的运用它,将给我们的操作带来诸多便捷。
winver 检查Windows版本 wmimgmt.msc 打开Windows管理体系结构(wmi) wupdmgr Windows更新程序 wscript Windows脚本宿主设置 write 写字板 winmsd 系统信息 wiaacmgr 扫描仪和照相机向导 winchat xp自带局域网聊天 mem.exe 显示内存使用情况 msconfig.exe 系统配置实用程序 mplayer2 简易widnows media player mspaint 画图板 mstsc 远程桌面连接 mplayer2 媒体播放机 magnify 放大镜实用程序 mmc 打开控制台 mobsync 同步命令 dxdiag 检查directx信息 drwtsn32 系统医生 devmgmt.msc 设备管理器 dfrg.msc 磁盘碎片整理程序 diskmgmt.msc 磁盘管理实用程序 dcomcnfg 打开系统组件服务 ddeshare 打开dde共享设置 dvdplay dvd播放器 net stop messenger 停止信使服务 net start messenger 开始信使服务 notepad 打开记事本 nslookup 网络管理的工具向导 ntbackup 系统备份和还原 narrator 屏幕“讲述人” ntmsmgr.msc 移动存储管理器 ntmsoprq.msc 移动存储管理员操作请求 netstat -an (tc)命令检查接口 syncapp 创建一个公文包 sysedit 系统配置编辑器 sigverif 文件签名验证程序 sndrec32 录音机 shrpubw 创建共享文件夹 secpol.msc 本地安全策略 syskey 系统加密,一旦加密就不能解开,保护Windows xp系统的双重密码 services.msc 本地服务设置 sndvol32 音量控制程序 sfc.exe 系统文件检查器 sfc \\\/scannow windows文件保护 tsshutdn 60秒倒计时关机命令 tourstart xp简介(安装完成后出现的漫游xp程序) taskmgr 任务管理器 eventvwr 事件查看器 eudcedit 造字程序 explorer 打开资源管理器 packager 对象包装程序 perfmon.msc 计算机性能监测程序 progman 程序管理器 regedit.exe 注册表 rsop.msc 组策略结果集 regedt32 注册表编辑器 rononce -p 15秒关机 regsvr32 \\\/u *.dll 停止dll文件运行 regsvr32 \\\/u zipfldr.dll 取消zip支持 cmd.exe cmd命令提示符 chkdsk.exe chkdsk磁盘检查 certmgr.msc 证书管理实用程序 calc 启动计算器 charmap 启动字符映射表 cliconfg sql server 客户端网络实用程序 clipbrd 剪贴板查看器 conf 启动netmeeting compmgmt.msc 计算机管理 cleanmgr 垃圾整理 ciadv.msc 索引服务程序 osk 打开屏幕键盘 odbcad32 odbc数据源管理器 oobe\\\/msoobe \\\/a 检查xp是否激活 lusrmgr.msc 本机用户和组 logoff 注销命令 iexpress 木马捆绑工具,系统自带 nslookup ip地址侦测器 fsmgmt.msc 共享文件夹管理器 utilman 辅助工具管理器 gpedit.msc 组策略 以下为Windows操作系统的常用运行命令,执行这些命令,就能打开系统对应的相关实用程序,如果大家能基本利用,就能检查并修复系统的最基本的故障,除注销,关闭系统命令外,其它所有命令,大家不妨一试!!运行\\\\输入CMD\\\\输入 对应的相关实用程序:. 打开C:\Documents and Settings\XXX(当前登录Windows XP的用户名).. 打开Windows XP所在的盘符下的Documents and Settings文件夹... 打开“我的电脑”选项。
accwiz.exe 辅助工具向导 actmovie.exe 直接显示安装工具append.exe 允许程序打开制定目录中的数据arp.exe 显示和更改计算机的IP与硬件物理地址的对应列表at.exe 计划运行任务 atmadm.exe ATM调用管理器统计 attrib.exe 显示和更改文件和文件夹属性 autochk.exe 检测修复文件系统 (XP不可用)autoconv.exe 在启动过程中自动转化系统 (XP不可用)autofmt.exe 在启动过程中格式化进程 (XP不可用)autolfn.exe 使用长文件名格式 (XP不可用)arp.exe 显示和更改计算机的IP与硬件物理地址的对应calc.exe 计算器 Bootvrfy.exe 通报启动成功 cacls.exe 显示和编辑ACL cdplayer.exe CD播放器 change.exe 与终端服务器相关的查询 (XP不可用)charmap.exe 字符映射表 chglogon.exe 启动或停用会话记录 (XP不可用)chgport.exe 改变端口(终端服务) (XP不可用)chgusr.exe 改变用户(终端服务) (XP不可用)chkdsk.exe 磁盘检测程序 chkntfs.exe NTFS磁盘检测程序 cidaemon.exe 组成Ci文档服务 cipher.exe 在NTFS上显示或改变加密的文件或目录 cisvc.exe 打开索引内容 ckcnv.exe 变换Cookie cleanmgr.exe 磁盘清理 cliconfg.exe SQL客户网络工具 clipbrd.exe 剪贴簿查看器 clipsrv.exe 运行Clipboard服务 clspack.exe 建立系统文件列表清单cluster.exe 显示域的集群 (XP不可用)cmd.exe 进2000\\\\XP DOScmdl32.exe 自动下载连接管理 cmmgr32.exe 连接管理器 cmmon32.exe 连接管理器监视 cmstp.exe 连接管理器配置文件安装程序 comclust.exe 集群 comp.exe 比较两个文件和文件集的内容conf 启动netmeeting聊天工具control userpasswords2 XP密码管理.compmgmt.msc 计算机管理cprofile.exe 转换显示模式 (XP不可用)开始,运行,输入CMD\\\\输入net config workstation计算机名 \\\\完整的计算机名\\\\用户名 工作站处于活动状态(即网络描述) \\\\软件版本(即软件版本号) \\\\工作站域 工作站域的 DNS 名称 登录域 \\\\COM 打开时间超时(秒) \\\\COM 发送量(字节) \\\\COM 发送超时 (msec) CMD\\\\输入net config workstation 更改可配置工作站服务设置。
CMD\\\\输入net config server 可以显示不能配置的下服务器计算机名 \\\\服务器注释 \\\\服务器版本(即软件版本号) 服务器处于活动状态(即网络描述) \\\\服务器处于隐藏状态(即 \\\/hidden 设置) 最大登录用户数(即可使用服务器共享资源的最大用户数) 每个会话打开文件的最大数(即用户可在一个会话中打开服务器文件的最大数) 空闲会话时间(最小值) chkdsk.exe 磁盘检查.Chkdsk \\\/r 2000命令控制台中的Chkdsk \\\/r命令检查修复系统文件cleanmgr 垃圾整理Clipbrd 剪贴板查看器C:boot.ini 打开启动菜单compact.exe 显示或改变NTFS分区上文件的压缩状态 conime.exe IME控制台 control.exe 控制面板 convert.exe NTFS 转换文件系统到NTFS convlog.exe 转换IIS日志文件格式到NCSA格式 cprofile.exe 转换显示模式 cscript.exe 较本宿主版本 csrss.exe 客户服务器Runtime进程 (XP不可用)csvde.exe 格式转换程序 (XP不可用)dcpromo 活动目录安装(XP不可用)drwtsn32 系统医生diskmgmt.msc 磁盘管理器(和PowerQuest PartitionMagic 8.0)dvdplay DVD 播放器devmgmt.msc 设备管理器(检查电脑硬件,驱动)dxdiag 检查DirectX信息dcomcnfg.exe DCOM配置属性 (控制台根目录)dcpromo.exe 安装向导 (XP不可用)ddeshare.exe DDE共享 debug.exe 检查DEBUGdfrgfat.exe FAT分区磁盘碎片整理程序 dfrgntfs.exe NTFS分区磁盘碎片整理程序 (XP不可用)dfs_cmd_.exe 配置DFS树 (XP不可用)dfsinit.exe 分布式文件系统初始化(XP不可用)dfssvc.exe 分布式文件系统服务器 (XP不可用)diantz.exe 制作CAB文件 diskperf.exe 磁盘性能计数器 dmremote.exe 磁盘管理服务的一部分 (XP不可用)doskey.exe 命令行创建宏 dosx.exe DOS扩展 dplaysvr.exe 直接运行帮助 (XP不可用)drwatson.exe 华生医生错误检测 drwtsn32.exe 华生医生显示和配置管理dvdplay.exe DVD播放 dxdiag.exe Direct-X诊断工具 edlin.exe 命令行的文本编辑esentutl.exe MS数据库工具 eudcedit.exe 造字程序 eventvwr.exe 事件查看器 exe2bin.exe 转换EXE文件到二进制 expand.exe 解压缩 extrac32.exe 解CAB工具 fsmgmt.msc 共享文件夹fastopen.exe 快速访问在内存中的硬盘文件 faxcover.exe 传真封面编辑 faxqueue.exe 显示传真队列 faxsend.exe 发送传真向导 faxsvc.exe 启动传真服务 fc.exe 比较两个文件的不同 find.exe 查找文件中的文本行 findstr.exe 查找文件中的行 finger.exe 一个用户并显示出统计结果 fixmapi.exe 修复MAPI文件 flattemp.exe 允许或者禁用临时文件目录 (XP不可用)fontview.exe 显示字体文件中的字体 forcedos.exe 强制文件在DOS模式下运行 ftp.exe FTP下载gpedit.msc 组策略gdi.exe 图形界面驱动 grpconv.exe 转换程序管理员组 hostname.exe 显示机器的Hostname Internat 输入法图标iexpress 木马捆绑工具,系统自带ieshwiz.exe 自定义文件夹向导 iexpress.exe iexpress安装包 iisreset.exe 重启IIS服务(未安装IIS,不可用) internat.exe 键盘语言指示器 (XP不可用) ipconfig.exe 查看IP配置 ipsecmon.exe IP安全监视器 ipxroute.exe IPX路由和源路由控制程序 irftp.exe 无线连接 ismserv.exe 安装或者删除Service Control Manager中的服务 jdbgmgr.exe Java4的调试器 jetconv.exe 转换Jet Engine数据库 (XP不可用)jetpack.exe 压缩Jet数据库 (XP不可用)jview.exe Java的命令行装载者 label.exe 改变驱动器的卷标 lcwiz.exe 许可证向导 (XP不可用)ldifde.exe LDIF目录交换命令行管理 (XP不可用)licmgr.exe 终端服务许可协议管理 (XP不可用)lights.exe 显示连接状况 (XP不可用)llsmgr.exe Windows 2000 许可协议管理 (XP不可用)llssrv.exe 启动许可协议服务器 (XP不可用)locator.exe RPC Locator 远程定位 lodctr.exe 调用性能计数 logoff.exe 注销当前用户 lpq.exe 显示远端的LPD打印队列的状态,显示被送到基于Unix的服务器的打印任务 lpr.exe 用于Unix客户打印机将打印任务发送给连接了打印设备的NT的打印机服务器。
lsass.exe 运行LSA和Server的DLL lserver.exe 指定默认Server新的DNS域 (XP不可用)lusrmgr.msc 本地账户管理mmc 控制台mplayer2 播放器macfile.exe 管理MACFILES (XP不可用)magnify.exe 放大镜 makecab.exe 制作CAB文件 mem.exe 显示内存状态 migpwd.exe 迁移密码 mmc.exe 控制台 mnmsrvc.exe 远程桌面共享 mobsync.exe 同步目录管理器 mountvol.exe 创建、删除或列出卷的装入点。
mplay32.exe Media Player 媒体播放器 mpnotify.exe 通知应用程序 mqbkup.exe 信息队列备份和恢复工具 mqmig.exe MSMQ Migration Utility 信息队列迁移工具 mrinfo.exe 使用SNMP多点传送路由 mscdexnt.exe 安装MSCD msdtc.exe 动态事务处理控制台 msg.exe 发送消息到本地或远程客户 mshta.exe HTML应用程序主机 msiexec.exe 开始Windows安装程序 mspaint.exe 打开画图板 mstask.exe 任务计划表程序 mstinit.exe 任务计划表安装 Msconfig.exe 系统配置实用程序 (配置启动选项,服务项)mem.exe 显示内存使用情况mspaint 画图板Net Stop Messenger 停止信使服务Net Start Messenger 恢复信使服务nslookup 网络管理的工具Nslookup IP 地址侦测器ntbackup 系统备份和还原nbtstat.exe 使用 NBT(TCP\\\/IP 上的 NetBIOS)显示协议统计和当前 TCP\\\/IP 连接。
nddeapir.exe NDDE API服务器端 netsh.exe 用于配置和监控 Windows 2000 命令行脚本接口(XP不可用) netstat.exe 显示协议统计和当前的 TCP\\\/IP 网络连接。
nlsfunc.exe 加载特定国家的信息。
Windows 2000 和 MS-DOS 子系统不使用该命令接受该命令只是为了与 MS-DOS 文件兼容。
notepad.exe 打开记事本 nslookup.exe 该诊断工具显示来自域名系统 (DNS) 名称服务器的信息。
ntbackup.exe 备份和故障修复工具 ntfrs.exe NT文件复制服务 (XP不可用)ntvdm.exe 模拟16位Windows环境 nw16.exe NetWare转向器 nwscript.exe 运行Netware脚本 odbcad32.exe 32位ODBC数据源管理 (驱动程序管理)odbcconf.exe 命令行配置ODBC驱动和数据源 packager.exe 对象包装程序 pathping.exe 包含Ping和Tracert的程序 pentnt.exe 检查Pentium的浮点错误 perfmon.exe 系统性能监视器 ping.exe 验证与远程计算机的连接 posix.exe 用于兼容Unix print.exe 打印文本文件或显示打印队列的内容。
progman.exe 程序管理器 psxss.exe Posix子系统应用程序 qappsrv.exe 在网络上显示终端服务器可用的程序 qprocess.exe 在本地或远程显示进程的信息(需终端服务) query.exe 查询进程和对话 (XP不可用)quser.exe 显示用户登陆的信息(需终端服务) qwinsta.exe 显示终端服务的信息 rononce -p 15秒关机rasAdmin 远程访问服务.regedit.exe 注册表编辑器 rasadmin.exe 启动远程访问服务 (XP不可用)rasautou.exe 建立一个RAS连接 rasdial.exe 宽带,拨号连接 ras.exe 运行RAS连接 (XP不可用)rcp.exe 计算机和运行远程外壳端口监控程序 rshd 的系统之间复制文件 rdpclip.exe 终端和本地复制和粘贴文件 recover.exe 从坏的或有缺陷的磁盘中恢复可读取的信息。
redir.exe 运行重定向服务 regedt32.exe 32位注册服务 regini.exe 用脚本修改注册许可 regwiz.exe 注册向导 replace.exe 用源目录中的同名文件替换目标目录中的文件。
rexec.exe rexec 命令在执行指定命令前,验证远程计算机上的用户名,只有安装了 TCP\\\/IP 协议后才可以使用该命令。
risetup.exe 运行远程安装向导服务 (XP不可用)route.exe 控制网络路由表 rsh.exe 在运行 RSH 服务的远程计算机上运行命令 rsnotify.exe 远
ARP攻击问题,急!
一根一根拔线,看拔掉那根后网络就正常就是那根线的主机中了arp病毒。
但这种办法很繁琐,要是有多太台主机中了毒,你就更麻烦了。
你们公司经济条件如果还可以就重新买了欣向的免疫墙路由器吧,切换在免疫墙模式下防范现行7中主流arp病毒,中毒主机不但发不出arp病毒,并且运营中心还能及时报警告知网管员哪台主机有问题,让网管员及时处理。
要是你们不想花钱,你们就下载一个巡路免疫墙免费版吧。
能帮你及时找到问题主机。
在设备上,show mac 和show arp的作用是什么,如果能学到,分别代表什么,能说明用户端是怎样的情况
管理命令之Show ip arp 和Show mac-address-table 1、switch#show ip arp fa 0\\\/1 Protocol Address Age (min) Hardware Addr Type Interface Internet 192.168.1.1 216 0003.4798.7cf9 ARPA FastEthernet0\\\/1 Internet 192.168.1.2 - 001a.6c9d.22c1 ARPA FastEthernet0\\\/1 Internet 192.168.1.3 198 000e.0c31.4327 ARPA FastEthernet0\\\/1 显示 fastethernet 下的所有活跃主他们的MAC地址。
- 显示的为直连或静态的MAC。
Age 为存活时间。
可以使用clear arp interface fastethernet 0\\\/1 来清除 MAC地址。
重新学习MAC。
学到机器的MAC就可以通过ping 命令测试一下。
当然如果有防火墙就ping不通了。
2、switch#show mac-address-table Mac Address Table -------------------------------------------Vlan Mac Address Type Ports ---- ----------- -------- ----- All 0100.0ccc.cccc STATIC CPU All 0100.0ccc.cccd STATIC CPU All 0180.c200.0000 STATIC CPU All 0180.c200.0001 STATIC CPU All 0180.c200.0002 STATIC CPU All 0180.c200.0003 STATIC CPU 是静态配置的和系统自带的MAC地址。
dynamic 是动态学到的。
使用 clear mac-address-table 来清除动态的MAC 。
来重新学习。
例如:switch(config)#mac-address-table static 1111.1111.1111 vlan 1 interface fa 0\\\/21 switch#show mac-address-table interface f 0\\\/21 Mac Address Table -------------------------------------------Vlan Mac Address Type Ports ---- ----------- -------- ----- 1 1111.1111.1111 STATIC Fa0\\\/21 Total Mac Addresses for this criterion: 1 switch#show mac-address-table 1 0015.585a.6066 DYNAMIC Gi0\\\/1 1 0015.c6c3.821b DYNAMIC Gi0\\\/1 1 0015.f915.8e80 DYNAMIC Gi0\\\/1 1 0016.413e.280a DYNAMIC Gi0\\\/1 1 0016.ec07.3b5c DYNAMIC Gi0\\\/1 1 0020.ed14.399c DYNAMIC Gi0\\\/1 1 0030.b637.8e10 DYNAMIC Gi0\\\/1 1 0090.fba1.00cf DYNAMIC Gi0\\\/1 1 00d0.d3a4.7cec DYNAMIC Gi0\\\/1 1 1111.1111.1111 STATIC Fa0\\\/21 1 22e0.5c14.4090 DYNAMIC Gi0\\\/1 switch(config)#no mac-address-table static 1111.1111.1111 vlan 1 interface fa 0\\\/21 switch(config)#end switch#show mac-address-table interface fa 0\\\/21 Mac Address Table -------------------------------------------Vlan Mac Address Type Port ---- ----------- -------- ----- 3、show mac-add和show ip arp命令show ip arp命令可以得到IP地址与MAC地址的对应关系show mac-add MAC地址与端口的对应关系根据这两组对应关系,我们就可以得到IP地址与端口的对应关系 比如本例中我们要确认IP地址为10.66.6.253的这台网络设备是接在交换机的哪个端口上,就可以先查看10.66.6.253对应的MAC地址为0001.7a53.2aab,而001.7a53.2aab这个MAC地址对应的端口为fa0\\\/20 Internet 10.66.6.253 0 0001.7a53.2aab ARPA Vlan2 2 0001.7a53.2aab DYNAMIC Fa0\\\/20 这样就得到了IP地址与端口的对应关系,即10.66.6.253这台网络设备是连接到交换机的第20端口上。
总结:show mac-address-table 是一个二层的命令。
show ip arp 是一个三层命令。
如果你在一个二层接口上show ip arp 是什么也不会显示的。
同样的在一个三层接口上show mac-address-table 也是没有具体内容的。
特别是在三层交换机上,有的端口可能会跑二层而有些接口跑三层,这时候寻找一个机器的MAC就需要特别注意使用那条命令了。
可以通过使用 show vlan 和 show ip int br 或是 show run 看是不是有 no switchport 配置。
让人发疯的arp问题,求助
想必很多网友都曾遇到过网络时断时续或突然断网的情况,同常在我们苦苦寻找故障原因并经过大量排除测试后会发现,原来问题的根源出在ARP病毒上。
就此我们来总结下机器中ARP病毒后常见的现象以及故障解决方案,希望可以帮助大家解决这个让人头痛却又无从下手的问题。
故障现象: 1. 电脑网络时断时续,重启计算机或网络设备后恢复正常(带有ARP欺骗程序的计算机在网内进行通讯时,就会导致频繁掉线,此问题出现后重启计算机或禁用网卡或重启网络设备会暂时解决问题,但掉线情况还会发生)。
2. 网络速度忽快忽慢,极其不稳定,但单一机器进行测试时正常(局域内计算机被ARP的欺骗程序非法侵入后,此机器便会持续向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包,阻塞网络通道,造成网络设备的承载过重,导致网络的通讯质量不稳定)。
3. QQ账号及网络游戏账号等莫名丢失(一些恶意程序利用ARP欺骗程序在网内进行非法活动,破解账号登陆时的加密解密算法,通过截取局域网中的数据包,分析数据通讯协议以便截获用户的信息)。
故障确认: 首先,登陆到路由器->运行状态->LAN口状态,此时页面上会显示路由器MAC地址信息(如图1)。
第二,计算机系统下->开始菜单->运行CMD命令->输入arp –a,正常状态下会显示(如图2)信息。
但倘若在命令行提示符中输入arp –a后,看到网关对应的MAC地址不是路由器的LAN口MAC地址(如图3),则可说明机器已中毒。
解决方案: 1、对IP地址到MAC地址进行地址绑定(即IP地址与硬件地址绑定),这是很好的ARP病毒免疫的办法。
2、所有的计算机均升级MS06-014和MS07-017补丁,通过升级这两个补丁可免疫绝大多数网页木马,防止在浏览网页的时候感染病毒。
3、禁用系统的自动播放功能,防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。
禁用Windows 系统的自动播放功能的方法:在运行中输入 gpedit.msc 后回车,打开组策略编辑器,依次点击:计算机配置->管理模板->系统->关闭自动播放->已启用->所有驱动器->点击确定即可。
4、安装杀毒软件并及时升级病毒库,坚持定期全网杀毒。
5、安装ARP防火墙,Antiarp、欣向ARP工具等安全类软件防止ARP攻击。
高手给出彻底防范ARP攻击的最新办法?
本人也是arp攻击的受害者,我当时网络的症状有三条:1,有正常网络连接,水晶头也是亮的,但是不能上网;2,根本无法获取ip地址,造成的不能上网;3,有时一开机能上,但一会就掉线了。
并且这三种情况都是随机出现的,开始比较笨,先是装了arp防火墙单机版,但是一样的没办法抵御,(先拉掉网线)于是老是修改mac地址,然后建立一个新的帐号,再重启系统,这样一般情况下又可以上网了,但有时也不灵,只有50%的胜算。
。
。
(下面介绍静态绑定mac法)最后总结有效的办法吧:关掉arp防火墙单机版,因为它开着你就无法启动arp.exe,在cmd里运行arp -s 192.168.1.109 00-23-cd-A8-8D-25(这是举例,格式就是arp -s ip mac),运行后,如正常的话,你再在cmd中运行arp -a 命令就会显示你的mac已经静态绑定成功了。
类型变为静态(static),就不会再受攻击影响了。
但是,需要说明的是,手工绑定在计算机关机重启后就会失效,需要再次重新绑定,不过也可以写个批处理,拖到启动中。
脚本如下: @echo off arp -s 192.168.1.109 00-01-02-03-04-05 end保存为*.bat的文件。
放在开机启动中。
要彻底根除攻击,只有找出网段内被病毒感染的计算机,把病毒杀掉,才算是真正解决问题。
还有顺便说下,怎么样查看自已的mac地址,方法很多,可以下载mac修改软件,也可以在cmd中运行ipconfig -all里面有个物理地址就是的。
。
。
以上只是正常的操作方法,其实还有很多原因,比如你的mac被别人用软件已经绑定了,你就得运行arp -d命令把arp缓存清空一下先。
。
。
。
。
。
。
。
。
。
。
。
。
。
如果还有问题,到我的个人网站里去看吧:凡者词典,百度一下就行了。
。
。
个人原创.....
交换机arp的问题
在三层交换机上可以使用dis arp 来查看ip和mac的对应关系,其实还有一项就是所学到的端口是那个端口也能看到。
在二层交换机上无法使用dis arp来查看ip和mac的对应关系,只能使用dis mac-address 来查看mac地址与端口的对应关系。
你看到的有可能是其他交换上学习过来的。
总结来说在三层上用ip+mac+port的形式来断定这个mac地址从那个接入交换机学习上来的。
之后在这个接入交换机上看mac地址在确定端口
show arp与arp -a 有什么区别
arp命令show ip arp命令可以得到IP地址与MAC地址的对应关系show mac-addMAC地址与端口的对应关系根据这两组对应关系,我们就可以得到IP地址与端口的对应关系 比如本例中我们要确认IP地址为10.66.6.253的这台网络设备是接在交换机的哪个端口上,就可以先查看10.66.6.253对应的MAC地址为0001.7a53.2aab,而001.7a53.2aab这个MAC地址对应的端口为fa0\\\/20Internet 10.66.6.253 0 0001.7a53.2aab ARPA Vlan22 0001.7a53.2aab DYNAMIC Fa0\\\/20这样就得到了IP地址与端口的对应关系,即10.66.6.253这台网络设备是连接到交换机的第20端口上。
总结:show mac-address-table 是一个二层的命令。
show ip arp 是一个三层命令。
如果你在一个二层接口上show ip arp 是什么也不会显示的。
同样的在一个三层接口上show mac-address-table 也是没有具体内容的。
特别是在三层交换机上,有的端口可能会跑二层而有些接口跑三层,这时候寻找一个机器的MAC就需要特别注意使用那条命令了。
可以通过使用 show vlan 和 show ip int br 或是 show run 看是不是有 no switchport 配置。
