可以看出,由于ARP缓存的原因,计算机名和IP的对应关系已经混乱。修改B机器的计算机名后,A机器并没有马上进行计算机名同步更新,也就是说在A机器上的ARP缓存中仍然保留着student2与192.168.0.2的对应关系。虽然“ping -a 192.168.0.2”,可以解析出新的计算机名student4,但“ping student2”时系统还是将它映射为以前的192.168.0.2,而不是更新后的192.168.0.3。产生这个问题的罪魁祸首就是ARP缓存中的错误信息,我们只能通过重新启动计算机A以清空ARP缓存或执行“arp –d”命令删除相应的ARP缓存内容来解决这个问题
清空ARP缓存法:
2009-07-01 17:06
清空ARP缓存法: 很多读者可能都通过ARP指令法解决过ARP欺骗问题,该方法是针对ARP欺骗原理进行解决的。一般来说ARP欺骗都是通过发送虚假的MAC地址与IP地址的对应ARP数据包来迷惑网络设备,用假的错的MAC地址与IP地址对应关系取代正确的。 对于一些初级的ARP欺骗,我们完全可以通过指令来清空本机的ARP缓存对应关系,让网络设备从网络中重新获得正确的对应关系。解决方法如下。 第一步:通过任务栏的“开始”->“运行”,输入CMD后回车进入命令行模式。 网管论坛bbs_bitsCN_com 第二步:在命令行模式下输入arp -a命令来查看当前计算机储存在本地系统中的ARP缓存信息。 期货是什么意思 第三步:使用arp -d命令将储存在本地计算机的ARP缓存信息清空删除,这样错误的缓存信息也就被忽略了,本地计算机将重新从网络中获得正确的ARP信息,从而可以正常上网。 这个方法虽然可以保证你的计算机从断网状态恢复到正常上网状态,但是如果网络中仍然存在着ARP欺骗数据包的话,过不了多久你的计算机又无法上网了。因此这个方法只能临时解决下问题,不能长时间彻底突破ARP欺骗,不过对于那些通过ARP欺骗工具来实现攻击的手法来说,由于这种方法是手动攻击的,所以不可能像ARP欺骗病毒那样每隔一段时间自动发送ARP欺骗数据包,因此清空ARP缓存法可以解决ARP欺骗带来的问题。 指定ARP对应关系法: 正如前面所说,对于那种ARP欺骗病毒带来的ARP欺骗故障,我们使用上面介绍的方法将无济于事,可能能够恢复正常的时间只有一分钟,之后又会因为ARP缓存出错而无法正常上网。这时就需要我们强制ARP对应关系了。由于大部分ARP欺骗都是针对网关MAC地址进行攻击的,让本地计算机上ARP缓存关系中网关设备的信息出现紊乱,这样当机器要上网发送数据包给网关时就会因为地址错误而失败,从而无法上网。 网管bitscn_com 第一步:我们假设网关地址的MAC信息为11-11-11-11-11-11,对应的IP地址为192.168.1.254。那么我们指定ARP对应关系就是针对这些地址而言。在要避免被ARP欺骗的计算机上通过任务栏的“开始”->“运行”,输入CMD后回车进入命令行模式。 第二步:通过arp -s命令来添加一条ARP地址对应关系,例如arp -s 192.168.1.254 11-11-11-11-11-11命令。这样我们就将网关地址的IP与正确的MAC地址绑定了,本台计算机再也不会因为错误和虚假的ARP欺骗数据包而影响正常网关地址信息了,网络连接也可以保证顺利完成了。(如图1) 第三步:之后我们再次通过ARP -A命令来查看本地计算机的ARP缓存信息表就可以看到刚刚添加的静态对应信息了,在缓存表中的TYPE项中显示为static表示该对应是添加的静态对应关系。(如图2) 张艺谋导演的电影 网管联盟bitsCN_com 描写洞庭湖的诗句通过添加静态ARP对应关系可以让计算机不再受到ARP欺骗数据包的任何骚扰,因为不管是人工发起的攻击还是病毒自动发送欺骗数据包,当这些欺骗数据包到达目标计算机时,由于我们系统中已经存在了网关地址的MAC信息,所以欺骗数据包不会替代原有的静态ARP对应关系,自然不会出现无法连接网络的问题。不过这种方法同样存在一个问题,那就是在我们添加静态ARP对应关系后,只要重新启动计算机这个对应关系就会消失,因为每次重新启动计算机系统的ARP缓存信息都会全部删除。不过如果我们动动脑子把这个ARP静态地址添加指令放到系统的启动项中,让该程序随系统的启动而加载的话就可以实现即使重新启动计算机也不会将ARP静态映射信息丢失了。 从路由下手对付ARP欺骗: 正如前面所说一般的ARP欺骗都是针对网关而言的,那么我们是否可以通过给本地计算机添加路由来解决此问题呢?只要添加了路由,那么上网都通过此路由出去即可,自然也不会被ARP欺骗数据包干扰了。 如何进入路由器 第一步:先手动修改客户机的网关地址为任意ip地址,最好是同一网段中没使用的一个IP。 第二步:手动添加或是通过批处理,或是脚本来添加永久对出口路由。具体的命令如下。(如图3) 网管bitscn_com route delete 0.0.0.0 //删除到默认得路由 route add 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1 //添加路由 route add -p 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1 //参数-p 就是添加永久的记录。 route change //修改路由 第三步:我们也可以把他放到开机脚本里或者系统的启动项,这样客户端每次启动时自动运行,从而具备对ARP欺骗的先天免疫。 该方法对于网关的MAC地址固定的情况下比较合适,但是如果以后网关或者自己计算机的地址信息出现了变化就需要重新修改已有的路由了。 域环境从程序入手: 怎样开网店啊大部分arp欺骗软件都会使用到一个叫做winpcap驱动。我们完全可以让其无法在本地计算机安装来避免ARP欺骗问题的发生。不过需要我们将网络中设置为域环境,然后禁止普通用户具备安装程序的权限即可,这样任何用户和计算机都无法安装ARP欺骗软件来进行攻击了。不过如果我们的网络不是域环境,那么可以根据下面三个步骤来解决。 网管联盟bitsCN_com 第一步:要求系统盘为NTFS分区格式。如果磁盘分区是FAT32或者其他格式的话,我们可以通过命令来进行转换,方法是通过任务栏的“开始”->“运行”,输入CMD后回车进入命令行模式。然后通过convert指令完成转换。例如我们要把D盘从FAT32等其他格式转换成NTFS格式,那么可以执行convert d: /fs:ntfs命令将该磁盘转换为NTFS格式。(如图4) 第二步:通过检测来查看所要安装的文件所要在系统中生成的文件有哪些。一般都是对c:\program files目录和system32以及system目录进行监控。 第三步:使用注册表和文件安装监视软件来监视安装所生成的文件。 第四步:然后通过管理工具来禁止这些文件的生成,从而保证ARP欺骗工具无法安装和运行。 该方法只对ARP欺骗软件具备防范功能,如果是病毒恐怕就无能为力了,另外还要求网络管理员清晰的知道欺骗软件程序的名称,这样才能成功完成监控工作。对于ARP病毒等攻击手段效果不太显著。 总结: ARP欺骗是最让网管员头疼的问题,本文介绍了四种解决该问题的方法,各个方法针对的情况也不同。在实际工作中网管员可以根据自己的情况来选择方法,条条道路通罗马,希望这些方法可以帮上网管的大忙。 |
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论