网络遭遇ARP欺骗攻击的症状

一上班,就有报告说Email没办法用的,过去一看,是台通过Wi-Fi上网的笔记本,现象是打开Web登录界面速度奇慢无比,因为手头还有别的事情,所以直接打开OE添加了个帐号,说先这样用吧,我那边去找找原因。

接下来就开始有三三两两的说网络不正常的,包括Web浏览、股票行情、视频直播,都出现问题,这下麻烦大了。在自己机器上开ping,外部网站、DNS,都不正常,从30ms到丢包,不规律重复出现。

查看已经打开的页面源文件,第一行有一个iframe,访问一个直接数字ip开头的vip.htm页面,但是那个页面打不开,这个应该就是所有网站打开缓慢的原因之一。

打电话给ISP,让他们反向ping回来,过了几分钟,反馈说一切正常,维持在1-2ms之间,ISP嫌疑排除,继续。

询问ISP是否做广告推送,确认没有。

带笔记本到机房,直接接到ForitGate上,一切正常,故障定位在下层交换机。

怀疑arp欺骗(已经碰到过n次了),笔记本看一下网关,到别的地方看一下,果然不同,确定故障。

到FortiGate的dhcp log里面查找那个问题mac,居然没有,想不通。

先群发bqq消息,通知有问题的人下载antiARP安装,继续查。

找一台有问题的机器,做全c段ip scan,然后arp –a,看到那个问题机器的mac对应的ip。

\问题ipd$,出现登录窗口,看到问题机器名,找到。

将问题机器断网,杀毒,杀木马,搞定。

整个流程是这样:问题机器中木马,开始arp欺骗,其他机器收到arp广播,认为问题机器是网关,于是走这条路,问题机器将http请求开头加上那个iframe,目的是为了流量或者广告或者再传播。

总结一下

现在基础网络,稳定性还是可以的,出现大面积问题,首先怀疑arp欺骗。有条件的,做双向ip-mac绑定,可以解决大部分此类问题。无条件的,建立机器-mac对应表,出现问题之后可以非常迅速的找到问题机器。尽量在每台机器上装杀毒软件和杀木马软件,可以减少不少麻烦。

时间: 2016-02-24

网络遭遇ARP欺骗攻击的症状的相关文章

局域网遭遇ARP欺骗攻击的解决方法_应用技巧

该病毒发作时症状表现为:  1)计算机网络连接正常,但无法上网或者时通时断,经常掉线: 2)用户私密信息(如QQ.网游等帐号)被窃取: 3)局域网内出现网络拥塞,甚至造成一些网络设备当机: 基本概念:  为了能够说明问题,有必要先来介绍一些基本概念,知者略过. 首先来说IP地址,大家应该都很熟悉了,我们知道,IP地址是一段32位(二进制)的无符号整数,例如:192.168.110.1,其最基本的作用就是在(IP)网络中唯一标识一台特定的主机.在Internet上,我们正是凭借IP地址来定位其他主

网吧网络遭遇ARP攻击常见的八种情况详解

1.arpDdos攻击: arpDdos攻击是最为常见的,就是连续大量发送正常ARP请求包,耗费主机带宽.这种攻击在局域网里面意义不算太大,例如ADSL猫,发送ARP请求,几分终就会让它死掉,这种数据包是属于正常包,不会被arp防火墙和交换机过滤掉. 2.arp网关欺骗 arp网关欺骗,假如客户端做了网关静态绑定,安装了arp防火墙你不能对它做欺骗,无法对它断开互连网,那我们就对网关进行arp欺骗.例如A是客户端,B是服务器.A做了防护,并你想阻断他上互联网,那么我们对B做A的欺骗,就是把B认为

影响网络通畅-ARP欺骗的方式和原理

从影响网络连接通畅的方式来看,ARP 欺骗大概可以分为两种.一种是对路由器ARP表的欺骗,这种方法可以破坏系统的ARP缓存表,从而组成内外IP地址的混乱.另一种是对局域网里面计算机的网关欺骗,让内网计算机系统的数据报通过假网关来发送. 第一种ARP 欺骗的原理是截获网关数据.它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行地址的更换,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,从而造成计算机访问黑客精心构建的网络陷阱. 第二种ARP

完美解决ARP欺骗攻击组合

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 解决ARP欺骗攻击的完美组合(风云防火墙注册版+P2P破解版) 两软件组合,一防一攻,完美解决ARP欺骗攻击.首先下载这两个软件: 风云防火墙注册版 下载地址:http://www.arpun.com/soft/sort014/sort016/down-43.html P2P破解版 下载地址:http://www.arpun.com/soft

服务器的ARP欺骗攻击的防范的两种解决方法_win服务器

服务器的ARP欺骗攻击的防范          这些天我的服务器几乎天天都被人ARP欺骗攻击,网页被挂木马,实在烦死了,深圳的龙岗电信机房实在是够恶心的,不得已,我只好寻找一些防范ARP攻击的方法,目前发现可以使用静态地址法和使用专用软件的方法来防范ARP欺骗攻击. 静态地址法指的是,在本地服务器上,将路由器的MAC地址设置为静态的方式来阻止别人对我的ARP攻击,如果你也越到了类似的ARP欺骗攻击,也可以参考这个方法进行设置. 首先,找到路由器真实的MAC地址,在没有被攻击的条件下,输入命令ar

Vista下应对网络执法官及ARP欺骗攻击

很多学校.公司的内部网络 里面经常有一些不道德的人用ARP欺骗软件攻击别人,让很 多人掉线,甚至让整个网络都瘫痪.针对这个问题,大家可以采取如下的办法. 介绍一个防火墙:Outpost Firewall.它可以防护"P2P终结者"等局域网软件,效果超好,还能查出局域网哪台机在使用,http://www.aliyun.com/zixun/aggregation/17547.html">功能强大,占用资源少,可以评分5个星. 其实,类似网络管理这种软件都是利用arp欺骗达到

对付ARP欺骗攻击16a.us病毒的解决方案

最近单位局域网电脑上网,大多数网站页面显示都会异常,卡巴在访问网站的时候会提示""木马程序Trojan-Downloader.JS.Agent.gd 文件hxxp://16a.us/*.js",查看HTML源码,会在所有网页顶部多出一行 ,最开始还以为是我们单位网站服务器被挂了木马,后来发现访问其他网站也是同样问题,包括建行.IT168等大型网站,所以就把问题锁定在我们局域网内部,开始上网找解决办法,试验过各种办法都没有效果,包括: 1.修改Hosts文件 2.下载360安全

站长注意:最近流行ARP欺骗攻击

最近网络上很流行一种攻击方式,在你的所有网页里嵌入病毒或广告代码,有时是不定时出现,但是无论你怎么在自己服务器上面怎么查,都找不出原因.甚至重做系统都没有效果.chinaz也曾中过此类病毒,后来终于找到解决办法,因为这个攻击方式还有很多人都被蒙在鼓里,所以在此公布出来给大家分享,请各位站长及网管多注意! 首先,判断是否受到arp欺骗式攻击.在你系统的命令行下输入:arp -a 会输出如以下的信息:  Internet Address      Physical Address      Type

ARP欺骗攻击详解

信息化办公的时代,如果网络突然断网您会不会显得无奈呢?ARP病毒的盛行,已经使得我们必须面对这种突如其来的威胁.那么ARP病毒到底是如何攻击又如何防治呢? 什么是ARP? 所谓ARP即地址解析协议(Address Resolution Protocol),是在仅知道主机的IP地址时确定其物理地址的一种协议.因IPv4和以太网的广泛应用,其主要用作将IP地址翻译为以太网的MAC地址,但其也能在ATM和FDDIIP网络中使用.从IP地址到物理地址的映射有两种方式:表格方式和非表格方式.ARP具体说来