解决ROUTEROS内部网ARP攻击问题

Foresight 发表于 2006-3-27 15:58:16

最近，在南宁全市小区，网吧，都中了ARP攻击。

表现现像：部分网段如：192.168.1.0-192.168.1.255段部分工作站时掉时通。

禁用网上邻居----本地连接即可上网。但只是上得不久，又会断。

解决方案特点：

1、在掉线电脑上，先不要动其它。用arp -a查看网关IP及 MAC。（注意：此台电脑网关IP的MAC被修成木马源的机器，即木马源的机器成了网关，这台电脑或这个段的电脑，通过木马源的电脑上网）
2、用IRIS 抓包之类的工具，可以发现，木马源的电脑会发 ARP包，IP为 0.136.136.16这类IP，把数据包解开后，可以发现其MAC与被修改成网关木马源的MAC一致，通过MAC可以查出IP，找开木马源电脑。

3、最后杀一下木马，查出是什么东东作怪。最好在ROUTEROSFORWARD 能过滤掉。

4、网上传说客户机的IP与MAC绑定可以解决，实际上我试了，也不行。

我试成功了，南宁的一些朋友也成功， 600户上网小区经验共大家分享。
祝大家成功。

xnigqq 发表于 2006-3-28 13:02:01

顶你一个，谢谢分享

yiyuan1234 发表于 2006-3-29 10:04:08

谢谢分享

edin 发表于 2006-3-29 13:31:38

fsda fdgk ;adlfk l;bjk

senye0119 发表于 2006-3-30 11:51:56

楼主找到是通过哪个端口传播的吗？

pahaihua 发表于 2006-3-30 17:04:19

回复 #5 senye0119 的帖子

你所谓的成功了是永远解决，还是临时解决问题。我从的你的帖子当中看不出来你的解决办法。

fanbt 发表于 2006-3-30 17:14:25

试试～！

mswbj 发表于 2006-3-31 00:47:03

有道理！不过有没有辙底的解决办法啊！

lsq726com 发表于 2006-3-31 06:49:19

小区要完美解决这个问题就用PPPOE吧

专卖精品 发表于 2006-3-31 17:35:22

其实，网吧也可以用PPPOE，哈哈

ypw 发表于 2006-4-13 16:46:42

谢谢分享

casper2000 发表于 2006-4-13 19:35:23

哎,看来以后得pppoe上网了.

29406352 发表于 2006-4-15 05:31:50

顶之

xiezhenbin 发表于 2006-4-16 13:36:41

真晕了。全部客户机ARP绑了还功毛。

专卖精品 发表于 2006-4-17 09:16:48

原帖由 xiezhenbin 于 2006-4-16 13:36 发表
真晕了。全部客户机ARP绑了还功毛。

你测试过了吗？

只有三层交换机才能彻底解决这个问题

路由器的LAN不使用IP，设置成PPPOE SERVER也可以部分解决问题！

页: [1] 2

自由的生活_软路由's Archiver