无线网络受到ARP攻击,被攻击就掉线.怎么办？

1.首先企业或一个局域有了ARP攻击，肯定是很麻烦的，这对于管理员来说很头痛。有防火强或软件可以查出哪些机器有了ARP前兆，这类防ARP攻击的软件本人觉得彩影的比较直观。既然查出了那些机器就可以隔离那些有ARP攻击性的机器。然后再对那些机器进行清楚ARP攻击软件。这是解决的方法之一。

2.在方法之一中我提过隔离机器再进行解决。但是随之问题又来了，从ARP攻击来源再看，有可能是P2P软件或网络中的一些软件。怎么确认修复好的机器被同事朋友又下了同样的带有攻击的软件又来ARP攻击局域网呢？很难保证，因为局域网的网络是开放的。

3.在下面文章中说，双向绑定，双向绑定是有一些效果，但是不足以来防止ARP攻击。有时甚至没有效果。

4.至于说交换机绑定，如果有这个功能那当然很好可以解决，问题是哪个企业会花那么多钱买那些贵的交换机呢，要知道局域中使用的交换机一般要比路由器多得多。重新购买有绑定功能的交换机肯定是不可行的。成本很很大。

5.综上所述，我认为不如再买一个ARP防火墙的路由器。从硬件上防ARP攻击。而且只需买一个即可，不用买多个带有绑定或防ARP攻击的交换机。 JIM我在这里献丑了，有文字里面有些说的不对的提议，望大家海函并帮忙修正！欢迎和更多的朋友一起交流！邮件： 359394847@qq.com一般ARP攻击的对治方法$ a3 `7 B! b) g+ Y0 Y$ E! F% u* T现在最常用的基本对治方法是“ARP双向绑定”。" s, C: I& ~- Y/ Q3 e由于ARP攻击往往不是病毒造成的，而是合法运行的程序（外挂、网页）造成的，所杀毒软件多数时候束手无策。/ v. _+ {) j1 ]# V8 ^2 J1 H7 J所谓“双向绑定”，就是再路由器上绑定ARP表的同时，在每台电脑上也绑定一些常用的ARP表项。* G& L6 o. O/ J4 ~/ @2 H- f“ARP双向绑定”能够防御轻微的、手段不高明的ARP攻击。ARP攻击程序如果没有试图去更改绑定的ARP表项，那么ARP攻击就不会成功；如果攻击手段不剧烈，也欺骗不了路由器，这样我们就能够防住50％ARP攻击。6 q- L b, - S但是现在ARP攻击的程序往往都是合法运行的，所以能够合法的更改电脑的ARP表项。在现在ARP双向绑定流行起来之后，攻击程序的作者也提高了攻击手段，攻击的方法更综合，另外攻击非常频密，仅仅进行双向绑定已经不能够应付凶狠的ARP攻击了，仍然很容易出现掉线。+ k9 w% d& r2 g于是我们在路由器中加入了“ARP攻击主动防御”的功能。这个功能是在路由器ARP绑定的基础上实现的，原理是：当网内受到错误的ARP广播包攻击时，路由器立即广播正确的ARP包去修正和消除攻击包的影响。这样我们就解决了掉线的问题，但是在最凶悍的ARP攻击发生时，仍然发生了问题----当ARP攻击很频密的时候，就需要路由器发送更频密的正确包去消除影响。虽然不掉线了，但是却出现了上网“卡”的问题。# v& h$ S s( Q4 H6 E所以，我们认为，依靠路由器实现“ARP攻击主动防御”，也只能够解决80％的问题。& A N. i5 [6 J7 @4 h. }0 ^0 ]为了彻底消除ARP攻击，我们在此基础上有增加了“ARP攻击源攻击跟踪”的功能。对于剩下的强悍的ARP攻击，我采用“日志”功能，提供信息方便用户跟踪攻击源，这样用户通过临时切断攻击电脑或者封杀发出攻击的程序，能够解决问题。$ }# f3 {$ `$ ?1 g( ?: @彻底解决ARP攻击1 s# 9 I! N7 w8 P" H2 P5 G R事实上，由于路由器是整个局域网的出口，而ARP攻击是以整个局域网为目标，当ARP攻击包已经达到路由器的时候，影响已经照成。所以由路由器来承担防御ARP攻击的任务只是权宜之计，并不能很好的解决问题。! r) T7 u6 h( f2 T4 R我们要真正消除ARP攻击的隐患，安枕无忧，必须转而对“局域网核心”――交换机下手。由于任何ARP包，都必须经由交换机转发，才能达到被攻击目标，只要交换机据收非法的ARP包，哪么ARP攻击就不能造成任何影响。/ B& {; W: `# c& T0 h: {我们提出一个真正严密的防止ARP攻击的方案，就是在每台接入交换机上面实现ARP绑定，并且过滤掉所有非法的ARP包。这样可以让ARP攻击足不能出户，在局域网内完全消除了ARP攻击。7 b3 } c, z) H+ j% @+ ^1 k, R因为需要每台交换机都具有ARP绑定和相关的安全功能，这样的方案无疑价格是昂贵的，所以我们提供了一个折衷方案。9 n, s9 j, h2 T0 q1 _& n经济方案$ W2 H+ q+ p1 T% @$ A我们只是中心采用能够大量绑定ARP和进行ARP攻击防御的交换机――Netcore 7324NSW，这款交换机能够做到ARP绑定条目可以达到1000条，因此基本上可以对整网的ARP进行绑定，同时能杜绝任何非法ARP包在主交换机进行传播。; X9 {" e2 m k/ l这样如果在强力的ARP攻击下，我们观察到的现象是：ARP攻击只能影响到同一个分支交换机上的电脑，这样可能被攻击到的范围就大大缩小了。当攻击发生时，不可能造成整个网络的问题。, H/ r$ D- r9 @5 ?2 q/ L1 Z* H在此基础上，我们再补充“日志”功能和“ARP主动防御”功能，ARP攻击也可以被完美的解决。- d, y& _0 g: c/ B8 [ARP攻击最新动态7 A, F$ f, B: L/ r5 u7 m* h+ S最近一段时间，各网吧发现的ARP攻击已经升级，又一波ARP攻击的高潮来临。7 T( U) S! T6 A* x) z这次ARP攻击发现的特征有：% Q3 `8 U m- }1、 速度快、效率高，大概在10－20秒的时间内，能够造成300台规模的电脑掉线。, r" f' f) x8 B- ~: a! d2、 不易发现。在攻击完成后，立即停止攻击并更正ARP信息。如果网内没有日志功能，再去通过ARP命令观察，已经很难发现攻击痕迹。3 m* r' Z# r2 h4 d, h9 t3、 能够破解最新的XP和2000的ARP补丁，微软提供的补丁很明显在这次攻击很脆弱，没有作用。0 Q8 ?7 U p7 n( U0 Z. g4、 介质变化，这次攻击的来源来自私服程序本身（不是外挂）和P2P程序。 局域网中受ARP欺骗攻击后的解决方法【故障现象】当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和安全网关，让所有上网的流量必须经过病毒主机。其他用户原来直接通过安全网关上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从安全网关上网，切换过程中用户会再断一次线。【快速查找】在WebUI“系统状态—>系统信息”系统历史记录中，看到大量如下的信息:MAC SPOOF 192.168.16.200MAC Old 00:01:6c:36:d1:7fMAC New 00:05:5d:60:c7:18这个消息代表了用户的MAC地址发生了变化，在ARP欺骗木马开始运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址)。同时在安全网关的WebUI“高级配置”“用户管理”读ARP表中看到所有用户的MAC地址信息都一样，或者在WebUIà系统状态à用户统计中看到所有用户的MAC地址信息都一样。如果是在WebUI“系统状态”系统信息”系统历史记录中看到大量MAC Old地址都一致，则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时，主机在安全网关上恢复其真实的MAC地址)。在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址，那么我们就可以使用NBTSCAN(下载地址:http://www.utt.com.cn/upload/nbtscan.rar)工具来快速查找它。NBTSCAN可以取到PC的真实IP地址和MAC地址，如果有”传奇木马”在做怪，可以找到装有木马的PC的IP/和MAC地址。命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段，即192.168.16.25-192.168.16.137。输出结果第一列是IP地址，最后一列是MAC地址。NBTSCAN的使用范例:假设查找一台MAC地址为“000d870d585f”的病毒主机。1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。2)在Windows开始—>运行—>打开，输入cmd(windows98输入“command”)，在出现的DOS窗口中输入:C:nbtscan -r 192.168.16.1/24(这里需要根据用户实际网段输入)，回车。3)通过查询IP--MAC对应表，查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。【解决办法】采用双向绑定的方法解决并且防止ARP欺骗。1、在PC上绑定安全网关的IP和MAC地址：1）首先，获得安全网关的内网的MAC地址（例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa）。2）编写一个批处理文件rarp.bat内容如下：@echo offarp -darp -s 192.168.16.254 00-22-aa-00-22-aa将文件中的网关IP地址和MAC地址更改为实际使用的网关IP地址和MAC地址即可。将这个批处理软件拖到“windows“开始->程序->启动”中。3）如果是网吧，可以利用收费软件服务端程序（pubwin或者万象都可以）发送批处理文件rarp.bat到所有客户机的启动目录。Windows2000的默认启动目录为“C:Documents and SettingsAll Users「开始」菜单程序启动”。2、在安全网关上绑定用户主机的IP和MAC地址：在WebUI->高级配置->用户管理中将局域网每台主机均作绑