Posted on 2007-10-28 15:37
David.Ko 阅读(296)
评论(0) 编辑 收藏 所属分类:
安全
今天太点呗了。早晨9点起来,刚打开电脑,就听见瑞星防火墙发出警报,提示说有ARP欺骗包访问,被防火墙拒绝。
晕,今天怎么了?什么ARP?不太了解阿!算了,有问题就要解决,特别是这样的问题啊。。
我们寝室里三台电脑,用路由器上网。为什么它们的没有什么反应呢?难道它们已经中了?我查看路由器MAC地址,比对它们电脑里的ARP缓存表,一看。。呵呵 ,全中了。。
还好我的防火墙有ARP防护功能。要不。。。
下一步,查根源。根据瑞星提示,路由的MAC地址被篡改为其他的(实际上不会被改,也不可能被改!),由于ARP攻击是内网攻击,所以我先从寝室的三台电脑查,我把它们的IP及MAC地址,均添加到ARP静态列表里,把路由的也加过去,忽然发现,呵呵,路由的IP和寝室一哥们的电脑的MAC邦定了。呵呵,肯定是他中了。病毒把路由的IP和他的MAC邦定后,不停的响应我们发出去的数据包,还好不怎么厉害,没有造成网络中断,至于被中马的那哥们,一问是昨晚刚装完系统还没有装防火墙,晕。。
好了,一次突然的ARP防御,让我对ARP有了更深刻的了解。
说几点注意事项:
1。电脑要装上有ARP防御功能的防火墙,现在挺多的。。
2。我寝室就三台电脑,比较好查,如果多就麻烦了,所以建议把内网划分虚拟网络,那样一方面比较好找目标;另一方面,别的虚拟网段的用户中马后,不会干扰你这个网段的。