由于掉线的原因我不能不再一次请教大家一个ARP的问题

ysj0769 · 发表于 2006-9-29 10:55:45

最近我网吧有时很正常有时狂掉线，用Anti ARP Sniffer监测网内有某MAC攻击用科来分析软件分析珍断攻击的MAC“太多的主动应答”而这种攻击绑定网关的机子也有。没绑定的机子也有这种行为，这时只要断开攻击的这台机子过一会网络就正常了，在攻击的机子上已经杀毒了，还是不行。观察过几天发现这种ARP攻击是不定时的，目前还没有想到根治的办法。更奇怪的是我网吧大部机子都做了本机和网关的IP和MAC静态绑定。在没绑定的机子上不了网用ARP-A 看的出网关变了当然就上不了网可以理解为正常，在绑定的机子上也上不了网用ARP-A看ARP缓存网关的MAC和IP都没变这让我更不明白了，必须用ARP-D 清除缓存才能上网如果按ARP的原理绑定了就算网内有伪造网关的MAC也只会伪造的哪台机子上不去网怎么都上不去网，是不是就算绑定了网关ARP缓存也会在一定的时间内老化吗？

andllen · 发表于 2006-9-29 15:48:59

静态绑了之后.当用ARP-D的时候会清楚.还有就是重启电脑的时候.也会.你说你对机子杀了毒.我看你是没有杀到.并不是没有毒.请在细细的找.还有可能是软件错报.如果你是2000的系统也可以找我要2000的ARP补丁.关于XP嘛方法还在想哈..

ysj0769 · 发表于 2006-9-29 15:59:17

首先感谢楼主的回答，现在问题了绑了的机子也有发现ARP攻击，当网内有ARP攻击是绑了的机子也上不了网，如果按ARP的原理绑定了就算网内有伪造网关的MAC也只会伪造的哪台机子上不去网怎么都上不去网。还有请问楼主说的2000的ARP补丁他的原理是什么我是系统是XP的

[ 本帖最后由 ysj0769 于 2006-9-29 16:01 编辑 ]

ilike · 发表于 2006-9-29 17:14:44

杀毒能杀的了吗?现在的病毒越来越猖狂,现在在安全模式下面都杀不了了.别说杀了,换了3种杀毒软件,江民2006,瑞星2006,咔吧6,都杀不出来.我都认识那是病毒,杀毒软件愣是没反应.

ysj0769 · 发表于 2006-9-29 17:51:12

杀毒的也经升到最新，主要是这种病毒是不定时，发病毒机子用科来分析可以看到的一直不停的ARP扫描或主动应答这网吧一掉线真让人上班都不安心时刻但心病毒发作

幽魂倦客 · 发表于 2006-9-29 20:42:22

看看这个或许对你有点用的！~
http://post.baidu.com/f?kz=135599359

ysj0769 · 发表于 2006-9-29 22:56:13

先试下有没有效果能不能解决问题

ysj0769 · 发表于 2006-9-30 11:17:23

为什么绑定了网关的IP和MAC的机子怎以也上不网，必须用ARP -D清除缓存才能上网

artico · 发表于 2006-9-30 11:57:30

原帖由 ilike 于 2006-9-29 17:14 发表
杀毒能杀的了吗?现在的病毒越来越猖狂,现在在安全模式下面都杀不了了.别说杀了,换了3种杀毒软件,江民2006,瑞星2006,咔吧6,都杀不出来.我都认识那是病毒,杀毒软件愣是没反应.

有同感，不知道现在的杀毒软件是越做越差，还是病毒越来越厉害，今年碰到解决中毒杀毒软件杀完还还是有问题，现在麻木到只基本上中毒都不杀毒，重新安装系统来得快。。。的确很郁闷。。

KelvinFu · 发表于 2006-9-30 14:07:22

呵呵，应该不能说杀毒软件越来越差，呵呵！

现在病毒的狂热爱好者太多，而且太厉害了！

幽魂倦客 · 发表于 2006-9-30 16:03:52

不过经历过这些也是个好事哟！~~

ysj0769 · 发表于 2006-9-30 18:26:33

最好这种事少发事一次就够了？

yangloveme · 发表于 2006-10-1 14:50:51

不知道楼主的网关绑定了下面机器的MAC没有？？如果没有那很正常呀病毒机会欺骗网关让网关的包发不到下面的机器绑定要双向的你只下面的机器绑定网关是没什么用的

wqwang · 发表于 2006-11-23 09:28:37

13#的兄弟讲的有道理.

terrax · 发表于 2006-11-29 00:08:02

发生这样的情况已经可以肯定你的系统不是2000就是XPsp1了，要解决也很简单，第一：路由和客户机双向绑定，

另外，客户机之间都互相绑定mac地址。第二：尽快将XP升级到sp2,并将所有安全补丁打上。做好以上2步，可以保

证你不会受到arp病毒攻击的影响。

rainy2004 · 发表于 2007-4-23 04:40:39

嗯，支持13楼的～
不过好像XP　SP2的了补丁一样会被攻击

jie172 · 发表于 2007-4-23 21:20:05

sp2好像是会中我就是

rainy2004 · 发表于 2007-4-24 00:27:38

是啊，我们栋楼也有人中，
那时候用ARP防火墙一样上不了网，超郁闷呢～

ch1oE · 发表于 2007-4-26 19:13:15

这个问题老生常谈了...
双绑
客户机打开启动（批处理或者什么）去绑定
路由使用静态ARP表（这最重要）
另外最好不要用软路由
据说当初的威金可以在双绑的情况下依然ARP欺骗软路由

至于怎么查处内网里面是那个机子在ARP欺骗...
如果那个ARP包（伪装包）做得很完美的话
抓包就一点用都没了的
只有直接过滤路由端口才能判断到是哪个机子在攻击...

由于掉线的原因我不能不再一次请教大家一个ARP的问题

不会哈.

我已经做了开机自动行动绑定网关和本机的IP和MAC

主要是查不出发ARP病毒的是哪个病毒

多谢楼主的答复

大家能不能解释一下一个ARP 的问题

什么事都有利害的关系