如何排查内网ARP断线攻击的元凶？局域网中检测ARP攻击的方法

编辑：宝哥软件园来源：互联网时间：2021-09-02

新天龙八部

角色扮演 | 1.85G

评分

立即下载

许多网民的小团体、社区和住宅将使用局域网上网。在网速本身不高的情况下，同一路由的用户可能会因为网速问题而使用各种网络控制软件，通过ARP断线攻击局域网内的用户，以牺牲其他内网用户的网速为代价换取更好的网速。

如何排查内网ARP断网攻击祸首？局域网ARP攻击检测方法

ARP断网攻击有什么征兆？

1.局域网中频繁的区域或整体断开和IP地址冲突；

2.网速忽快忽慢；

3.极不稳定，严重影响网络正常通信；

4.安全软件会提示ARP网络攻击。

以上任何一个问题出现在用户电脑里都会让人生气。有没有办法查一下ARP断线攻击的来源？

一、首先诊断是否为ARP病毒攻击

1.当发现互联网明显变慢或突然掉线时，我们可以用arp -a命令检查ARP表：

点击“开始”按钮-选择“运行”-输入“cmd”，点击“确定”按钮，在窗口中输入：arp -a命令。

如何排查内网ARP断网攻击祸首？局域网ARP攻击检测方法

检查ARP列表

如果发现网关的MAC地址发生了变化，或者很多IPs指向同一个物理地址，那么一定是ARP欺骗造成的。此时，可以通过arp -d清除arp列表并再次访问。

2.使用ARP防火墙软件(如360ARP防火墙、防ARP嗅探器等.).

二、找出ARP病毒主机

1、用arp -d命令，只能暂时解决上网问题，要从根本上解决问题，就得找到病毒宿主。通过上面的arp -a命令，可以确定更改后的网关MAC地址或者多个IP指向的物理地址是病毒机的MAC地址。哪个主机对应这个MAC地址？在Windows中，有ipconfig /all命令可以检查每台计算机的信息。但是如果电脑很多，并不是检查每台电脑的方式，所以可以下载一个叫“NBTSCAN”的软件，可以扫描PC的真实IP地址和MAC地址。

2.如果我手头没有这个软件怎么办？此时也可以在客户端运行路由跟踪命令，如：tracert-d www.xitongjiazhi.net立即发现第一个不是网络关机的内网IP，而是该网段另一台机器的IP，下一跳是网关的内网IP；通常情况下，执行路由跟踪后的第一个输出项应该是默认网关地址，因此确定第一跳中非网关IP地址的主机是罪魁祸首。

如何排查内网ARP断网攻击祸首？局域网ARP攻击检测方法

找到访问外部网络的路径

当然，找到IP之后，下一步就是找到这个IP对应的具体机器。如果每台电脑都有编号，使用固定的IP，并且IP设置是常规的，很快就会找到。但如果不是以上情况，IP设置不规则，或者IP是动态获取的，怎么办？还得一个一个查吗？也不是！可以这样做：将一台机器的IP地址设置为与捣乱者的IP地址相同，然后引起IP地址冲突，使被感染的主机报警，找到这台主机。

三、处理病毒主机

1.使用反病毒软件检查并杀死病毒。

2.建议重新安装系统。(当然要注意除了系统盘以外的其他磁盘上是否有病毒)

四、如何防范ARP断网攻击？

1.IP/MAC双向绑定

由于ARP病毒的各种网络特性，可以采用一些技术手段来免疫网络中的ARP病毒欺骗数据包。即使网络中有ARP中毒的计算机，在发送欺骗的ARP数据包时，其他计算机也不会修改自己的ARP缓存表，数据包总是会被发送到正确的网关。一种常用的方式是“双向绑定法”。双向绑定法，顾名思义就是在两端绑定IP-MAC地址，其中一端在路由器中，下面绑定局域网内计算机的IP和MAC地址。

2.作为网络管理员，要充分利用一些工具软件，准备一些常用的工具。就ARP而言，建议手边准备好这样的软件：

(1)飞宇星网关智能绑定向导，一键绑定。

(2)“反ARP嗅探器”(使用反ARP嗅探器可以防止ARP技术发送的包拦截和地址冲突包，并可以找到攻击主机的IP和MAC地址)。

(3)“NBT scan”(NBT scan可以获取PC的真实IP地址和MAC地址，并利用它知道LAN中每个IP对应的MAC地址)

(4)“网络执法官”(一款局域网管理辅助软件，采用网络底层协议，可以穿透每个客户端的防火墙，对网络中每一台配备IP的主机、交换机等网络设备进行监控；利用网卡号(MAC)识别用户，主要功能是根据管理员对每台主机的权限限制，实时监控整个局域网，自动管理非法用户，可以将非法用户与网络中的部分主机或整个网络隔离，无论局域网中的主机运行何种防火墙，都无法逃脱监控，也不会引起防火墙警告，从而提高网络安全性。)

3.定期检查局域网病毒，扫描机器病毒，平时给系统安装补丁。最好确保局域网中的每台计算机都有防病毒软件(可升级)

4.指示网络中的用户不要点击打开QQ、MSN等聊天工具发送的链接信息，不要打开或运行陌生、可疑的文件和程序，如邮件中的陌生附件和插件。

5.建议局域网内每台电脑尽量使用固定IP，路由器不启用DHCP。网络中的每台计算机都要分配一个号码，每个号码对应一个唯一的IP，方便故障查询后管理。并使用“NBTSCAN”软件找出每个IP对应的MAC地址，建立“电脑号-IP地址-MAC地址”一对一的数据库。

其实防御ARP断线攻击最好的办法就是退出局域网，一劳永逸的再拿一根网线，但是有时候我们很少考虑这种情况，所以需要用上面的方法来抓罪魁祸首，做个例子。