ARP攻击内网的网络现象:
突发性瞬间断线,快速连上,期间上网速度越来越慢,一段时间又瞬间断线。
ARP攻击内网诊断:
1、断线时(ARP攻击木马程序运行时)在内网的PC上执行ARP –a命令,看见网关地址的mac地址信息不是路由器的真实mac地址;
2、内网如果安装sniffer软件的话,可以看到ARP攻击木马程序运行时发出海量的ARP查询信息。
内网被攻击原因:
ARP攻击木马程序运行时,将自己伪装成路由器,所有内网用户上网从由路由器上网转为从中毒电脑上网,切换过程中用户会断一次线。过程用户感觉上网非常慢。当ARP攻击木马程序停止运行时,所有内网用户上网又从由中毒电脑上网转为从路由器上网,切换过程中用户会再断一次线。
在HiPER上的快速诊断:
1、系统状态—系统信息—系统历史纪录内,可以看见大量的mac地址变化信息,且mac地址都变化成进行
ARP攻击那台电脑的mac地址,或者由同一mac地址变回原来的真实mac地址。
MAC Chged 10.128.103.124 */该IP地址的MAC地址发生变化
MAC Old 00:01:6c:36:d1:7f */变化前的MAC地址
MAC New 00:05:5d:60:c7:18 */变化后的MAC地址
2、断线时(ARP攻击木马程序运行时),在系统状态—用户统计中,观察到的所有用户的mac地址一致。
内网ARP攻击解决办法:
1、将感染病毒的PC从内网断开,查杀病毒。
2、在PC和路由器上双向绑定对方的IP和MAC地址。
快速确认内网ARP攻击的方法就为大家介绍完了,希望通过以上的介绍能够帮助到大家。
