局域网ARP欺骗防护和ARP病毒的清除
时间:2014-07-02 22:42 来源:linux.it.net.cn 作者:IT网
何为MAC地址
网卡在使用中有两类地址,一类是大家都熟悉的IP地址,另一类就是MAC地址,即网卡的物理地址,也称硬件地址或链路地址,这是网卡自身的惟一标识,一般不能随意改变。它与网络无关,无论把这个网卡接入到网络的什么地方,MAC地址都是不变的。其长度为48位二进制数,由12个00 ~0FFH的16进制数组成,每个16进制数之间用“-”隔开,如“00-10-5C-AD-72-E3”。
如何查找MAC地址
在win9x系统中,点击“开始-程序-MS-DOS”或者在开始-运行中输入“winipcfg”
在win2k/xp系统中,点击开始-运行中输入“cmd”进入MS-DOS,
然后输入ipconfig /all,回车之后出现如下的对话框。
这里我们只看本地连接的信息,其中的“Physical Address”即是所查的MAC地址。“IP address”既是所查的IP地址。
如何捆绑MAC地址和IP地址
进入“MS-DOS”,在命令提示符下输入命令:ARP - s<空格>IP地址<空格>MAC地址,即可把MAC地址和IP地址捆绑在一起。
这里以我的机器为例,在本地连接下面查看MAC和IP地址,然后输入命令:
ARP -s 192.254.253.108 00-EO-4C-4E-4B-8F
这样我们就将192.254.253.108与网卡地址为00-EO-4C-4E-4B-8F的计算机绑定在一起,可以有效的保护局域网的安全,防止局域网ARP欺骗。
注意:ARP命令仅对局域网的上网代理服务器有用,而且是针对静态IP地址,如果采用Modem拨号上网或是动态IP地址就不起作用。ARP命令的各参数的功能如下:
ARP -s -d -a
-s:将相应的IP地址与物理地址的捆绑,如本文中的例子。
-d:删除相应的IP地址与物理地址的捆绑。
-a:通过查询ARP协议表显示IP地址和对应物理地址情况。
上面利用MAC和IP地址绑定的方法是针对ARP欺骗的防护,对于局域网已经感染病毒,已经发现ARP攻击的建议先对几台受到攻击的机器安装ARP防火墙,安装之后在统计数据里面ARP应该有拦截外部ARP攻击的提示,以及具体发起攻击的机器IP,这样在病毒机器上安装ARP防火墙,按照下面的操作就可以清楚这个攻击局域网的病毒了。
查杀ARP病毒的使用方法
1. ARP拦截到本机外对的ARP攻击时,点击进入显示详细数据的页面,如下图所示:
PID即发送攻击数据的进程的ID号,双击此数据即可查看进程的详细信息。或者选中数据后点右键,选择“查看进程详细信息”
2. 显示的进程信息如下所示:
3.现在就选择清除动作,终止进程、删除文件等即可。
(责任编辑:IT)
何为MAC地址
|