如何检查交换机是否受到ARP攻击?
可以通过查看ARP报文的CPCAR统计情况确认设备是否受到攻击。
display cpu-defend arp-request statistics all
display cpu-defend arp-reply statistics all
通过上述命令参看ARP报文的统计信息,如果Drop数值很多,并且持续增长,增长较快,基本可以确认设备受到ARP攻击了。通常情况下,以arp-request报文的攻击居多。
通常情况下,以arp-request报文的攻击居多。
这种情况下,可以适当调整报文的CPCAR值,一般放大到128Kbps即可,还需要整体考虑CPU的利用率情况。CPCAR值放大了,上送CPU的报文就可多了,肯定会增加CPU的负担。
在受到攻击的情况下,关键还是要确认攻击源。可以通过抓包或打开调试开关查看攻击源,然后配置黑名单将攻击源屏蔽。
调试手段:
打开ARP的调试开关,debugging arp packet,一段时间后关闭,如果调试信息太多,可以打开10秒左右关闭,最长30秒即可。
从调试信息或抓包中确认,那个源MAC地址发送的ARP报文过多,该MAC地址是否是正常用户。如果不是,可以配置黑名单将该MAC地址过滤。
如何检测ARP是否被攻击
局域网ARP攻击的检测方法:打开“运行”窗口,输入“CMD”进入MSDOS界面。
在打开的“MSDOS”界面中,输入“arp -a”查看arp列表,其中如果存在多条与网关IP相对应的MAC地址时,表明局域网存在ARP攻击。
此外,我们还可以通过许多软件来检测局域网ARP攻击,例如“聚生网管”软件,直接在百度中搜索来获取下载地址。
运行“聚生网管”软件,在其主界面中点击“安全防御”-“安全检测工具”项进入。
在打开的“安全检测工具”界面中,点击“局域网攻击检测工具 开始检测”按钮。
并在弹出的窗口中点击“开始检测”按钮,并在弹出的窗口中点击“是”按钮,即可自动检测局域网中的攻击源并列表。
对于局域网ARP攻击,有效的防护措施是利用ARP绑定,将网关IP和其Mac地址进行绑定即可。这可以利用“360流量防火墙”来实现。或者利用“聚生网管”跌“安全防御”-》“IP和MAC绑定”项来实现。
ARP攻击如何查看呢
ARP攻击仅仅存在于局域网里 用命令行查看ARP攻击一般是网络管理员来做的: 对一个合格的网管来说,起码网络的拓扑他应该很清楚,还有就是他手头必须有一份表:各个部门计算机的计算机名、IP、MAC。 1.进入命令行模式ARP -A显示所有ARP连接,注意查看网关的MAC,如果和真实的MAC地址不同,那肯定是有病毒了 继续观察所有的连接,如果发现列表中有一台跟本机没有实际联系的机器,那么,这台机器应该就是ARP病毒的传播者。也可以通过网关那个假MAC地址找到源机(源机的MAC就是那个MAC) 2.先用扫描器扫描下整个网段,然后用ARP -A命令,可以看到,有一台机器的MAC地址和网关的MAC地址是一样的,这台机器就是中ARP病毒的机器,再根据平时的统计找到这台机器即可。 3.可以到交换机上看,多个重复的MAC地址说明有ARP欺骗现象 4.nbtstat -a/-A IP这个也不错。
怎么查看局域网内有没有arp攻击
1、用LanSee163将网内的电脑IP MAC 扫描出来,已备排除中招机器。
在能上网时,进入MS-DOS窗口,输入命令:arp –a 查看网关IP对应的正确MAC地址,将其记录下来。
2、如果有瑞星或其他防火墙,可以把静态网关删除,看看能不能拦截到。拦到MAC地址就可以用刚才扫面出来的MAC对比了,找到中招机器。
3、如果中招机已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令: arp –s 网关IP 网关MAC
如果中招机已经不能上网,则在MS-DOS下先运行一次命令arp –d将arp缓存中的网关内容删空,计算机可暂时恢复上网,然后杀之。
4、再累一点的方法(局域网内机器少),看哪一台机器有主页篡改、杀软打不开等情况,来判断机器是否中招。
0条大神的评论