如何快速確認內網ARP攻擊的方法

ARP攻擊內網的網絡現象：

突發性瞬間斷線，快速連上，期間上網速度越來越慢，一段時間又瞬間斷線。

ARP攻擊內網診斷：

1、斷線時（ARP攻擊木馬程序運行時）在內網的PC上執行ARP –a命令，看見網關地址的mac地址信息不是路由器的真實mac地址；

2、內網如果安裝sniffer軟件的話，可以看到ARP攻擊木馬程序運行時發出海量的ARP查詢信息。

內網被攻擊原因：

ARP攻擊木馬程序（傳奇盜號木馬）運行時，將自己偽裝成路由器，所有內網用戶上網從由路由器上網轉為從中毒電腦上網，切換過程中用戶會斷一次線。過程用戶感覺上網非常慢。當ARP攻擊木馬程序停止運行時，所有內網用戶上網又從由中毒電腦上網轉為從路由器上網，切換過程中用戶會再斷一次線。

在HiPER上的快速診斷：

1、系統狀態—系統信息—系統歷史紀錄內，可以看見大量的mac地址變化信息，且mac地址都變化成進行

ARP攻擊那臺電腦的mac地址，或者由同一mac地址變回原來的真實mac地址。

MAC Chged 10.128.103.124     */該IP地址的MAC地址發生變化

MAC Old 00:01:6c:36:d1:7f    */變化前的MAC地址

MAC New 00:05:5d:60:c7:18    */變化后的MAC地址

2、斷線時（ARP攻擊木馬程序運行時），在系統狀態—用戶統計中，觀察到的所有用戶的mac地址一致。

內網ARP攻擊解決辦法：

1、將感染病毒的PC從內網斷開，查殺病毒。

2、在PC和路由器上雙向綁定對方的IP和MAC地址。

快速確認內網ARP攻擊的方法就為大家介紹完了，希望通過以上的介紹能夠幫助到大家。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]