『壹』 自己電腦的IP地址被盜怎麼辦
一、開始的工作步驟:
1、首先登記所有機器的網卡物理地址,即網卡的MAC地址。
2、以後如果發現有IP地址被盜用,先使用Ping命令Ping相應的IP地址。
3、然後用Arp -a命令查看當前的Arp解析表,從中獲得對方網卡的MAC地址。
4、檢查網卡MAC地址列表,確定機器位置。
5、但隨著網路蠕蟲病毒的流行和網路攻擊的增多,許多計算機上都安裝了防火牆軟體,從而使得單純的Ping命令失效。如果盜用IP的這台機器安裝了防火牆軟體並且把所有埠都關閉的話,這台機器就彷彿從網路上消失了一樣,無法用正常的方法去訪問到它,從而也就無法知道它的具體位置。
二、解決問題的思路:
用戶使用網路,訪問網路上的資源,就勢必會在網路上傳輸數據。如果能夠監聽到這些數據並對它進行分析的話,就有可能找出特定用戶的位置。
三、解決方案:
經過對各種方法的測試,發現有一種方法可以在機器安裝了防火牆的情況下依然可以探測到它的存在並且查到它的網卡MAC地址,從而確定它的物理位置。
1、首先安裝Sniffer Pro,它是一個網路監測軟體,可以監測到網路上面流動的數據,安裝好後運行該軟體,單擊工具條最左邊的「開始」按鈕,啟動探測功能。
2、此時屏幕上會出現一個窗口,顯示當前發現的機器列表和相應的參數,其中有一項「DLC Station」指的就是機器網卡的MAC地址,找到被盜用的IP地址所對應的網卡MAC地址,就可以順藤摸瓜查到這台機器究竟是哪台了。
3、還有就是可以通過「大師至內網監控軟體」實現對區域網IP地址的管理。只需要勾選「白名單IP變更時自動隔離」項即可。
『貳』 ip地址被盜如何處理
很明顯是中了區域網ARP欺騙,IP地址是不存在被盜的,你的問題應該是你上網的時候彈出你的IP和其它IP有沖突,中了ARP欺騙病毒就是這樣,時間長了就可以讓你們這個區域網癱瘓。解決方法可以上網路去找,在網路里輸入中了ARP欺騙怎麼辦,會有很多解決方法的,。你也可以下個360安全衛士,裡面有個ARP防火牆。你只要把這個ARP防火牆開了,就好了。
下面是網路對ARP的一些解釋,我抄了來,你看一下。
什麼是ARP
ARP(Address Resolution Protocol)是地址解析協議,是一種將IP地址轉化成物理地址的協議。從IP地址到物理地址的映射有兩種方式:表格方式和非表格方式。ARP具體說來就是將網路層(也就是相當於OSI的第三層)地址解析為數據鏈路層(也就是相當於OSI的第二層)的物理地址(注:此處物理地址並不一定指MAC地址)。
ARP原理:某機器A要向主機B發送報文,會查詢本地的ARP緩存表,找到B的IP地址對應的MAC地址後,就會進行數據傳輸。如果未找到,則廣播A一個ARP請求報文(攜帶主機A的IP地址Ia——物理地址Pa),請求IP地址為Ib的主機B回答物理地址Pb。網上所有主機包括B都收到ARP請求,但只有主機B識別自己的IP地址,於是向A主機發回一個ARP響應報文。其中就包含有B的MAC地址,A接收到B的應答後,就會更新本地的ARP緩存。接著使用這個MAC地址發送數據(由網卡附加MAC地址)。因此,本地高速緩存的這個ARP表是本地網路流通的基礎,而且這個緩存是動態的。
ARP協議並不只在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包的時候,就會對本地的ARP緩存進行更新,將應答中的IP和MAC地址存儲在ARP緩存中。因此,當區域網中的某台機器B向A發送一個自己偽造的ARP應答,而如果這個應答是B冒充C偽造來的,即IP地址為C的IP,而MAC地址是偽造的,則當A接收到B偽造的ARP應答後,就會更新本地的ARP緩存,這樣在A看來C的IP地址沒有變,而它的MAC地址已經不是原來那個了。由於區域網的網路流通不是根據IP地址進行,而是按照MAC地址進行傳輸。所以,那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址,這樣就會造成網路不通,導致A不能Ping通C!這就是一個簡單的ARP欺騙。
ARP協議的工作原理
在每台裝有tcp/ip協議的電腦里都有一個ARP緩存表,表裡的ip地址與mac地址是一一對應的,如圖。
arp緩存表
以主機A(192.168.1.5)向主機B(192.168.1.1)發送數據為例。當發送數據時,主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了,也就知道了目標的mac地址,直接吧目標的mac地址寫入幀裡面發送就可以了;如果在ARP緩存表裡面沒有目標的IP地址,主機A就會在網路上發送一個廣播,目標mac地址是「ff-ff-ff-ff-ff-ff」,這表示向同一網段的所有主機發出這樣的詢問:「192.168.1.1的mac地址是什麼呀?」網路上的其他主機並不回應這一詢問,只有主機B接受到這個幀時才向A作出回應:「192.168.1.1的mac地址是00-aa-0-62-c6-09。(如上表)」這樣,主機A就知道了主機B的mac地址,就可以向主機B發送信息了。同時,它還更新了自己的ARP緩存表,下次再向B發送數據時,直接在ARP緩存表找就可以了。ARP緩存表採用老化的機制,在一段時間里表中的某一行沒有使用,就會被刪除,這樣可以大大減少ARP緩存表的長度,加快查詢的速度。
如何查看ARP緩存表
ARP緩存表示可以查看的,也可以添加和修改。在命令提示符下,輸入「arp -a」就可以查看arp緩存表的內容了。
用「arp -d」可以刪除arp緩存表裡的所有內容。
用「arp -s「可以手動在arp表中制定ip地址與mac地址的對應關系。
ARP欺騙的種類
ARP欺騙是黑客常用的攻擊手段之一,ARP欺騙分為二種,一種是對路由器ARP表的欺騙;另一種是對內網PC的網關欺騙。
第一種ARP欺騙的原理是——截獲網關數據。它通知路由器一系列錯誤的內網MAC地址,並按照一定的頻率不斷進行,使真實的地址信息無法通過更新保存在路由器中,結果路由器的所有數據只能發送給錯誤的MAC地址,造成正常PC無法收到信息。第二種ARP欺騙的原理是——偽造網關。它的原理是建立假網關,讓被它欺騙的PC向假網關發數據,而不是通過正常的路由器途徑上網。在PC看來,就是上不了網了,「網路掉線了」。
一般來說,ARP欺騙攻擊的後果非常嚴重,大多數情況下會造成大面積掉線。有些網管員對此不甚了解,出現故障時,認為PC沒有問題,交換機沒掉線的「本事」,電信也不承認寬頻故障。而且如果第一種ARP欺騙發生時,只要重啟路由器,網路就能全面恢復,那問題一定是在路由器了。為此,寬頻路由器背了不少「黑鍋」。
arp欺騙-網路執法官的原理
在網路執法官中,要想限制某台機器上網,只要點擊"網卡"菜單中的"許可權",選擇指定的網卡號或在用戶列表中點擊該網卡所在行,從右鍵菜單中選擇"許可權",在彈出的對話框中即可限制該用戶的許可權。對於未登記網卡,可以這樣限定其上線:只要設定好所有已知用戶(登記)後,將網卡的默認許可權改為禁止上線即可阻止所有未知的網卡上線。使用這兩個功能就可限制用戶上網。其原理是通過ARP欺騙發給被攻擊的電腦一個假的網關IP地址對應的MAC,使其找不到網關真正的MAC地址,這樣就可以禁止其上網。
修改MAC地址突破網路執法官的封鎖
根據上面的分析,我們不難得出結論:只要修改MAC地址,就可以騙過網路執法官的掃描,從而達到突破封鎖的目的。下面是修改網卡MAC地址的方法:
在"開始"菜單的"運行"中輸入regedit,打開注冊表編輯器,展開注冊表到:HKEY_LOCAL_ MACHINE/System/CurrentControl Set/Control/Class/子鍵,在子鍵下的0000,0001,0002等分支中查找DriverDesc(如果你有一塊以上的網卡,就有0001,0002......在這里保存了有關你的網卡的信息,其中的DriverDesc內容就是網卡的信息描述,比如我的網卡是Intel 21041 based Ethernet Controller),在這里假設你的網卡在0000子鍵。
在0000子鍵下添加一個字元串,命名為"NetworkAddress",鍵值為修改後的MAC地址,要求為連續的12個16進制數。然後在"0000"子鍵下的NDI/params中新建一項名為NetworkAddress的子鍵,在該子鍵下添加名為"default"的字元串,鍵值為修改後的MAC地址。
在NetworkAddress的子鍵下繼續建立名為"ParamDesc"的字元串,其作用為指定Network Address的描述,其值可為"MAC Address"。這樣以後打開網路鄰居的"屬性",雙擊相應的網卡就會發現有一個"高級"設置,其下存在MAC Address的選項,它就是你在注冊表中加入的新項"NetworkAddress",以後只要在此修改MAC地址就可以了。
關閉注冊表,重新啟動,你的網卡地址已改。打開網路鄰居的屬性,雙擊相應網卡項會發現有一個MAC Address的高級設置項,用於直接修改MAC地址。
MAC地址也叫物理地址、硬體地址或鏈路地址,由網路設備製造商生產時寫在硬體內部。這個地址與網路無關,即無論將帶有這個地址的硬體(如網卡、集線器、路由器等)接入到網路的何處,它都有相同的MAC地址,MAC地址一般不可改變,不能由用戶自己設定。MAC地址通常表示為12個16進制數,每2個16進制數之間用冒號隔開,如:08:00:20:0A:8C:6D就是一個MAC地址,其中前6位16進制數,08:00:20代表網路硬體製造商的編號,它由IEEE分配,而後3位16進制數0A:8C:6D代表該製造商所製造的某個網路產品(如網卡)的系列號。每個網路製造商必須確保它所製造的每個乙太網設備都具有相同的前三位元組以及不同的後三個位元組。這樣就可保證世界上每個乙太網設備都具有唯一的MAC地址。
另外,網路執法官的原理是通過ARP欺騙發給某台電腦有關假的網關IP地址所對應的MAC地址,使其找不到網關真正的MAC地址。因此,只要我們修改IP到MAC的映射就可使網路執法官的ARP欺騙失效,就隔開突破它的限制。你可以事先Ping一下網關,然後再用ARP -a命令得到網關的MAC地址,最後用ARP -s IP 網卡MAC地址命令把網關的IP地址和它的MAC地址映射起來就可以了。
找到使你無法上網的對方
解除了網路執法官的封鎖後,我們可以利用Arpkiller的"Sniffer殺手"掃描整個區域網IP段,然後查找處在"混雜"模式下的計算機,就可以發現對方了。具體方法是:運行Arpkiller(圖2),然後點擊"Sniffer監測工具",在出現的"Sniffer殺手"窗口中輸入檢測的起始和終止IP(圖3),單擊"開始檢測"就可以了。
檢測完成後,如果相應的IP是綠帽子圖標,說明這個IP處於正常模式,如果是紅帽子則說明該網卡處於混雜模式。它就是我們的目標,就是這個傢伙在用網路執法官在搗亂。
區域網ARP欺騙的應對
一、故障現象及原因分析
情況一、當區域網內某台主機感染了ARP病毒時,會向本區域網內(指某一網段,比如:10.10.75.0這一段)所有主機發送ARP欺騙攻擊謊稱自己是這個網端的網關設備,讓原本流向網關的流量改道流向病毒主機,造成受害者正常上網。
情況二、區域網內有某些用戶使用了ARP欺騙程序(如:網路執法官,QQ盜號軟體等)發送ARP欺騙數據包,致使被攻擊的電腦出現突然不能上網,過一段時間又能上網,反復掉線的現象。
關於APR欺騙的具體原理請看我收集的資料ARP欺騙的原理
二、故障診斷
如果用戶發現以上疑似情況,可以通過如下操作進行診斷:
點擊「開始」按鈕->選擇「運行」->輸入「arp–d」->點擊「確定」按鈕,然後重新嘗試上網,如果能恢復正常,則說明此次掉線可能是受ARP欺騙所致。
註:arp-d命令用於清除並重建本機arp表。arp–d命令並不能抵禦ARP欺騙,執行後仍有可能再次遭受ARP攻擊。
三、故障處理
1、中毒者:建議使用趨勢科技SysClean工具或其他殺毒軟體清除病毒。
2、被害者:(1)綁定網關mac地址。具體方法如下:
1)首先,獲得路由器的內網的MAC地址(例如網關地址10.10.75.254的MAC地址為0022aa0022aa)。2)編寫一個批處理文件AntiArp.bat內容如下: @echooffarp-darp-s10.10.75.25400-22-aa-00-22-aa
將文件中的網關IP地址和MAC地址更改為您自己的網關IP地址和MAC地址即可,計算機重新啟動後需要重新進行綁定,因此我們可以將該批處理文件AntiArp.bat文件拖到「windows--開始--程序--啟動」中。這樣開機時這個批處理就被執行了。
(2)使用ARP防火牆(例如AntiArp)軟體抵禦ARP攻擊。
AntiArp軟體會在提示框內出現病毒主機的MAC地址
四,找出ARP病毒源
第一招:使用Sniffer抓包
在網路內任意一台主機上運行抓包軟體,捕獲所有到達本機的數據包。如果發現有某個IP不斷發送
ARP Request請求包,那麼這台電腦一般就是病毒源。原理:無論何種ARP病毒變種,行為方式有兩種,一是欺騙網關,二是欺騙網內的所有主機。最終的結果是,在網關的ARP緩存表中,網內所有活動主機的MAC地址均為中毒主機的MAC地址;網內所有主機的ARP緩存表中,網關的MAC地址也成為中毒主機的MAC地址。前者保證了從網關到網內主機的數據包被發到中毒主機,後者相反,使得主機發往網關的數據包均發送到中毒主機。
第二招:使用arp-a命令任意選兩台不能上網的主機,在DOS命令窗口下運行arp-a命令。例如在結果中,兩台電腦除了網關的IP,MAC地址對應項,都包含了192.168.0.186的這個IP,則可以斷定192.168.0.186這台主機就是病毒源。原理:一般情況下,網內的主機只和網關通信。正常情況下,一台主機的ARP緩存中應該只有網關的MAC地址。如果有其他主機的MAC地址,說明本地主機和這台主機最後有過數據通信發生。如果某台主機(例如上面的192.168.0.186)既不是網關也不是伺服器,但和網內的其他主機都有通信活動,且此時又是ARP病毒發作時期,那麼,病毒源也就是它了。
第三招:使用tracert命令在任意一台受影響的主機上,在DOS命令窗口下運行如下命令:tracert61.135.179.148。假定設置的預設網關為10.8.6.1,在跟蹤一個外網地址時,第一跳卻是10.8.6.186,那麼,10.8.6.186就是病毒源。原理:中毒主機在受影響主機和網關之間,扮演了「中間人」的角色。所有本應該到達網關的數據包,由於錯誤的MAC地址,均被發到了中毒主機。此時,中毒主機越俎代庖,起了預設網關的作用。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~·
(ARP欺騙的更容易理解的解析)
最近在論壇上經常看到關於ARP病毒的問題,於是在Google上搜索ARP關鍵字,結果出來很多關於這類問題的討論。我的求知慾很強,想再學習ARP下相關知識,所以對目前網路中常見的ARP問題進行了一個總結。
1. ARP概念
咱們談ARP之前,還是先要知道ARP的概念和工作原理,理解了原理知識,才能更好去面對和分析處理問題。
1.1 ARP概念知識
ARP,全稱Address Resolution Protocol,中文名為地址解析協議,它工作在數據鏈路層,在本層和硬體介面聯系,同時對上層提供服務。
IP數據包常通過乙太網發送,乙太網設備並不識別32位IP地址,它們是以48位乙太網地址傳輸乙太網數據包。因此,必須把IP目的地址轉換成乙太網目的地址。在乙太網中,一個主機要和另一個主機進行直接通信,必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢?它就是通過地址解析協議獲得的。ARP協議用於將網路中的IP地址解析為的硬體地址(MAC地址),以保證通信的順利進行。
1.2 ARP工作原理
首先,每台主機都會在自己的ARP緩沖區中建立一個 ARP列表,以表示IP地址和MAC地址的對應關系。當源主機需要將一個數據包要發送到目的主機時,會首先檢查自己 ARP列表中是否存在該 IP地址對應的MAC地址,如果有,就直接將數據包發送到這個MAC地址;如果沒有,就向本地網段發起一個ARP請求的廣播包,查詢此目的主機對應的MAC地址。此ARP請求數據包里包括源主機的IP地址、硬體地址、以及目的主機的IP地址。網路中所有的主機收到這個ARP請求後,會檢查數據包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此數據包;如果相同,該主機首先將發送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已經存在該IP的信息,則將其覆蓋,然後給源主機發送一個 ARP響應數據包,告訴對方自己是它需要查找的MAC地址;源主機收到這個ARP響應數據包後,將得到的目的主機的IP地址和MAC地址添加到自己的ARP列表中,並利用此信息開始數據的傳輸。如果源主機一直沒有收到ARP響應數據包,表示ARP查詢失敗。
例如:
A的地址為:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA
B的地址為:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB
根據上面的所講的原理,我們簡單說明這個過程:A要和B通訊,A就需要知道B的乙太網地址,於是A發送一個ARP請求廣播(誰是192.168.10.2 ,請告訴192.168.10.1),當B收到該廣播,就檢查自己,結果發現和自己的一致,然後就向A發送一個ARP單播應答(192.168.10.2 在BB-BB-BB-BB-BB-BB)。
1.3 ARP通訊模式
通訊模式(Pattern Analysis):在網路分析中,通訊模式的分析是很重要的,不同的協議和不同的應用都會有不同的通訊模式。更有些時候,相同的協議在不同的企業應用中也會出現不同的通訊模式。ARP在正常情況下的通訊模式應該是:請求 -> 應答 -> 請求 -> 應答,也就是應該一問一答。
2. 常見ARP攻擊類型
個人認為常見的ARP攻擊為兩種類型:ARP掃描和ARP欺騙。
2.1 ARP掃描(ARP請求風暴)
通訊模式(可能):
請求 -> 請求 -> 請求 -> 請求 -> 請求 -> 請求 -> 應答 -> 請求 -> 請求 -> 請求...
描述:
網路中出現大量ARP請求廣播包,幾乎都是對網段內的所有主機進行掃描。大量的ARP請求廣播可能會佔用網路帶寬資源;ARP掃描一般為ARP攻擊的前奏。
出現原因(可能):
*病毒程序,偵聽程序,掃描程序。
*如果網路分析軟體部署正確,可能是我們只鏡像了交換機上的部分埠,所以大量ARP請求是來自與非鏡像口連接的其它主機發出的。
*如果部署不正確,這些ARP請求廣播包是來自和交換機相連的其它主機。
2.2 ARP欺騙
ARP協議並不只在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包的時候,就會對本地的ARP緩存進行更新,將應答中的IP和MAC地址存儲在ARP緩存中。所以在網路中,有人發送一個自己偽造的ARP應答,網路可能就會出現問題。這可能就是協議設計者當初沒考慮到的!
2.2.1 欺騙原理
假設一個網路環境中,網內有三台主機,分別為主機A、B、C。主機詳細信息如下描述:
A的地址為:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA
B的地址為:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB
C的地址為:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC
正常情況下A和C之間進行通訊,但是此時B向A發送一個自己偽造的ARP應答,而這個應答中的數據為發送方IP地址是192.168.10.3(C的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(C的MAC地址本來應該是CC-CC-CC-CC-CC-CC,這里被偽造了)。當A接收到B偽造的ARP應答,就會更新本地的ARP緩存(A被欺騙了),這時B就偽裝成C了。同時,B同樣向C發送一個ARP應答,應答包中發送方IP地址四192.168.10.1(A的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(A的MAC地址本來應該是AA-AA-AA-AA-AA-AA),當C收到B偽造的ARP應答,也會更新本地ARP緩存(C也被欺騙了),這時B就偽裝成了A。這樣主機A和C都被主機B欺騙,A和C之間通訊的數據都經過了B。主機B完全可以知道他們之間說的什麼:)。這就是典型的ARP欺騙過程。
注意:一般情況下,ARP欺騙的某一方應該是網關。
2.2.2 兩種情況
ARP欺騙存在兩種情況:一種是欺騙主機作為「中間人」,被欺騙主機的數據都經過它中轉一次,這樣欺騙主機可以竊取到被它欺騙的主機之間的通訊數據;另一種讓被欺騙主機直接斷網。
第一種:竊取數據(嗅探)
通訊模式:
應答 -> 應答 -> 應答 -> 應答 -> 應答 -> 請求 -> 應答 -> 應答 ->請求->應答...
描述:
這種情況就屬於我們上面所說的典型的ARP欺騙,欺騙主機向被欺騙主機發送大量偽造的ARP應答包進行欺騙,當通訊雙方被欺騙成功後,自己作為了一個「中間人「的身份。此時被欺騙的主機雙方還能正常通訊,只不過在通訊過程中被欺騙者「竊聽」了。
出現原因(可能):
*木馬病毒
*嗅探
*人為欺騙
第二種:導致斷網
通訊模式:
應答 -> 應答 -> 應答 -> 應答 -> 應答 -> 應答 -> 請求…
描述:
這類情況就是在ARP欺騙過程中,欺騙者只欺騙了其中一方,如B欺騙了A,但是同時B沒有對C進行欺騙,這樣A實質上是在和B通訊,所以A就不能和C通訊了,另外一種情況還可能就是欺騙者偽造一個不存在地址進行欺騙。
對於偽造地址進行的欺騙,在排查上比較有難度,這里最好是借用TAP設備(這個東東好像有點貴勒),分別捕獲單向數據流進行分析!
出現原因(可能):
* 木馬病毒
*人為破壞
*一些網管軟體的控制功能
3. 常用的防護方法
搜索網上,目前對於ARP攻擊防護問題出現最多是綁定IP和MAC和使用ARP防護軟體,也出現了具有ARP防護功能的路由器。呵呵,我們來了解下這三種方法。
3.1 靜態綁定
最常用的方法就是做IP和MAC靜態綁定,在網內把主機和網關都做IP和MAC綁定。
欺騙是通過ARP的動態實時的規則欺騙內網機器,所以我們把ARP全部設置為靜態可以解決對內網PC的欺騙,同時在網關也要進行IP和MAC的靜態綁定,這樣雙向綁定才比較保險。
方法:
對每台主機進行IP和MAC地址靜態綁定。
通過命令,arp -s可以實現 「arp –s IP MAC地址 」。
例如:「arp –s 192.168.10.1 AA-AA-AA-AA-AA-AA」。
如果設置成功會在PC上面通過執行 arp -a 可以看到相關的提示:
Internet Address Physical Address Type
192.168.10.1 AA-AA-AA-AA-AA-AA static(靜態)
一般不綁定,在動態的情況下:
Internet Address Physical Address Type
192.168.10.1 AA-AA-AA-AA-AA-AA dynamic(動態)
說明:對於網路中有很多主機,500台,1000台...,如果我們這樣每一台都去做靜態綁定,工作量是非常大的。。。。,這種靜態綁定,在電腦每次重起後,都必須重新在綁定,雖然也可以做一個批處理文件,但是還是比較麻煩的!
3.2 使用ARP防護軟體
目前關於ARP類的防護軟體出的比較多了,大家使用比較常用的ARP工具主要是欣向ARP工具,Antiarp等。它們除了本身來檢測出ARP攻擊外,防護的工作原理是一定頻率向網路廣播正確的ARP信息。我們還是來簡單說下這兩個小工具。
3.2.1 欣向ARP工具
我使用了該工具,它有5個功能:
?
A. IP/MAC清單
選擇網卡。如果是單網卡不需要設置。如果是多網卡需要設置連接內網的那塊網卡。
IP/MAC掃描。這里會掃描目前網路中所有的機器的IP與MAC地址。請在內網運行正常時掃描,因為這個表格將作為對之後ARP的參照。
之後的功能都需要這個表格的支持,如果出現提示無法獲取IP或MAC時,就說明這里的表格裡面沒有相應的數據。
?
B. ARP欺騙檢測
這個功能會一直檢測內網是否有PC冒充表格內的IP。你可以把主要的IP設到檢測表格裡面,例如,路由器,電影伺服器,等需要內網機器訪問的機器IP。
(補充)「ARP欺騙記錄」表如何理解:
「Time」:發現問題時的時間;
「sender」:發送欺騙信息的IP或MAC;
「Repeat」:欺詐信息發送的次數;
「ARP info」:是指發送欺騙信息的具體內容.如下面例子:
time sender Repeat ARP info 22:22:22 192.168.1.22 1433 192.168.1.1 is at 00:0e:03:22:02:e8
這條信息的意思是:在22:22:22的時間,檢測到由192.168.1.22發出的欺騙信息,已經發送了1433次,他發送的欺騙信息的內容是:192.168.1.1的MAC地址是00:0e:03:22:02:e8。
打開檢測功能,如果出現針對表內IP的欺騙,會出現提示。可以按照提示查到內網的ARP欺騙的根源。提示一句,任何機器都可以冒充其他機器發送IP與MAC,所以即使提示出某個IP或MAC在發送欺騙信息,也未必是100%的准確。所有請不要以暴力解決某些問題。
?
C. 主動維護
這個功能可以直接解決ARP欺騙的掉線問題,但是並不是理想方法。他的原理就在網路內不停的廣播制定的IP的正確的MAC地址。
「制定維護對象」的表格裡面就是設置需要保護的IP。發包頻率就是每秒發送多少個正確的包給網路內所有機器。強烈建議盡量少的廣播IP,盡量少的廣播頻率。一般設置1次就可以,如果沒有綁定IP的情況下,出現ARP欺騙,可以設置到50-100次,如果還有掉線可以設置更高,即可以實現快速解決ARP欺騙的問題。但是想真正解決ARP問題,還是請參照上面綁定方法。
?
D. 欣向路由器日誌
收集欣向路由器的系統日誌,等功能。
?
E. 抓包
類似於網路分析軟體的抓包,保存格式是.cap。
3.2.1 Antiarp
這個軟體界面比較簡單,以下為我收集該軟體的使用方法。
A. 填入網關IP地址,點擊〔獲取網關地址〕將會顯示出網關的MAC地址。點擊[自動防護]即可保護當前網卡與該網關的通信不會被第三方監聽。注意:如出現ARP欺騙提示,這說明攻擊者發送了ARP欺騙數據包來獲取網卡的數據包,如果您想追蹤攻擊來源請記住攻擊者的MAC地址,利用MAC地址掃描器可以找出IP 對應的MAC地址。
B. IP地址沖突
如頻繁的出現IP地址沖突,這說明攻擊者頻繁發送ARP欺騙數據包,才會出現IP沖突的警告,利用Anti ARP Sniffer可以防止此類攻擊。
『叄』 家庭ip地址與網路上的其他系統有沖突是被盜了嗎
與被盜無關,無非是連接在家裡的網路上的設備有使用和當前電腦一樣的IP,從而造成IP地址沖突。只要將當前的電腦的IP改成未使用的IP地址即可解決這個問題。
『肆』 如果別人知道自己電腦的ip地址有什麼危害
一般普通人即便知道某 IP,也是不會有什麼行為的。但一些別有用心的人,可能會利用它,進入該 IP地址的電腦干壞事。
1、只要上網,大多數人的IP,均可輕易使用用工具查看;
2、大可不必擔心這個問題。因那些別有用心人的目標,並不是普通電腦個人用戶,而是企業、商戶、土豪、公司等電腦中有錢的,或有利可途的大財閥們。個人電腦頂多做為「肉雞」工具,受其控制去攻擊目標;
3、利用IP進入電腦,需要入侵、破解、獲取許可權等,才能控制一台電腦,進行盜號、盜卡。這是普通人可聞不可及的事情,而黑客想搞誰,除非不上網,不然是跑不掉了;
4、普通用戶,只能利用安全軟體加固系統,打全系統漏洞補丁,少去不安全網站溜達,才能減少被入侵的可能性。網路安全是全世界永遠的話題。
『伍』 電腦測網速時候,那個lp地址泄露出去會有什麼危險嗎
如何你使用的是全國分配的動態地址,那麼不必擔心,這個除非互聯網高手才有可能破解,但這個是擔風險的,除非你有什麼機密文件存在電腦里,不然沒有什麼利益驅動人家黑你電腦。
但是,如果不是動態的分配地址,那麼一些稍懂ipv4協議的人就能通過ip破解你的具體地址,有些網站甚至可以直接通過ip地址查到你家的精確位置,還可以hack你的電腦等等,所以從這方面來講,網路安全還是非常重要的,要注意。
『陸』 電腦ip地址泄露了會造成什麼後果嗎
不會,撥號上網的IP是動態變化的, 別人知道你的IP也攻擊不到你的.網路安全主要是安裝好防火牆。
IP是英文Internet Protocol的縮寫,意思是「網路之間互連的協議」,也就是為計算機網路相互連接進行通信而設計的協議。在網際網路中,它是能使連接到網上的所有計算機網路實現相互通信的一套規則,規定了計算機在網際網路上進行通信時應當遵守的規則。任何廠家生產的計算機系統,只要遵守IP協議就可以與網際網路互連互通。正是因為有了IP協議,網際網路才得以迅速發展成為世界上最大的、開放的計算機通信網路。因此,IP協議也可以叫做「網際網路協議」。
『柒』 單位區域網,遭遇被人盜用MAC和IP地址,怎麼辦盜用者能正常上網嗎
兩個相同的MAC,同時只能有一個能上網,像這樣直接修改IP和MAC的方法,目前不能防禦,只能找到對方,讓其收斂!
如果是思科的交換機,可以在交換機埠綁定MAC,如果對方更改MAC,交換機直接不響應,比路由綁定要安全的多,或者區域網改成PPOE撥號,每個人有自己的上網密碼賬號!
『捌』 怎樣查IP是不是被盜用!被盜用了會怎樣資料會泄漏我對電腦1竅不通有知道的 麻煩詳細說1下謝謝了
IP被盜用?如果在同1個區域網里,你的電腦IP跟其它電腦重復的話,系統會報網路有重名。。如果是寬頻,,它的IP大多都是動態IP....IP基本沒法盜用。。除非現場使用。。不過到可以通過你的IP,用些黑客手法通過網路進入你的電腦,操作你的電腦就是。。你的資料可以被盜用。。所以,及時打補釘。定期升級防、查殺病毒軟體很有必要。。如果你的電腦里有很重要的資料的話。。
『玖』 自己家電腦的ip地址被網站記錄會有什麼後果
你好!你的提問,我的回答就是你不要過份擔心了,不會出現這種情況的。
在網站上注冊信息,網站上顯示的IP是動態的,你家裡設置的是IP是靜態的,是固定的區域網IP。在網站上記錄的IP地址確定可以找到地址,像以前的珊瑚蟲不就是在聊天的時候找到了對方的IP地址了嗎,還顯示了准確的位置,那又如何呢,還不是照樣聊嗎。
以現在電腦的技術,只要你安裝了防火牆,殺毒軟體一般而言都是可以阻止掉的,系統補丁要及時更新,防火牆殺毒軟體都要更新掉,這樣確保你的電腦萬無一失是不是啊。
既然你沒有做這些,但現在系統本身也是有一定的防禦能力的,不是說隨便就可以讓人進來的!
如果你沒有做什麼違法的事,是沒有人來查你的IP的,再則如果有人入侵你電腦,跟你說什麼事你就不要理會,直接報警就行了,現在法律上有這樣規定的,如果你在網路上遇到該事可以向警方報警,讓警方來處理吧。
放心吧,想入侵你的電腦,破壞你的數據,然後對你不利,那你可以拿起法律的武器來保護自己。當然一般情況下是不會的,因為你也是一個常人嗎,對嗎。攻擊你電腦沒用,反正會使他們冒過大的風險。
希望鐵回答能讓你消除疑慮。
『拾』 IP被盜 網速就會變慢嗎黑客是在用我的帳號上網
你電腦的IP和windows有沖突是正常的,你只要右擊網上鄰居,點屬性.然後對你的本地連接右擊點屬性.然後你會看見一個INTERNET的一個協議(TCP/IP).你雙擊.然後在裡面輸入一個IP地址.然後點確定,然後電腦的IP就不會沖突了!IP地址隨便你輸!不知道的人我就隨便舉個例子吧
IP:192.168.1.2
子網掩碼:255.255.255.0
默認網關:192.168.1.1
然後點確定.全部OK搞定