还真没想到,我们这公司人的那电脑水平的人还能进行ARP攻击,今天早8:00来上班,8:30分接到别的部门同事电话说他的360老是提示有人攻击他,还给我的截图如下:
开始我还不在意,想到可能是有人在用什么乱七八糟的软件造成的,接到电话还不到5分钟,全公司网络瘫痪,这时我的办公电话都被打爆了,我立刻扫描了一下内网IP,发现233那个IP没有计算机名,我们公司的大部分电脑都是MAC绑定的(在路由做的绑定,下面电脑采用自动获取),但是由于经常有外面的人来公司使用笔记本,所以同时允许DHCP获取的电脑上网。如图:
233那个IP的MAC地址在我的地址库里没有,而且,我发现内网根本无法封掉他的攻击,因为网络内部是无法完全阻断的,而且,我们公司的网络布线比较乱,根本无从检查是哪个交换机下的电脑。我只好先封掉那台电脑的外网,然后,开启了路由的APR防攻击,但这样仍没用,网络依然无法访问。直到9:00那台攻击的电脑关闭了,网络才恢复,我为了找出攻击的电脑,将MAC地址给封了,这样他想上外网就必须跟我联系。呵呵,下午那个人果然出现了,是公司新来的,用自己的笔记本,所以MAC没有记录。不过,他对他的电脑造成全公司的网络瘫痪全然不知,还说他的电脑在家还好好的,怎么在公司就出问题了呢。唉,我知道跟他也讲不明白的,就把他电脑的MAC解封了。
通过这次ARP攻击,我发现内网的ARP攻击基本上是无法防御的,全ARP绑定的话在大部分公司都不现实,但是如果能及时找到攻击源,能知道他在哪台交换机,或者是谁,就可以很好的解决问题。现在先说一下,如何找出攻击源和如何确定内网受到ARP攻击,内网如果装有ARP防火墙,有ARP攻击的话会及时得知,就向本文开头提到的那张图片面,那张图片清晰的显示了攻击电脑的IP、MAC地址及攻击类型,ARP防火墙的话我也不太熟悉,貌似很多,360的产品虽然很多人不喜欢,但我也不排斥,所以,360的ARP防火墙也可以试试,还有就是比较老牌的彩影,不过有免费和收费的。反正,你的电脑装一个ARP防火墙就可以很好的找到攻击源。(ARP防火墙有一定的误报概率的,所以,有时候有报警也不要太紧张。)
找到攻击源后,将他所在的交换机直接关掉然后再找到那台电脑的主人,唉,如果你找不到那台电脑的主人,只好一个端口,一个端口的拔网线了。