ARP攻击的IP源头怎么查找?
在局域网环境中上网的朋友会经常碰到无故断线的情况,并且检查电脑也检查不出什么原因。其实出现这种情况,大部分情况下都是局域网中的某一台电脑感染了ARP类型的病毒所至。感染病毒,电脑一一杀毒,电脑过多的情况下显然很费时费力。现在就告诉你这三招两式,快速找出局域网中的“毒瘤”。
小提示: ARP:Address Resolution Protocol的缩写,即地址解析协议。ARP负责将电脑的IP地址转换为对应的物理地址,即网卡的MAC地址。当发生ARP欺骗时,相关主机会收到错误的数据,从而造成断网的情况发生。
一、查看防火墙日志
局域网中有电脑感染ARP类型病毒后,一般从防火墙的日志中可以初步判断出感染病毒的主机。
感染病毒的机器的典型特征便是会不断的发出大量数据包,如果在日志中能看到来自同一IP的大量数据包,多半情况下是这台机器感染病毒了。
这里以Nokia IP40防火墙为例,进入防火墙管理界面后,查看日志项,在“Event Log”标签下可以明显看到内网中有一台机器不断的有数据包被防火墙拦截,并且间隔的时间都很短。目标地址为公司WEB服务器的外网IP地址,设置过滤策略时对WEB服务器特意加强保护,所以可以看到这些项目全部是红色标示出来的(图1)。
图1
到WEB服务器的数据包被拦截了,那些没有拦截的数据包呢?自然是到达了目的地,而“目的”主机自然会不间断的掉线了。
由于内网采用的DHCP服务器的 *** ,所以只知道IP地址还没有用,必须知道对应的MAC地址,才能查到病毒源。我们可以利用N *** SCAN来查找IP所对应的MAC地址。如果是知道MAC地址,同样可以使用NBBSCAN来得到IP地址(图2)。
图2
由此可见,防火墙日志,有些时候还是可以帮上点忙的。
小提示:如果没有专业的防火墙,那么直接在一台客户机上安装天网防火墙之类的软件产品,同样能够看到类似的提醒。
二、利用现有工具
如果觉得上面的 *** 有点麻烦,且效率低下的话,那么使用专业的ARP检测工具是最容易不过的事了。这里就请出简单易用,但功能一点也不含糊的ARP 防火墙。
ARP防火墙可以快速的找出局域网中ARP攻击源,并且保护本机与网关之间的通信,保护本机的 *** 连接,避免因ARP攻击而造成掉线的情况发生。
软件运行后会自动检测网关IP及MAC地址并自动保护电脑。如果软件自动获取的地址有错误,可单击“停止保护”按钮,填入正确的IP地址后,单击“枚取MAC”按钮,成功获取MAC地址后,单击“自动保护”按钮开始保护电脑。
当本机接收到ARP欺骗数据包时,软件便会弹出气泡提示,并且指出机器的MAC地址(图3)。
图3
单击“停止保护”按钮,选中“欺骗数据详细记录”中的条目,再单击“追捕攻击者”按钮,在弹出的对话框中单击确定按钮。
软件便开始追捕攻击源,稍等之后,软件会提示追捕到的攻击者的IP地址(图4)。
图4
其实大多数时候,不用手工追捕,软件会自动捕获到攻击源的MAC地址及IP地址。
还等什么?找到那颗“毒瘤”,将其断网,杀毒。局域网总算清静了!
三、有效防守
俗话说,进攻才是更好的防守。虽然通过上面的 *** 可以找到病毒源,并最终解决问题,不过长期有人打 *** 抱怨“又断线了……”。总是这样擦 *** ,似乎不是长久之际,因此有效保护每一台机器不被ARP欺骗攻击才是上策。
比较有效的 *** 之一便是在每一台机器上安装ARP防火墙,设置开机自启动,并且在“拦截本机发送的攻击包”项打勾(图5),这样不仅可以保护不受攻击,还可以防止本机已感染病毒的情况下,发送欺骗数据攻击别的机器的情况发生。
三、有效防守
俗话说,进攻才是更好的防守。虽然通过上面的 *** 可以找到病毒源,并最终解决问题,不过长期有人打 *** 抱怨“又断线了……”。总是这样擦 *** ,似乎不是长久之际,因此有效保护每一台机器不被ARP欺骗攻击才是上策。
比较有效的 *** 之一便是在每一台机器上安装ARP防火墙,设置开机自启动,并且在“拦截本机发送的攻击包”项打勾(图5),这样不仅可以保护不受攻击,还可以防止本机已感染病毒的情况下,发送欺骗数据攻击别的机器的情况发生。
图6
使用这种 *** 绑定的弱点便是,机器重新启动之后,绑定便会失效,需要重新绑定。因此可将上面的命令行做成一个批处理文件,并将快捷方式拖放到开始菜单的“启动”项目中,这样就可以实现每次开机自动绑定了。
所谓“道高一尺,魔高一丈”,技术总是在不断更新,病毒也在不断的发展。使用可防御ARP攻击的三层交换机,绑定端口MAC-IP,合理划分VLAN,彻底阻止盗用IP、MAC地址,杜绝ARP的攻击,才是更佳的防范策略。对于经常爆发病毒的 *** ,可以进行Internet访问控制,限制用户对 *** 的访问。因为大部分ARP攻击程序 *** 下载到客户端,如果能够加强用户上网的访问控制,就能很好的阻止这类问题的发生。
网站被ddos攻击之后,怎么查ddos攻击源
怎么查ddos攻击源,一旦网站出现攻击之时,能够随时根据ddos攻击相关信息以及相关路径,发动进攻位置,ddos攻击源主要是针对定位要求,不能准确的定位,因为不少攻击源地址都是随机出现的,根据ddos攻击机构,寻找攻击的难度还是挺大的,分辨好位置之后,再发动攻击才是最重要的。
Ddos追踪主要有两个目的,首先是利用追踪源出动攻击,利用攻击特征针对流量过滤,来对ddos寻求帮助。另外在寻找到攻击源之后,收集被攻击的证据,从而利用法律的手段来对攻击进行惩罚,不管最后是不是能够找到攻击源,ddos攻击源的对象针对防御系统都是极为重要的。目前最重要的是ddos追踪技术,利用这种追踪技术,在实际角度出发开始对ddos攻击进行协助服务。
怎么查ddos攻击源,还可以利用观察路由器的方式来准确的寻找出ddos攻击源路径在哪里。当网站受到ddos攻击之时,可以在主机受到路由器控制的时候,这些数据会对电脑发动数据包攻击,因此加大了数据丢失的可能性。
在ddos遭受到攻击之后,攻击器的设计就会精密不少,而且寻找到真正的攻击者才是最明智的。比如攻击者利用的是傀儡机进行的攻击。就很难利用追踪技术来寻找攻击源了。所以大家需要充分的掌握ddos攻击源查询 *** ,才能保证网站不被攻击。
希望可以帮到您,谢谢!
网站被cc攻击,网站日志可以查出攻击者的源ip吗?
如果CC攻击这么容易到源站IP的话 谁还敢攻击呢?对吧
CC攻击者一般是通过操纵肉鸡攻击受害网站域名或IP的。想要查出源站IP很难,所以一般只能对自己网站进行安全防护。目前国内百度云加速防护CC/DDOS攻击还是可以的。价格也不贵,专业版的官方1190元/年,找 *** 便宜很多600一年,你可以去咨询下。相关链接
百度云加速是百度旗下为网站提供一站式加速、安全防护和搜索引擎优化的产品。百度云加速是市场占有率更高的云加速产品之一,正为数十万用户的近百万网站提供CDN、 *** 安全和SEO服务。每天处理十亿级的PV流量及数百亿TB的数据流量,并提供市场顶尖水平的稳定性和抗攻击能力。
百度云加速以部署于骨干网的数据中心为支撑,结合百度深度学习技术,为您的网站提供性能和流量优化,致力与广大开发者一起于打造开放、安全的云服务生态系统。 我们希望更多的网站合作伙伴以及中小企业能受益于百度云加速带来的价值及红利,从而使得云生态能够更加良性的发展。
网站一般都是怎么被攻击的?能不能知道是被谁攻击的?
一般是通过DDOS连续攻击。。
需要查找攻击源的IP,一般系统日志和防火墙里能显示。
服务器被攻击,要怎样查出攻击者?
你好,我来为你解答。服务器被攻击,个人很难查出到底是哪个坏家伙攻击的,也只能从服务商那里获取到是什么类型的攻击,比如流量攻击,还是其它类型的 *** 攻击,如果你是大型的网站,数据非常重要,经常受到攻击的话,建议你加强服务器安全设置,或者是选购一台高防服务器放置网站数据。
如果某人用DDOS攻击了一家网站,能查出是谁攻击的么
要查出攻击者是很难达到的,要求技术水平和条件都很高的。而且要查出来也需要时间,所以建议还是优先处理下被攻击的情况。
服务器和网站被攻击的话,建议检查下服务器的系统日志和网站运行的日志,分析确定下是受到了什么类型的攻击,然后服务器是哪个调解下相应的安全策略来进行防御。
也可以安装安全狗之类的防护软件来进行防御。
服务器安全狗主要保护服务器免遭恶意攻击,包括DDOS、ARP防火墙、远程桌面守护、端口保护、 *** 监控等。
网站安全狗主要保护服务器上网站的安全,包括网马挂马扫描、SQL注入防护,CC攻击防护,资源保护等。
两者防护方向不同。建议结合使用可以让保护更全面。
在防御的同时,可以查看防护日志,了解服务器和网站受到的是什么类型的攻击,然后针对攻击类型来调节防护规则,可以更为有效地进行防御。
请采纳,谢谢!
0条大神的评论