解决网吧ARP掉线问题的技巧
解决网吧ARP掉线问题的技巧
最近网吧掉线的问题很频繁,让老板和网管们都很头痛。为了让大家能迅速摆脱ARP攻击的烦恼,我总结一下关于解决ARP的误区。
1。认为用软路由就可以高枕无忧。
这是对ARP攻击的本质不了解的原因,网络上ARP包的发送是不受路由器控制的,也就是说无论攻击者或木马软件发送多少非法ARP包来扰乱网吧,路由器无法限制。
2。认为路由绑定客户机,客户机绑定路由器就OK
严格的说这样方法有局限性。这种方法是专门针对传奇木马这类的攻击,因为只要网管比较勤快,该绑定的都绑定,这类问题就可以杜绝。但如果黑客在内网破坏,对每一台客户机发起攻击,可能会导致网络局部掉线。如果网吧暂时不方便更改系统可以先用软件实现绑定路由器.
解决ARP攻击的王道:
第1种方法。采用可管理型交换机。对每个端口上使用的MAC地址进行管理。防止未被授权的MAC地址通过该端口。
第2种方法。在所有的设备(包括 路由器、服务器、客户端 )绑定所有的设备的MAC地址。并且在一台连接在主交换的服务器上安装一个ARP广播和监视软件,定期向非管理型的交换机广播正确的MAC地址表,并监视非法的ARP包, 在本贴的附件中有一个 这样的软件,需要的朋友可以下(使用前需要安装winpcap库)。
在每台客户机上作以下修改
删除system32/npptools.dll,新建一个npptools.dll并将权根设为任何人不能访问。属性只读。很多外挂木马都要调用这个。这样的话当木马启动时就找不到npptools.dll,即无法运行。
system32/packet.dll
system32/pthreadVC.dll
system32/wpcap.dll
system32/Drivers/npf.sys这四个文件也改为任何人不能访问,属性只读。这四个文件是winpcap安装时要创建的。如上操作的话,就可以有效防止 网络执法官,网络剪刀手之类的软件对网络的恶意攻击。
当然,路由绑定客户机,客户机绑定路由器