怎么阻止IP被攻击?
网络剪刀手等工具的原理就是利用了ARP欺骗,所以,只要防止了ARP欺骗也等于防止了网络剪刀手。
解决办法:应该把你的网络安全信任关系建立在IP+MAC地址基础上,设置静态的MAC-地址-IP对应表,不要让主机刷新你设定好的转换表。
具体步骤:编写一个批处理文件arp.bat内容如下(假设192.168.1.2的mac地址是00-22-aa-00-22-aa):
@echo off
arp -d
arp -s 192.168.1.2 00-22-aa-00-22-aa
.
.
.
arp -s 192.168.1.254 00-99-cc-00-99-cc
(所有的IP与相应MAC地址都按上面的格式写好)
将文件中的IP地址和MAC地址更改为您自己的网络IP地址和MAC地址即可。
将这个批处理软件拖到每一台主机的“windows--开始--程序--启动”中。这样每次开机时,都会刷新ARP表。
如果有人刷新了你的ARP缓存表,你手动运行arp.bat再次恢复即可。
网络剪刀手还以这样防
进入“MS-DOS方式”或“命令提示符”,在命令提示符下输入命令:ARP -s 10.88.56.72 00-10-5C-AD-72-E3,即可把MAC地址和IP地址捆绑在一起。这样,就不会出现IP地址被盗用而不能正常使用网络的情况,更不会被网络剪刀手剪断,可以有效保证小区网络的安全和用户的应用。
注意:ARP命令仅对局域网的上网代理服务器有用,而且是针对静态IP地址,如果采用Modem拨号上网或是动态IP地址就不起作用。
不过,只是简单地绑定IP和MAC地址是不能完全的解决IP盗用问题的。作为一个网络供应商,他们有责任为用户解决好这些问题之的后,才交给用户使用,而不是把安全问题交给用户来解决。不应该让用户来承担一些不必要盗用的损失。
作为网络供应商,最常用也是最有效的解决方法就是在IP、MAC绑定的基础上,再把端口绑定进去,即IP-MAC-PORT三者绑定在一起,端口(PORT)指的是交换机的端口。这就需要在布线时候做好端口定时管理工作。在布线时应该把用户墙上的接线盒和交换机的端口一一对应,并做好登记工作,然后把用户交上来的MAC地址填入对应的交换机端口,进而再和IP一起绑定,达到IP-MAC-PORT的三者绑定。这样一来,即使盗用者拥有这个IP对应的MAC地址,但是它不可能同样拥有墙上的端口,因此,从物理通道上隔离了盗用者。
单间的说MAC地址是指网卡物理地址..相当于网卡的"身份证"..它唯一的...
IP-MAC绑定是指将IP地址与MAC地址进行绑定.这样子就不能任意修改IP地址了...因为MAC地址是唯一的..
反击"网络执法官"
这几天老有人在局域中使用网络执法官来限制别人,所以在网上找了找这方面的资料,
拿出来分享给大家
----------------------------------------------------------------------------------------------------------------------------------------------
网络执法官简介
我们可以在局域网中任意一台机器上运行网络执法官的主程序NetRobocop.exe,它可以穿透防火墙、实时监控、记录整个局域网用户上线情况,可限制各用户上线时所用的IP、时段,并可将非法用户踢下局域网。该软件适用范围为局域网内部,不能对网关或路由器外的机器进行监视或管理,适合局域网管理员使用
在代理服务器端
捆绑IP和MAC地址,解决局域网内盗用IP:
ARP -s 192.168.10.59 00-50-ff-6c-08-75
解除网卡的IP与MAC地址的绑定:
arp -d 网卡IP
在网络邻居上隐藏你的计算机
net config server /hidden:yes
net config server /hidden:no 则为开启
在网络执法官中,要想限制某台机器上网,只要点击"网卡"菜单中的"权限",选择指定的网卡号或在用户列表中点击该网卡所在行,从右键菜单中选择"权限",在弹出的对话框中即可限制该用户的权限。对于未登记网卡,可以这样限定其上线:只要设定好所有已知用户(登记)后,将网卡的默认权限改为禁止上线即可阻止所有未知的网卡上线。使用这两个功能就可限制用户上网。其原理是通过ARP欺骗发给被攻击的电脑一个假的网关IP地址对应的MAC,使其找不到网关真正的MAC地址,这样就可以禁止其上网
二、ARP欺骗的原理
网络执法官中利用的ARP欺骗使被攻击的电脑无法上网,其原理就是使该电脑无法找到网关的MAC地址。那么ARP欺骗到底是怎么回事呢?知其然,知其所以然是我们《黑客X档案》的优良传统,下面我们就谈谈这个问题。
首先给大家说说什么是ARP,ARP(Address Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。
ARP原理:某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。
ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,当局域网中的某台机器B向A发送一个自己伪造的ARP应答,而如果这个应答是B冒充C伪造来的,即IP地址为C的IP,而MAC地址是伪造的,则当A接收到B伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通C!这就是一个简单的ARP欺骗。
网络执法官利用的就是这个原理!知道了它的原理,再突破它的防线就容易多了
三、修改MAC地址突破网络执法官的封锁
根据上面的分析,我们不难得出结论:只要修改MAC地址,就可以骗过网络执法官的扫描,从而达到突破封锁的目的。下面是修改网卡MAC地址的方法:
在"开始"菜单的"运行"中输入regedit,打开注册表编辑器,展开注册表到:HKEY_LOCAL_
MACHINE/System/CurrentControl
Set/Control/Class/{4D36E972-E325-11CE-BFC1-08002BE103
18}子键,在子键下的0000,0001,0002等分支中查找DriverDesc(如果你有一块以上的网卡,就有0001,0002......在这里保存了有关你的网卡的信息,其中的DriverDesc内容就是网卡的信息描述,比如我的网卡是Intel 210
41 based Ethernet Controller),在这里假设你的网卡在0000子键。
在0000子键下添加一个字符串,命名为"NetworkAddress",键值为修改后的MAC地址,要求为连续的12个16进制数。然后在"0000"子键下的NDI/params中新建一项名为NetworkAddress的子键,在该子键下添加名为"default"的字符串,键值为修改后的MAC地址。
在NetworkAddress的子键下继续建立名为"ParamDesc"的字符串,其作用为指定Network
Address的描述,其值可为"MAC Address"。这样以后打开网络邻居的"属性",双击相应的网卡就会发现有一个"高级"设置,其下存在MAC Address的选项,它就是你在注册表中加入的新项"NetworkAddress",以后只要在此修改MAC地址就可以了。
关闭注册表,重新启动,你的网卡地址已改。打开网络邻居的属性,双击相应网卡项会发现有一个MAC Address的高级设置项,用于直接修改MAC地址。
MAC地址也叫物理地址、硬件地址或链路地址,由网络设备制造商生产时写在硬件内部。这个地址与网络无关,即无论将带有这个地址的硬件(如网卡、集线器、路由器等)接入到网络的何处,它都有相同的MAC地址,MAC地址一般不可改变,不能由用户自己设定。MAC地址通常表示为12个16进制数,每2个16进制数之间用冒号隔开,如:08:00:20:0A:8C:6D就是一个MAC地址,其中前6位16进制数,08:00:20代表网络硬件制造商的编号,它由IEEE分配,而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品(如网卡)的系列号。每个网络制造商必须确保它所制造的每个以太网设备都具有相同的前三字节以及不同的后三个字节。这样就可保证世界上每个以太网设备都具有唯一的MAC地址。
另外,网络执法官的原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地址,使其找不到网关真正的MAC地址。因此,只要我们修改IP到MAC的映射就可使网络执法官的ARP欺骗失效,就隔开突破它的限制。你可以事先Ping一下网关,然后再用ARP -a命令得到网关的MAC地址,最后用ARP -s IP 网卡MAC地址命令把网关的IP地址和它的MAC地址映射起来就可以了。
四、找到使你无法上网的对方
解除了网络执法官的封锁后,我们可以利用Arpkiller的"Sniffer杀手"扫描整个局域网IP段,然后查找处在"混杂"模式下的计算机,就可以发现对方了。具体方法是:运行Arpkiller,然后点击"Sniffer监测工具",在出现的"Sniffer杀手"窗口中输入检测的起始和终止IP,单击"开始检测"就可以了。
检测完成后,如果相应的IP是绿帽子图标,说明这个IP处于正常模式,如果是红帽子则说明该网卡处于混杂模式。它就是我们的目标,就是这个家伙在用网络执法官在捣乱。
扫描时自己也处在混杂模式,把自己不能算在其中哦!
找到对方后怎么对付他就是你的事了,比方说你可以利用网络执法官把对方也给封锁了
查看帮助文件发现:
14、怎样防止网络中用户非法使用本软件?
软件中特别设置了"友邻用户"的相互发现功能。"友邻用户"不能相互管理,使管理员免受非法用户攻击,而且不需注册也能发现其他正在使用本软件的用户,也可以在软件自带的"日志"中查看友邻用户的记录。普通用户无力解决其他用户滥用的问题,请与网络管理员联系。
原来安装和对方一样的版本,对方就不能控制你了。版本高的权限大于版本低的。
在网上浏览了一下,发现还可以用arp欺骗的方式,方法是打开dos窗口,输入以下命令:
arp -s 192.168.1.24 dd-dd-dd-dd-dd-dd
apr -a
其中192.168.1.24是自己的ip地址。这是把自己的物理地址给改了
笔者办公所在的局域网最近总出问题,系统总是提示有IP冲突,导致局域网的计算机不能互相访问,而且不能正常上网。这可是办公网络的大忌,要知道离开了网络,离开了局域网很多工作都是没法开展的,经过一番分析,我终于找到了肇事的“元凶”——网络执法官!下面就随笔者一起来看看“网络执法官”到底是怎样在局域网中捣乱的?
一、认识网络执法官
“网络执法官”是一款局域网管理辅助软件,采用网络底层协议,能穿透各客户端防火墙对网络中的每一台主机进行监控。它采用网卡号(MAC)识别用户,可靠性高;该软件不需运行于指定的服务器,在网内任一台主机上运行即可有效监控所有本机连接到的网络(支持多网段监控)。主要具有以下功能:
1. 实时记录上线用户并存档备查:网络中任一台主机,开机即会被本软件实时检测并记录其网卡号、所用的IP、上线时间、下线时间等信息。
2. 自动侦测未登记主机接入并报警:管理员登记完或软件自动检测到所有合法的主机后,可在软件中作出设定,拒绝所有未登记的主机接入网络。一旦有未登记主机接入,软件会自动将其MAC、IP、主机名、上下线时段等信息作永久记录,并可采用声音、向指定主机发消息等多种方式报警。
3. 限定各主机的IP,防止IP盗用:管理员可对每台主机指定一个IP或一段IP,当该主机采用超出范围的IP时,软件会判定其为“非法用户”,自动采用管理员事先指定的方式对其进行控制,并将其MAC、IP、主机名作记录备查。
其实网络执法官是一款非常优秀的局域网管理软件。然而正象大多数远程控制软件一样,软件本身的功能是非常实用的,但是这些工具一旦被一些别有用心的黑客或者捣乱分子利用,就成了他们“为虎作仗”的“帮凶”。
二、破坏方法大曝光
1.这些攻击者通常不具备管理网络的权利,但却去下载“网络执法官”来使用。运行网络执法官,它会自动检测机器上的网卡。
2.此时,选择一个网卡就会弹出一个监控范围选择,你可以选择局域网内的全部机器,当然,你也可以只选择其中的几台,在“指定监控范围”中输入,然后单击“添加/修改”就可以了。
3.上面的设置完毕后,他们就可以开始实施攻击的的行为了。首先需要把攻击的网卡MAC地址跟IP绑定。选择要绑定的一台或者多台机器,然后点击右键,选择“Mac_ip绑定”。
4.然后选择要攻击的对象,右键单击选择“用户属性”,在弹出的“用户属性”窗口中单击“权限设定”按钮,在这里,你可以进行相关的设置。你也可以双击“用户列表”中某用户的“锁”列或者在右键菜单中选择“锁定”选项,那么,该用户会被快速断开与关键主机或者全部主机的连接。
5.攻击者设置好后就可以等着好戏上场了:被攻击者的电脑会不断显示IP冲突,不能访问局域网内的其他电脑,使用者不停地找网管,忙得“不亦乐乎”!笔者的同事好几个都领教过这种被“骚扰”的烦恼。
三、局域网内的“反击战”
遇到这种问题,难道就只有“被动挨打”的份吗?经过一番研究,有些情况下,你终于找到了有效的防范方法,笔者甚至还可以“以其人之道,还治其人之身”!
1.防范为主——修改网卡的MAC地址
由于该软件采用网络底层协议,能穿透各客户端防火墙对网络的每一台主机进行监控和管理,所以防范起来有一定的难度。但是我们也可以通过修改自己的网卡的MAC地址来改变IP到MAC的映射,从而使得网络执法官的ARP欺骗失效,进而摆脱网络执法官的破坏。具体操作步骤如下:依次打开“网上邻居→属性→网络和拨号连接属性”,右击要修改MAC的网卡,在弹出的菜单中选择属性。然后点击“配置→高级”,点击“Network Address”,默认的选项为“没有显示”,选中上面的“设置值”选项,并输入新的网卡MAC地址,注意应该是12个十六进制数,如4561787895BA,不能设置为000000000000,也不能与别的网卡的MAC地址重复,然后点击确定。
2.主动还击——查看日志
如果是恶意的网络攻击者,只是被动防范肯定是不够的,一定要让他受到“惩罚”!你可以通过网络执法官的日志功能揪出攻击者,注意通过网络执法官的版本不要太低,最少保证在2.0以上,只要从日志中找出攻击者的IP(具体方法为:依次打开主界面上的“系统→查看系统日志”),然后提给网络管理人员或者当地网络安全部门,就可以将他“绳之以法”了,甚至你还可以采用一些黑客手段“以其人之道,还治其人之身”。
参考资料:;ID=23252
参考资料:
如何开启360安全卫士防IP攻击
1右键点击窗口右下的 360安全卫士 图标
2点击 进入 360安全防护中心
3 在7层 系统防护 下 点击查看状态,
如果网络安全防护 被关闭,请点击 开启
这样 本地连接 的 360局域网防护驱动程序就安装成功了.
建议重启一下电脑.让这个保护生效.
这个带感叹号的图标是什么软件的
一、最为便捷的方法:
“我的电脑”点右键,选择“属性→自动更新”,选中“关闭自动更新”,点击“确定”退出即可。
二、最为专业的方法:
“我的电脑”点右键,选“管理”,点左边“服务和应用程序”旁的加号展开,选“服务”项,或者直接在“运行”中输入“services.msc”打开服务设置窗口。
三、最为复杂的方法:
在运行栏中输入“gpedit.msc”打开组策略窗口,依次选择“计算机配置→管理模板→Windows Update”,编辑右侧的设置,将它们全部禁用即可。
关闭自动更新后如果看不惯右下角系统托盘中的图标,可以通过双击图标打开安全中心,点击左侧的更改“安全中心通知方式”,取消选中“自动更新”,退出即可。
以下连接有图示操作 你可以看看
什么是IP
一、IP地址的概念
我们知道因特网是全世界范围内的计算机联为一体而构成的通信网络的总称。联在某个网络上的两台计算机之间在相互通信时,在它们所传送的数据包里都会含有某些附加信息,这些附加信息就是发送数据的计算机的地址和接受数据的计算机的地址。象这样,人们为了通信的方便给每一台计算机都事先分配一个类似我们日常生活中的电话号码一样的标识地址,该标识地址就是我们今天所要介绍的IP地址。根据TCP/IP协议规定,IP地址是由32位二进制数组成,而且在INTERNET范围内是唯一的。例如,某台联在因特网上的计算机的IP地址为:
11010010 01001001 10001100 00000010
很明显,这些数字对于人来说不太好记忆。人们为了方便记忆,就将组成计算机的IP地址的32位二进制分成四段,每段8位,中间用小数点隔开,然后将每八位二进制转换成十进制数,这样上述计算机的IP地址就变成了:210.73.140.2。
二。IP文件
ip是Windows主题文件
很多XP桌面主题包里所带的图标集都会加入IconPackager图标主题定义文件,能够用IconPackager打开,很方便地一次性替换所有图标。这种替换方式对系统没有任何影响,实际上只是在Windows的图标缓存中进行替换,随时可以恢复。下面就简单介绍IconPackager以及它的图标主题的用法。为了方便,下面简称 IconPackager 为 IP。
先做个名词解释:
.icl 文件:ICon Library (图标库)的简称,一种使用图标编辑软件(例如Microangelo)制作的16位Windows DLL库文件,只不过后缀名不同而已,专用于图标的打包使用,里面除了图标什么都没有,优点是能够将大量图标压缩成一个文件便于使用和交流,而且不需要解包就可以直接使用里面的图标。Windows XP 默认就支持这种图标库格式。IP 格式的图标主题有两种发布方式,第一种也是最常见的方式是 图标 + .iptheme 定义文件 的形式,这种形式发布的图标主题一般都在一个单独的目录中,图标可能是一大堆 .ico文件,也可能是单个的 .icl (上面解释啦)图标库文件,还有一个最重要的 .iptheme 文件。不得不再做一个名词解释啦。
.iptheme 是IP专用的图标主题定义文件,就像第2节里说的 .theme 主题文件一样,也是文本格式,可以用任何文本编辑器打开,它的内容一看就懂。[Software Info] 部分是IP软件的说明,不用管它,下面的 [Package Info] 就是图标内容的定义了,例如:My Computer=%ThemeDir%02.ico 意思是"我的电脑"的图标定义为图标主题目录下的 02.ico 文件,前面是系统中某个显示图标的位置,后面是具体定义的图标文件。也可能是:My Computer=%ThemeDir%01.icl,1 ,这样的定义指向的就是一个 .icl 图标库文件,在逗号后面跟的数字1就是指图标库文件中的第一个图标。
如果你的系统中安装了IP,只要双击 .iptheme 文件IP就会自动启动然后打开这个图标主题,再点击IP窗口左边的"Icons Cursors",就可以在右边看到该图标主题内定义的各种具体图标了,分为桌面、开始菜单、文件夹、驱动器、其他、文件类型、鼠标指针、快速启动栏等八个类,基本涵盖了Windows中所有的图标,甚至是很多第三方软件的文件格式一样找得到。对于不满意的图标,双击图标项就可以更改,或者选中图标项之后点击右边的Change... ,找到想要的图标确认就会在IP中载入了。点击右下方的 Apply 即可应用当前的图标主题,稍等几秒系统的图标主题就替换完成了。所替换图标的多少由图标主题中包含的图标多少来决定,如果图标主题图标类型很全的话,基本上整个系统内的图标变得都会让你认不出来了。要注意的是在IP中图标定义是绝对路径,也就是说IP中定义好的图标一旦.ico 文件或者 .icl 文件被移动了,在IP中就无效了。
IP的另一种主题发布形式是单独的一个 .ip 文件,这个文件是IP专用格式的图标压缩包,里面包括了该图标主题中的图标文件以及IP的图标主题定义文件,用其他软件是打不开的,使用起来和 .theme 一样,只要双击就会在IP中载入,不过IP会先将这个压缩包解压到自己
安装目录中的 themes 目录下再载入,原来的 .ip 文件位置不会影响到图标主题的使用。另外,IP图标主题中也可以包含鼠标指针,定义方式和图标是一样的。大家找个比较完整的IP图标主题研究一下定义文件就明白了。
本教程只是讲图标主题的应用,至于IP的其他功能和应用大家就可以自己研究了,总之IP是一个强大而又好用的图标工具,不过它的使用是一点都不难的。用它做一个自己的图标主题,发放给自己的朋友,保证裤裤的。一套好的桌面主题加上一套好的图标主题,绝对可以让整个系统焕然一新。
三。IP炸弹
IP炸弹是指用IP炸弹工具(一种黑客攻击软件) ,发送大量的特殊数据包,对远程计算机的Windows系统的漏洞进行攻击,以消耗100%的系统资源,导致服务器停机或重启。IP炸弹攻击主要针对某一个IP地址段内的服务器。对Windows 95/NT来说,主要是利用NetBIOS网络协定的例行处理程序OOB的漏洞,将一些特定的数据封包,以OOB方式放在某个IP地址的某个开启的端口上(通常为139、137、135),使你的电脑突然死机;对Windows 98系统的攻击主要是针对Windows98系统的自身蓝屏漏洞;而对Windows 2000的攻击,是通过其本身存在很多拒绝服务的漏洞。
总是显示IP遭到攻击,为什么
此方案适用XP\VISTA\WIN7系统
【问题描述】:
中arp病毒
【原因分析】:
ARP(地址解析协议)是在仅知道主机的IP地址时确定其物理地址的一种协议。当电脑收到ARP数据包时,可以肯定是当前局域网内某台电脑(非本机)利用工具伪造IP地址和MAC地址实现ARP欺骗,这时候应该尽快联系一下网络管理员并且安装ARP防护软件。
【解决方案】:
方案一:使用安全软件检测是否有ARP存在
1.
首先开启arp防火墙:打开【360安全卫士】—【木马防火墙】。(如图1)
图1
2.
找到【局域网防护(ARP)】,向左拖动选择到【已开启】。(如图2)
图2
3.
按照提示点击【确定】即可。(如图3)
图3
4.
如果有攻击的话360就会有提示。(如图4;图5)
图4
图5
注:
目前常用的安全防火墙软件在检测ARP的时候所提示的IP均为路由器的网关,如:192.168.0.1;192.168.0.254
方案二:安装对应的防火墙软件
1.
例如:开启360安全卫士ARP防火墙或者使用其他防火墙,例如:彩影ARP防火墙单机版。(如图6;图7)
图6
图7
2.
安全完成后运行软件,下电脑上显示一个红色的图标,当发现有外界发起ARP数据包或者有攻击网络的行为,图标会不停的闪动。(如图8;图9)
图8
图9
3.
已经发现有攻击行为或者在发布ARP广播,并且可以判断攻击原因。(如图10)
图10
4.
软件界面清楚的显示攻击次数和拦截次数并且在右方:这个软件功能比较强大,可以测试到攻击者的IP、MAC、计算机名称等信息。(如图11)
图11
5.
软件上方点击:网络主机例表上面显示的是目前局域网内的所有PC、IP、名称、工作组、MAC等信息。如果有哪台电脑有问题在表里面会显示红色,并且提速为混合模式。(如图12)
图12
6.
软件流量分析上面可以显示目前流量的简单信息,上面介绍过了,ARP是广发的形式并不是单一的那一台电脑,上图广播:22非广播:323在局域网内广播是正常的,广播数一般不是特别大也是没有什么问题的。具体广播含义在此不详解。但是非广播就是不正常的,这个一般就是ARP在整个局域网内发包。综合以上信息,就可以判断是否有ARP,怎么处理。最简单的就是发现发包的PC,直接关闭此计算机即可,或者断开此机器的网络进行杀毒等处理。“ARP防火墙单机版”此软件对于不同的网络和不同的工作环境,测试和检查是非常好用的,但是有时候也是无法判断出具体PC的,软件要么就可以测试出来,要不就是测试的攻击IP为网关,只有正两种情况。
附:再给大家介绍一个软件,此软件只能检查出发ARP病毒的电脑,无法详细分析,但是对于检查问题原因是有效果的,并且不会出现检查到攻击的是网关的情况。
“局域网ARP检查”软件如下(绿化版无需安装)。(如图13)
图13
1.
选择本地网卡,然后点击开始分析,软件会测试网络中的所有PC。(如图14;图15)
图14
图15
2.
软件扫描完成后,不会显所有电脑的信息,只显示网关信息,上网网关提示有危险这是正常的。可能是因为没有安装防火墙的原因。如果网络中没有ARP病毒,或者网络攻击的行为,那么软件显示如上没有什么显示,当有攻击的时候如图16:
图16
3.
软件显示很简单,如果有攻击或者ARP它能准确快速的判断出是那台PC及PC的MAC、IP、状态等。并显示:“正在进行ARP风暴,发出欺骗包”也就是伪装攻击源为网关地址。(如图17)
图17
4.
在软件的目录下面会出现一个TXT的文档。在这个里面记录了局域网内所有的PC编号,MAC和IP地址。
内网电脑,一直有网络攻击,从杀毒软件里看到是两个IP一直在攻击,怎么解决?
关于您遇到的问题
内网电脑,一直有网络攻击,从杀毒软件里看到是两个IP一直在攻击,怎么解决?
让我感到很着急 让我来帮助您
从日志上看,您用的是火绒安全软件,攻击使用的是smbv1协议,火绒已经自动拦截该攻击不必过度担心
请找到169 22两台IP地址主机,使用杀毒软件彻底杀毒。
可以选择禁用该协议,这样会造成文件打印机共享出现问题
如有问题请追问 ,采纳可以帮助更多遇到此类问题的小伙伴,谢谢您的支持