iT邦幫忙

0

遭遇類似ARP區網攻擊

  • 分享至 

  • xImage

有無網路資安公司先進懂ARP攻擊的解決方法
公司辦公室多台電腦 在不同時段 有不同的斷網程度
遭阻斷的遠端程式 作業模式 網頁 網址各不相同
都是每台電腦使用者 最常上網訪問的通常網址
而且 剛開機登入時網路測速都正常 但是重新載入後網速就被封殺
電腦A被斷網時 電腦BCD都能正常聯網 但是C+D網速都會被限制
外每台電腦都有遠端控制廠房設備的需求 辦公室終端伺服器電腦
其他任何利用到網路的功能都正常
但一旦使用遠端軟體聯網到遠端設備就顯示本機無網路
但同時其他分機卻能正常聯網並使用遠端控制設備
在上述狀況外 其他不常訪問的網頁 網站網址
(如與公務無關的網頁 油管-蝦皮-漫畫-影片-其他種類瀏覽器與非預設首頁)
都能正常運行下載極快 其他被針對的網路阻斷 只要不是重新開機手動斷網 就是不會停 重新開機啟動只要網路沒斷他就是繼續阻斷功能防毒軟體也找不出問題 而且還會阻止常用城市的效能 比方說公務文件的載入 在無人手動變更硬體設定下自動設定分機訪問伺服器的權限還有文件修改權 明明原本伺服器對方機的訪問沒有設定訪問密碼
某天下班前竟然強制全線斷網 重開機後每一台分機要訪問伺服器就變成要密碼了 網路公司只好重設伺服器網址 與分機IP
小地對軟體與網路純外行 而其他網路資訊只有說明原理跟防範手段
沒有解決方法 難道公司遇到ARP攻擊無解嗎?

看更多先前的討論...收起先前的討論...
zyman2008 iT邦大師 6 級 ‧ 2021-09-17 07:44:34 檢舉
"公司辦公室多台電腦 在不同時段 有不同的斷網程度"
先分有線和無線的. 有這問題是無線用戶端的多? 還是有線的多 ?

"對軟體與網路純外行"
公司規模 ? 多少電腦 ? 有配置網管人員 ? 還是 1 人IT管全部
公司原來的網路怎麼架起來的 ? 沒交接 ?
你怎麼知道是ARP攻擊 ? 還是網路架構問題 ?
不懂就花錢找專家進來把脈吧.
如果電腦數量多於50,建議按辦公室切割VLAN,避免廣播型攻擊造成阻塞全網的問題

既然是有找【網路公司】,他們就一定有這個能耐處理這類問題,除非..............無牌工作室
mathewkl iT邦高手 1 級 ‧ 2021-09-17 10:08:44 檢舉
現象描述很多但都不夠精確足以判斷,先從部分網頁連得上和部分連不上必須重開機解決來擲杯,猜內部DNS指向或設定可能有問題
CalvinKuo iT邦大師 7 級 ‧ 2021-09-17 12:29:40 檢舉
要抓封包,去找出發ARP詐欺封包是哪台機器,才能對症下藥。
之前遇過一台,跟防火牆搶ARP的MAC的機器,只能先把重要的電腦先下ARP -S 指定正常的防火牆MAC,再抓封包看哪台機器發出。
不是有網路公司?
打雜工 iT邦研究生 1 級 ‧ 2021-09-18 11:50:23 檢舉
當然有解,方法很多,建議找專業的來幫你處理~
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

0
yesongow
iT邦大師 1 級 ‧ 2021-09-17 17:33:08

骨幹網路交換器,有沒有網管功能?

列出每個switch port的mac-address
最好是在switch port上,綁死對應的mac-address
關閉switch learning arp

陌生設備想接公司內網,就發snmp trap通知
慢慢觀察吧!

0
連城
iT邦新手 4 級 ‧ 2021-09-18 16:13:43

我會先建議你做一些簡單的排除
你現在懷疑可能是ARP 攻擊
ARP攻擊的特點就是ARP Table 會被改寫
先找一台電腦接上去
假設PC資訊如下
IP:192.168.0.1
netmask:255.255.255
getway:192.168.0.254


首先你要確定的是同往段的IP通訊有沒有問題
你ping 192.168.0.2 的設備看看有沒有回應
再ping 192.168.0.254看看有沒有回應
這兩個ping 的用意

是要先看你內外網通訊狀況

  1. 內網通 254也通 表示情況不出在這個網段可能再更上層
    所以會進一步去ping 8.8.8.8 如果還是會通 那可能要看看防火牆是不是有擋特定IP
    (當然也有可能DNS解錯東西)
  2. 內網不通 254也不通 表示這台設備完全不通 (可能是IP衝突 也可能是ARP攻擊)
    先看arp table 中192.168.0.2與192.168.0.254的MAC 是不是同一個
    是的話就需要錄下封包來確定是哪台設備在搞鬼
  3. 內網通 254不通 可能是arp 去錯地方 也可能是254的IP不見
    這邊比較難找 也是透過ARP封包來確定最終詢問254 mac的時候是不是收到2次回覆
    然後要確定254這台有在線上

arp table 查詢方式
請打開CMD(命令提示字元)
輸入arp -a

https://ithelp.ithome.com.tw/upload/images/20210918/20120889gm70ievlRi.jpg

如果有錯誤再請各位前輩指教

我要發表回答

立即登入回答