有無網路資安公司先進懂ARP攻擊的解決方法
公司辦公室多台電腦 在不同時段 有不同的斷網程度
遭阻斷的遠端程式 作業模式 網頁 網址各不相同
都是每台電腦使用者 最常上網訪問的通常網址
而且 剛開機登入時網路測速都正常 但是重新載入後網速就被封殺
電腦A被斷網時 電腦BCD都能正常聯網 但是C+D網速都會被限制
外每台電腦都有遠端控制廠房設備的需求 辦公室終端伺服器電腦
其他任何利用到網路的功能都正常
但一旦使用遠端軟體聯網到遠端設備就顯示本機無網路
但同時其他分機卻能正常聯網並使用遠端控制設備
在上述狀況外 其他不常訪問的網頁 網站網址
(如與公務無關的網頁 油管-蝦皮-漫畫-影片-其他種類瀏覽器與非預設首頁)
都能正常運行下載極快 其他被針對的網路阻斷 只要不是重新開機手動斷網 就是不會停 重新開機啟動只要網路沒斷他就是繼續阻斷功能防毒軟體也找不出問題 而且還會阻止常用城市的效能 比方說公務文件的載入 在無人手動變更硬體設定下自動設定分機訪問伺服器的權限還有文件修改權 明明原本伺服器對方機的訪問沒有設定訪問密碼
某天下班前竟然強制全線斷網 重開機後每一台分機要訪問伺服器就變成要密碼了 網路公司只好重設伺服器網址 與分機IP
小地對軟體與網路純外行 而其他網路資訊只有說明原理跟防範手段
沒有解決方法 難道公司遇到ARP攻擊無解嗎?
已邀請的邦友 {{ invite_list.length }}/5
骨幹網路交換器,有沒有網管功能?
列出每個switch port的mac-address
最好是在switch port上,綁死對應的mac-address
關閉switch learning arp
陌生設備想接公司內網,就發snmp trap通知
慢慢觀察吧!
我會先建議你做一些簡單的排除
你現在懷疑可能是ARP 攻擊
ARP攻擊的特點就是ARP Table 會被改寫
先找一台電腦接上去
假設PC資訊如下
IP:192.168.0.1
netmask:255.255.255
getway:192.168.0.254
首先你要確定的是同往段的IP通訊有沒有問題
你ping 192.168.0.2 的設備看看有沒有回應
再ping 192.168.0.254看看有沒有回應
這兩個ping 的用意
是要先看你內外網通訊狀況
arp table 查詢方式
請打開CMD(命令提示字元)
輸入arp -a
如果有錯誤再請各位前輩指教
iThome鐵人賽
看影片追技術