内容导读:导航目录:1、服务器被攻击后怎么处理?2、ARP局域网被攻击3、局域网受到别人IP的限速软件攻击怎么办啊?4、怎么攻击局域网内的电脑死机5、我在局域网服务器上安装了网管软件后,瑞星全功能软件经常提示拦截到端口端口扫...……
导航目录:
- 1、服务器被攻击后怎么处理?
- 2、ARP局域网被攻击
- 3、局域网受到别人IP的限速软件攻击怎么办啊?
- 4、怎么攻击局域网内的电脑死机
- 5、我在局域网服务器上安装了网管软件后,瑞星全功能软件经常提示拦截到端口端口扫描,请问如何关闭端口扫描
- 6、局域网反攻击器
服务器被攻击后怎么处理?
1、发现服务器被入侵,应立即关闭所有网站服务,暂停至少3小时。这时候很多站长朋友可能会想,不行呀,网站关闭几个小时,那该损失多大啊,可是你想想,是一个可能被黑客修改的钓鱼网站对客户的损失大,还是一个关闭的网站呢?你可以先把网站暂时跳转到一个单页面,写一些网站维护的的公告。
2、下载服务器日志,并且对服务器进行全盘杀毒扫描。这将花费你将近1-2小时的时间,但是这是必须得做的事情,你必须确认黑客没在服务器上安装后门木马程序,同时分析系统日志,看黑客是通过哪个网站,哪个漏洞入侵到服务器来的。找到并确认攻击源,并将黑客挂马的网址和被篡改的黑页面截图保存下来,还有黑客可能留下的个人IP或者 *** IP地址。
3、Windows系统打上最新的补丁,然后就是mysql或者sql数据库补丁,还有php以及IIS,serv-u就更不用说了,经常出漏洞的东西,还有就是有些IDC们使用的虚拟主机管理软件。
4、关闭删除所有可疑的系统帐号,尤其是那些具有高权限的系统账户!重新为所有网站目录配置权限,关闭可执行的目录权限,对图片和非脚本目录做无权限处理。
5、完成以上步骤后,你需要把管理员账户密码,以及数据库管理密码,特别是sql的sa密码,还有mysql的root密码,要知道,这些账户都是具有特殊权限的,黑客可以通过他们得到系统权限!
6、Web服务器一般都是通过网站漏洞入侵的,你需要对网站程序进行检查(配合上面的日志分析),对所有网站可以进行上传、写入shell的地方进行严格的检查和处理。如果不能完全确认攻击者通过哪些攻击方式进行攻击,那就重装系统,彻底清除掉攻击源。
ARP局域网被攻击
地址解析协议(Address Resolution Protocol,ARP)是在仅知道主机的IP地址时确定其物理地址的一种协议。因IPv4和以太网的广泛应用,其主要用作将IP地址翻译为以太网的MAC地址,但其也能在ATM和FDDI IP *** 中使用。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将 *** 层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。
假设:
计算机A的IP为192.168.1.1,MAC地址为00-11-22-33-44-01;
计算机B的IP为192.168.1.2,MAC地址为00-11-22-33-44-02;
ARP工作原理如下:
在TCP/IP协议中,A给B发送IP包,在包头中需要填写B的IP为目标地址,但这个IP包在以太网上传输的时候,还需要进行一次以太包的封装,在这个以太包中,目标地址就是B的MAC地址.
计算机A是如何得知B的MAC地址的呢?解决问题的关键就在于ARP协议。
在A不知道B的MAC地址的情况下,A就广播一个ARP请求包,请求包中填有B的IP(192.168.1.2),以太网中的所有计算机都会接收这个请求,而正常的情况下只有B会给出ARP应答包,包中就填充上了B的MAC地址,并回复给A。
A得到ARP应答后,将B的MAC地址放入本机缓存,便于下次使用。
本机MAC缓存是有生存期的,生存期结束后,将再次重复上面的过程。
二、谁能根本防护ARP欺骗攻击?
ARP欺骗/攻击反复袭击,是近来 *** 行业普遍了解的现象,随着ARP攻击的不断升级,不同的解决方案在市场上流传。但是最近发现,有一些方案,从短期看来似乎有效,实际上对于真正的ARP攻击发挥不了作用,也降低局域网工作效率。我公司的技术服务人员接到很多用户反应说有些ARP防制 *** 很容易操作和实施,但经过实际深入了解后,发现长期效果都不大。
对于ARP攻击防制,更好的 *** 是先踏踏实实把基本防制工作做好,才是根本解决的 *** 。由于市场上的解决方式众多,我们无法一一加以说明优劣,因此我们仅从ARP攻击防制的基本思想来进行解释。我们认为您如果能了解这个基本思想,就能自行判断何种防制方式有效,也能了解为何双向绑定是一个较全面又持久的解决方式。
I、不坚定的ARP协议
一般计算机中的原始的ARP协议,很像一个思想不坚定,容易被其它人影响的人,ARP欺骗/攻击就是利用这个特性,误导计算机作出错误的行为。ARP攻击的原理,互联网上很容易找到,这里不再覆述。原始的ARP协议运作,会附在局域网接收的广播包或是ARP询问包,无条件覆盖本机缓存中的ARP/MAC对照表。这个特性好比一个意志不坚定的人,听了每一个人和他说话都信以为真,并立刻以最新听到的信息作决定。
就像一个没有计划的快递员,想要送信给"张三",只在马路上问"张三住那儿?",并投递给最近和他说"我就是!"或"张三住那间!",来决定如何投递一样。在一个人人诚实的地方,快递员的工作还是能切实地进行;但若是旁人看快递物品值钱,想要欺骗取得的话,快递员这种工作方式就会带来混乱了。
我们再回来看ARP攻击和这个意志不坚定快递员的关系。常见ARP攻击对象有两种,一是 *** 网关,也就是路由器,二是局域网上的计算机,也就是一般用户。攻击 *** 网关就好比发送错误的地址信息给快递员,让快递员整个工作大乱,所有信件无法正常送达;而攻击一般计算机就是直接和一般人谎称自己就是快递员,让一般用户把需要传送物品传送给发动攻击的计算机。
由于一般的计算机及路由器的ARP协议的意志都不坚定,因此只要有恶意计算机在局域网持续发出错误的ARP讯息,就会让计算机及路由器信以为真,作出错误的传送 *** 包动作。一般的ARP就是以这样的方式,造成 *** 运作不正常,达到盗取用户密码或破坏 *** 运作的目的。针对ARP攻击的防制,常见的 *** ,可以分为以下三种作法:
1、利用ARP echo传送正确的ARP讯息:通过频繁地提醒正确的ARP对照表,来达到防制的效果。
2、利用绑定方式,固定ARP对照表不受外来影响:通过固定正确的ARP对照表,来达到防制的效果。
3、舍弃ARP协议,采用其它寻址协议:不采用ARP作为传送的机制,而另行使用其它协议例如PPPoE方式传送。
以上三种 *** 中,前两种 *** 较为常见,第三种 *** 由于变动较大,适用于技术能力较佳的应用。下面针对前两种 *** 加以说明。
PK 赛之"ARP echo"
ARP echo是最早开发出来的ARP攻击解决方案,但随着ARP攻击的发展,渐渐失去它的效果。现在,这个 *** 不但面对攻击没有防制效果,还会降低局域网运作的效能,但是很多用户仍然以这个 *** 来进行防制。以前面介绍的思想不坚定的快递员的例子来说,ARP echo的作法,等于是时时用 *** 提醒快递员正确的发送对象及地址,减低他被邻近的各种信息干扰的情况。
但是这种作法,明显有几个问题:之一,即使时时提醒,但由于快递员意志不坚定,仍会有部份的信件因为要发出时刚好收到错误的信息,以错误的方式送出去;这种情况如果是错误的信息频率特高,例如有一个人时时在快递员身边连续提供信息,即使打 *** 提醒也立刻被覆盖,效果就不好;第二,由于必须时时提醒,而且为了保证提醒的效果好,还要加大提醒的间隔时间,以防止被覆盖,就好比快递员一直忙于接听总部打来的 *** ,根本就没有时间可以发送信件,耽误了正事;第三,还要专门指派一位人时时打 *** 给快递员提醒,等于要多派一个人手负责,而且持续地提醒,这个人的工作也很繁重。
以ARP echo方式对应ARP攻击,也会发生相似的情况。之一,面对高频率的新式ARP攻击,ARP echo发挥不了效果,掉线断网的情况仍旧会发生。ARP echo的方式防制的对早期以盗宝为目的的攻击软件有效果,但碰到最近以攻击为手段的攻击软件则公认是没有效果的。第二,ARP echo手段必须在局域网上持续发出广播 *** 包,占用局域网带宽,使得局域网工作的能力降低,整个局域网的计算机及交换机时时都在处理ARP echo广播包,还没受到攻击局域网就开始卡了。第三,必须在局域网有一台负责负责发ARP echo广播包的设备,不管是路由器、服务器或是计算机,由于发包是以一秒数以百计的方式来发送,对该设备都是很大的负担。
图一:ARP攻击防制 *** -----"ARP echo"
常见的ARP echo处理手法有两种,一种是由路由器持续发送,另一则是在计算机或服务器安装软件发送。路由器持续发送的缺点是路由器原本的工作就很忙,因此无法发送高频率的广播包,被覆盖掉的机会很大,因此面对新型的ARP攻击防制效果小。因此,有些解决 *** ,就是拿ARP攻击的软件来用,只是持续发出正确的网关、服务器对照表,安装在服务器或是计算机上,由于服务器或是计算机运算能力较强,可以同一时间内发出更多广播包,效果较大,但是这种作法一则大幅影响局域网工作,因为整个局域网都被广播包占据,另则攻击软件通常会设定更高频率的广播包,误导局域网计算机,效果仍然有限。
此外,ARP echo一般是发送网关及MAC的对照信息,对于防止局域网计算机被骗有效果,对于路由器没有效果,仍需作绑定的动作才可。
PK 赛之"ARP绑定"
ARP echo的作法是不断提醒计算机正确的ARP对照表,ARP绑定则是针对ARP协议"思想不坚定"的基本问题来加以解决。ARP绑定的作法,等于是从基本上给这个快递员培训,让他把正确的人名及地址记下来,再也不受其它人的信息干扰。由于快递员脑中记住了这个对照表,因此完全不会受到有心人士的干扰,能有效地完成工作。在这种情况下,无论如何都可以防止因受到攻击而掉线的情况发生。
但是ARP绑定并不是万灵药,还需要作的好才有完全的效果。之一,即使这个快递员思想正确,不受影响,但是攻击者的 *** 包还是会小幅影响局域网部份运作,网管必须通过 *** 监控或扫瞄的 *** ,找出攻击者加以去除;第二,必须作双向绑定才有完全的效果,只作路由器端绑定效果有限,一般计算机仍会被欺骗,而发生掉包或掉线的情况。
双向绑定的解决 *** ,最为网管不喜欢的就是必须一台一台加以绑定,增加工作量。但是从以上的说明可知道,只有双向绑定才能有效果地解决ARP攻击的问题,而不会发生防制效果不佳、局域网效率受影响、影响路由器效能或影响服务器效能的缺点。也就是说双向绑定是个硬工夫,可以较全面性地解决现在及未来ARP攻击的问题,网管为了一时的省事,而采取片面的ARP echo解决方式,未来还是要回来解决这个问题。
图二:ARP攻击防制 *** -----"ARP双向绑定"
II、现阶段唯一解决方案----双向绑定
以上以思想不坚定的快递员情况,说明了常见的ARP攻击防制 *** 。ARP攻击利用的就是ARP协议的意志不坚,只有以培训的方式让ARP协议的意志坚定,明白正确的工作 *** ,才能从根本解决问题。只是依赖频繁的提醒快递员正确的作事 *** ,但是没有能从快递员意志不坚的特点着手,就好像只管不教,最终大家都很累,但是效果仍有限。
经我公司技术团队仔细研究,建议:面对这种新兴攻击,取巧用省事的方式准备,最后的结果可能是费事又不管用,必须重新来过。ARP双向绑定虽然对管理带来一定的工作量,但是其效果确是从根本上解决了问题。
三、网域ARP欺骗攻击防护专区实现方式介绍:
从影响 *** 连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
之一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“ *** 掉线了”。
基于以上两种ARP欺骗的方式,我公司在上海电信外高桥数据中心采用独立网段加上双向绑定的 *** 设立了防ARP欺骗攻击专区,拓朴结构示意图如下:
ARP欺骗攻击防护实现方式:
外部防护
1、此防护区域使用独立网关,从电信路由层以独立VLAN的物理结构方式接入,与其他非防护区域服务器完全隔离
内部防护
2、防护专区中心交换机以机柜为单位划分VLAN,保证机柜之间无法直接通信,防止机柜之间的ARP 欺骗攻击。防护专区中心交换机进行 IP段—MAC---交换机端口 配对绑定,服务器只能在指定交换机机柜和指定交换机端口使用,防止内部ARP攻击机截获网关数据,进行欺骗攻击。
3、机柜交换机进行 IP—MAC—交换机端口 配对绑定,服务器只能在指定交换机端口使用,防止内部ARP攻击机发送虚假IP 地址,虚假MAC地址,伪造网关,进行欺骗攻击。
4、机柜交换机进行 网关IP—网关MAC 静态绑定,为机柜内部服务器提供静态的网关MaC地址解析。
局域网受到别人IP的限速软件攻击怎么办啊?
这不是攻击问题了。
现在的互联网限制软件主要是通过ARP欺骗。
用记事本编写一个批处理文件rarp.bat内容如下:
@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa
将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。
将这个批处理软件拖到“windows--开始--程序--启动”中。
在路由器上绑定用户主机的IP和MAC地址。
就可以了。
如果不知具体操作,就继续往下看。
1:在命令行状态,ping 网关地址(内网),例如你的网关(内网)是192.168.0.1,那么在命令行状态下你输入ping 192.168.0.1,回车。
2:在命令行状态下,输入arp -a,
C:\Documents and Settings\Administratorarp -a
Interface: 192.168.0.119 --- 0x10003
Internet Address Physical Address Type
192.168.0.1 00-e0-2a-b0-75-0c dynamic
192.168.1.1 00-e0-2a-75-75-75 static
这时候记下你的网关地址所对应的Physical Address ,也就是MAC地址。
3:下载解压程序(注意A.bat必须和FL.exe在同个目录下),编辑A.bat,并按照以下说明替换IP和MAc地址:
FL freeland=192.168.0.1 00-aa-bb-cc-dd-ee 1 freeland false
↓ ↓
替换为网关IP地址 替换为网关MAC值
例如你的网关是192.168.1.1 ,网关mac地址为00-e0-2a-75-75-75,那么你的A.bat内容应该是这样的
FL freeland=192.168.1.1 00-e0-2a-75-75-75 3 freeland false
4:如果以后更换网关网卡或者路由器,这时候网关的MAC地址就会改变,所以请重新检查mac地址并重新修改服务器共享盘内的A.bat的mac地址字符段(否则客户机会上不了网).
怎么攻击局域网内的电脑死机
楼上不懂不要装懂,乱回答,人家问你怎么攻击局域网内的电脑死机,你列一大推的死机原因有什么用攻击 *** 很多:1、ARP攻击,常用的有PSP、 *** 执行官等软件攻击。这类攻击很简单,也很有较,但对方电脑绑定MAR地址,以及用了360的防ARP攻击就没有什么较果。2、病毒攻击,可以通过 *** 服务器攻击,通常是利用 *** 服务器,在网上做一个带病毒网页,再想办法让对方点击你这带病毒的网页,把木马种到对方电脑中,然后通过冰河等软件进行攻击。只要能把木马种到对方电脑中,那你想对他做什么都可以了,死机也就是小意思了,让他关机就关机。3、洪水攻击,简单说就是通过洪水软件,不停攻击对电脑。4、DOS攻击,远程关掉对电脑,前提是你能接触到对方电脑,并打开对方电脑的远程协助和控制服务。
我在局域网服务器上安装了网管软件后,瑞星全功能软件经常提示拦截到端口端口扫描,请问如何关闭端口扫描
没办法拦截,不过不用担心,杀毒软件可以挡住90%以上的端口攻击,如果你用360的话,可以尝试开启局域网防护模式
局域网反攻击器
人家用的应该是专业的网管软件,P2P只是比较大众化的软件,功能很少,而且权限也很低。试一下这个软件“SolarWinds Toolset Launchpad”。不要问我怎么用,一句两句是说不清的,自己弄。