회사 LAN이 중독된 경우 어떻게 해야 하나요?
문제 1: 회사 LAN에 있는 컴퓨터가 중독되어 다른 컴퓨터에 계속 ARP 공격을 보냅니다. 어떻게 해야 할까요? 이 게시물을 읽어보세요~~해결 방법이 가장 중요하지 않습니다. 관련 지식이 가장 중요합니다
ARP 주소 스푸핑 바이러스 방지
ARP 프로토콜이란 무엇입니까
ARP 스푸핑 공격의 원리를 이해하려면 먼저 ARP 프로토콜이 무엇인지 이해합니다. ARP는 Address Translation Protocol의 영어 약어이며 OSI 모델의 두 번째 계층에서 작동하는 링크 계층 프로토콜입니다. 이 계층과 하드웨어 인터페이스 간에 통신하고 상위 계층(네트워크 계층)에 서비스를 제공합니다.
우리는 레이어 2 이더넷 스위칭 장비가 32비트 IP 주소를 인식하지 못한다는 것을 알고 있습니다. 이 장비는 48비트 이더넷 주소(종종 MAC 주소라고 함)로 이더넷 데이터 패킷을 전송합니다. 따라서 IP 주소와 MAC 주소 사이에는 대응 관계가 있어야 하며, 이 대응 관계를 판별하는 데 사용되는 프로토콜은 ARP 프로토콜입니다.
ARP가 작동하면 먼저 호스트에 원하는 IP 주소가 포함된 이더넷 브로드캐스트 패킷을 보내도록 요청한 다음 대상 IP의 소유자가 IP 및 MAC 주소 쌍이 포함된 패킷으로 응답합니다. . 이러한 방식으로 요청 호스트는 도달하려는 IP 주소에 해당하는 MAC 주소를 얻을 수 있습니다. 동시에 요청 호스트는 불필요한 ARP 통신을 절약하기 위해 이 주소 쌍을 자체 ARP 테이블에 캐시합니다. ARP 캐시 테이블은 에이징 메커니즘을 채택합니다. 테이블의 행이 일정 기간(Windows 시스템의 경우 2분, Cisco 라우터의 경우 5분) 동안 사용되지 않으면 삭제됩니다. 다음 예를 통해 ARP의 작동 메커니즘을 명확하게 볼 수 있습니다.
다음과 같은 5개의 IP 주소를 가진 호스트나 네트워크 장치가 있다고 가정합니다.
호스트 A 192.168.1.2
호스트 B 192.168.1.3
p>
게이트웨이 C 192.168.1.1
호스트 D 10.1.1.2
게이트웨이 E 10.1.1.1
호스트 A의 경우 호스트 B와 통신하려는 경우 먼저 ARP 캐시에 192.168.1.3 주소에 해당하는 MAC 주소가 있는지 확인합니다. 그렇지 않은 경우 기본적으로 LAN의 브로드캐스트 주소로 ARP 요청 패킷을 보냅니다. MAC 주소는 192.168.1.3입니까? 알려주세요. 브로드캐스트 주소는 이 요청 패킷을 LAN의 모든 호스트에 브로드캐스트하지만 호스트 192.168.1.3만 이 요청 패킷에 응답합니다. 192.168.1.2의 ARP 패킷으로 이는 대략 192.168을 의미합니다. .1.3의 MAC 주소는 02-02-02-02-02-02입니다. 이 경우 호스트 A는 호스트 B의 MAC 주소를 획득하고 이 해당 관계를 자체 ARP 캐시 테이블에 저장합니다. 이후 호스트 A와 호스트 B 간의 통신은 두 캐시 테이블의 MAC 주소에 의존합니다. 이 통신은 통신이 중지된 후 2분이 지나도 테이블에서 삭제되지 않습니다.
LAN이 아닌 곳에서의 통신 과정을 살펴보겠습니다. 호스트 A가 호스트 D와 통신해야 하는 경우 먼저 호스트 D의 IP 주소가 자신과 동일한 네트워크 세그먼트에 있지 않음을 발견하므로 게이트웨이를 통해 전달되어야 합니다. 게이트웨이 192.168.1.1에 해당하는 MAC 주소가 없으면 ARP 요청을 통해 이를 얻습니다. 가능하면 게이트웨이 C로 직접 데이터 패킷을 보냅니다. 게이트웨이 E는 라우팅을 통해 데이터 패킷을 수신한 후 호스트 D(10.1.1.2)로 전송되었음을 확인하고 10.1.1.2에 해당하는 MAC 주소가 있는지 확인합니다. 이를 얻으려면 ARP 프로토콜을 사용하십시오. MAC 주소를 사용하여 호스트 D 통신과 통신하십시오.
위의 예를 통해 이더넷 LAN의 데이터 패킷 전송은 MAC 주소에 의존한다는 것을 알 수 있습니다. IP 주소와 MAC 간의 해당 관계는 각 호스트(게이트웨이 포함)에 의존합니다. )에는 ARP 캐시가 있습니다.
정상적인 상황에서 이 캐시 테이블은 호스트 B 등이 A와 D 간의 통신 정보를 가로챌 수 없는 일대일 데이터 전송 특성을 효과적으로 보장할 수 있습니다.
그러나 ARP 캐시 테이블을 구현하는 호스트의 메커니즘에는 불완전성이 있습니다. 호스트는 ARP 응답 패킷을 수신하면 ARP 요청을 보냈는지 확인하지 않고 해당 패킷을 직접 대체합니다. MAC 주소와 응답 패킷의 IP 간의 해당 관계를 원본 ARP 캐시 테이블의 정보에 포함합니다. 이로 인해 호스트 B가 가로채게 됩니다... >>
질문 2: LAN 서버가 중독되었을 때 어떻게 종료합니까? 안녕하세요:
이 경우 Tencent Computer Manager를 사용하여 회사 서버에 대한 포괄적인 바이러스 백신을 수행할 수 있습니다. Tencent Computer Manager에서 바이러스 백신 기능을 열고 라이트닝 검사 또는 전체 검사를 선택하면 됩니다. , Tencent Computer Manager는 "4+1" 코어 "코어" 바이러스 백신 엔진을 사용하는 전문 바이러스 백신 소프트웨어입니다. 여기를 클릭하여 최신 버전의 Tencent Computer를 다운로드할 수 있습니다. Manager: Tencent Computer Manager 최신 버전을 다운로드하세요.
Tencent Computer Manager Enterprise Platform: zhidao.baidu/c/guanjia/
질문 3: LAN 중독 컴퓨터를 찾는 방법. LAN 시스템이 중독되었습니다. 일반적으로 감염된 시스템은 전체 LAN 패킷에 브로드캐스트하거나 게이트웨이인 것처럼 가장하여 ARP 공격을 보냅니다. 이 경우 모든 머신을 열고 잠시 기다렸다가 독성이 없는 것으로 확인된 머신에서 웹 페이지를 연 다음 해당 머신의 ARP 캐시 "arp -a를 확인하면 됩니다. 목록에는 일반적으로 IP만 포함됩니다. 및 게이트웨이의 MAC에는 다른 레코드가 없습니다. 다른 레코드가 있는 경우 해당 레코드가 나타내는 시스템에는 일반적으로 몇 가지 문제가 있습니다.
이 방법은 트릭입니다. . 다른 LAN 애플리케이션도 ARP 캐시 테이블에 다른 시스템에 대한 정보를 저장할 수 있습니다.
아 피곤하네요.
질문 4: 방법. 직장 LAN에서 바이러스를 처리합니까? 이것은 바이러스 백신 소프트웨어가 만료되고 시스템 시간을 변경하여 시스템 보호를 중단시키는 일반적인 바이러스입니다.
이전과 동일한 문제가 발생했습니다. :
1. 중요한 정보 유출을 방지하기 위해 즉시 인터넷 연결을 끊습니다.
2. 시스템 시간을 현재 날짜로 변경하고 바이러스 백신 소프트웨어(바이러스 데이터베이스)를 복구합니다. 유지됩니다)
터치하면 즉시 안전 모드로 다시 시작하고 전체 바이러스 백신을 실행합니다.
그러면 시스템이 정상으로 돌아오지만 시스템에 대해 확신이 없는 경우 , 시스템을 다시 설치하도록 선택할 수 있지만 이 방법은 조직의 작업 부하가 상대적으로 큽니다.
현재 상황에서는 원본 컴퓨터를 찾을 필요가 없습니다. 감염된 시스템의 수를 최대한 빨리 제거하고 감염된 모든 시스템의 내부 네트워크를 분리합니다.(네트워크 케이블을 뽑습니다.) 바이러스를 하나씩 제거하려면 작업량이 약간 많지만 더 좋은 방법은 없습니다. .
Rising Server에서 제어하는 바이러스 백신을 설치하면 해당 소프트웨어가 서버를 통해 모든 클라이언트를 강제로 치료할 수 있습니다.
질문 5: 특정 클라이언트를 감염시킬 수 있습니까? LAN에 있는 컴퓨터가 네트워크에 영향을 미치나요? 안녕하세요. 귀하의 설명에 따르면 특정 컴퓨터가 바이러스에 감염되었을 가능성이 높습니다. 해결 방법은 먼저 특정 컴퓨터에 ARP 바이러스로부터 보호하는 소프트웨어를 설치하는 것입니다. 그런 다음 다른 모든 컴퓨터를 열어 소프트웨어의 경보 기록을 관찰합니다. 그 중 어떤 컴퓨터가 ARP 공격을 시작했는지(IP 주소 참조), IP 주소를 기반으로 해당 가정용 컴퓨터를 찾아 컴퓨터를 소독합니다.
질문 6: 컴퓨터에서 계속 arp 공격이 뜹니다. 회사 LAN에서 제 컴퓨터가 문제인가요, 아니면 다른 사람의 LAN인가요? 5점 시스템에 바이러스가 의심되는 경우 Rising 바이러스 백신 소프트웨어 V16을 설치하고 최신 바이러스 데이터베이스로 업그레이드한 후 바이러스 검사를 수행하는 것이 좋습니다. 다운로드 주소: PC .rising/
ARP 스푸핑 방법에는 두 가지 유형이 있습니다. 하나는 라우터 ARP 테이블을 스푸핑하는 것입니다. 이 공격은 게이트웨이 데이터를 가로챕니다.
일련의 잘못된 인트라넷 MAC 주소를 라우터에 알리고 특정 빈도로 계속 그렇게 함으로써 업데이트를 통해 실제 주소 정보가 라우터에 저장될 수 없게 됩니다. 결과적으로 라우터의 모든 데이터는 데이터만 저장될 수 있습니다. 잘못된 MAC 주소로 전송되어 일반 PC가 수신할 수 없게 됩니다. 메시지가 수신되어 인터넷이 간헐적으로 작동하지 않거나 사용할 수 없게 됩니다. 다른 하나는 인트라넷 PC의 게이트웨이를 스푸핑하여 게이트웨이의 MAC 주소를 위조하여 전송하는 것입니다. arp 패킷을 이용해 다른 클라이언트를 속이고, 이를 속인 PC를 가짜로 만들어 일반 라우터를 통해 인터넷에 접속하는 대신 게이트웨이에서 데이터를 전송해 인터넷이 간헐적으로 끊기거나 끊기는 현상이 발생한다. 이런 상황에 대해 Rising Company에서는 다음과 같은 해결 방법을 제시합니다. 방법 1. ARP 스푸핑을 받은 머신에서 시작 - 실행에 "cmd"를 입력하고 ms-dos를 입력한 후 명령줄 창에서 "arp -a"를 입력합니다. ARP 목록을 보는 명령입니다. MAC이 공격머신의 MAC으로 교체된 것을 확인하고, MAC을 기록(검색용)한 후, 이 MAC을 기반으로 바이러스에 감염된 컴퓨터를 찾아냅니다. 방법 2: 타사 패킷 캡처 도구(예: 스니퍼 또는 antiarp)를 사용하여 LAN에서 가장 많은 arp 패킷을 보내는 IP 주소를 찾고 바이러스에 감염된 컴퓨터를 확인할 수도 있습니다. arp 스푸핑을 일으키는 바이러스는 실제로는 일반적인 바이러스입니다. 패킷의 출처를 파악하고 바이러스 백신 소프트웨어를 사용하여 확인하면 완전히 해결할 수 있습니다.
질문 7: LAN에 있는 컴퓨터가 감염되었습니다. 어떤 컴퓨터가 감염되었는지 어떻게 알 수 있나요? 테스트 후에 알게 될 것입니다.
질문 8: 우리 회사의 LAN이 중독된 것 같습니다. 바이러스를 완전히 제거하는 방법을 모르겠습니다. 그냥 Rising Firewall 08 버전을 사용하는 것도 좋습니다. 그렇다면 안티 바이러스
질문 9: 회사 LAN의 금융 호스트가 감염되어 감히 안티 바이러스를 사용하지 못하고 다양한 문제가 발생하면 어떻게 해야 합니까? 무한 IP 충돌이 발생합니다.. 또 무선 네트워크를 켜자마자 우리 기숙사가 ARP 공격을 받았나봐요... 공유기를 손에 넣으면 암호화해서 다른 사람이 네트워크를 사용할 가능성을 차단할 수 있습니다. (아크 경로인 경우)), 인터넷에 연결된 모든 컴퓨터에 포괄적인 바이러스 백신을 수행하여 ARP 바이러스가 없고 ARP 공격 소프트웨어를 사용하는 사람이 없는지 확인합니다. 두 번째 단계는 ARP 방화벽을 설치하는 것입니다.
기업이라면 전문가를 고용해 처리하는 게 낫고, 적어도 데이터는 미리 백업해 두세요. 바이러스에 어떤 종류의 바이러스가 들어있는지 확인하는 것이 핵심입니다. 바이러스 검사를 위해 바이러스 백신 소프트웨어를 사용할 수 있지만, 발견된 바이러스에 대한 중독의 유형과 상황을 판단할 수는 없습니다. 올바르게 처리할 수 있다는 것입니다.
질문 10: 로컬 네트워크에 있는 다수의 컴퓨터가 중독되었을 때 해결 방법의 흐름도를 간략하게 그려 보시겠습니까? 감사합니다. 해결 방법:
1. 회사 컴퓨터를 관리하고 모든 컴퓨터에 대해 F11 원클릭 복원을 만듭니다. (감염된 경우 모든 컴퓨터를 켜고 F11을 눌러 문제를 즉시 해결하십시오.)
2. 컴퓨터 호스트를 서버로 사용하고 전화 접속하여 인터넷에 접속하고 서버를 광대역으로 즐기십시오. 방화벽은 잘 방어되어야 하고 자동으로 사용하는 것이 가장 좋습니다.. 스마트 기능이 없는 방화벽이 있어서 일단 설치하면 특정 IP와 포트를 수동으로 해결하고 프로그램을 실행할 수 있습니다. 일단 설치되면 기본값은 만능방어입니다. DOC 공격과 모든 트로이 목마 및 바이러스를 방지할 수 있습니다. 부분적으로는 네트워크에 필요한 포트를 열어야 하기 때문에 DOC 공격이 발생하면 IP 연결 끊김 방지를 켤 수 있습니다.
인트라넷의 대부분의 포트가 차단되어 있기 때문에 랜을 통한 바이러스의 공격 및 확산이 불가능합니다.