您当前位置：&&&&&&&&&
售前咨询热线
有效防止ARP攻击：网关绑定IP和MAC地址
大势至公司网络管理软件、公司网管必备软件列表
服务器所有网站打开时都报病毒，替换工具查不到恶意代码，杀毒无效，快整疯了，猛然觉醒这是网段内ARP攻击搞的怪呀。网上小搜了下，除了装ARP防火墙以外，还可以通过绑定网关的IP和MAC来预防一下。这个方法在局域网中比较适用：&&&你所在的局域网里面有一台机器中了ARP病毒，它伪装成网关，你上网就会通过那台中毒的机器，然后它过一会儿掉一次线来骗取别的机器的帐户密码什么的东西。&&下面是手动处理方法的简要说明：&&如何检查和处理&ARP 欺骗&木马的方法&1．检查本机的&ARP 欺骗&木马染毒进程&&同时按住键盘上的&CTRL &和&ALT &键再按&DEL &键，选择&任务管理器&，点选&进程&标签。察看其中是否有一个名为&MIR0.dat &的进程。如果有，则说明已经中毒。右键点击此进程后选择&结束进程&。参见右图。&&2．检查网内感染&ARP 欺骗&木马染毒的计算机&在&开始&- &程序&- &附件&菜单下调出&命令提示符&。输入并执行以下命令：&ipconfig&记录网关IP 地址，即&Default Gateway &对应的值，例如&59.66.36.1 &。再输入并执行以下命令：&arp &a&在&Internet Address &下找到上步记录的网关IP 地址，记录其对应的物理地址，即&Physical Address &值，例如&00-01-e8-1f-35-54 &。在网络正常时这就是网关的正确物理地址，在网络受&ARP 欺骗&木马影响而不正常时，它就是木马所在计算机的网卡物理地址。&也可以扫描本子网内的全部IP 地址，然后再查ARP 表。如果有一个IP 对应的物理地址与网关的相同，那么这个IP 地址和物理地址就是中毒计算机的IP 地址和网卡物理地址。&&3．设置ARP 表避免&ARP 欺骗&木马影响的方法&本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上边介绍的方法确定正确的网关IP 地址和网关物理地址，然后在 &命令提示符&窗口中输入并执行以下命令：&arp &s 网关IP 网关物理地址&&4. 静态ARP绑定网关&步骤一：&在能正常上网时，进入MS-DOS窗口，输入命令：arp －a，查看网关的IP对应的正确MAC地址， 并将其记录下来。&注意：如果已经不能上网，则先运行一次命令arp －d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话）。一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp －a。&步骤二：&如果计算机已经有网关的正确MAC地址，在不能上网只需手工将网关IP和正确的MAC地址绑定，即可确保计算机不再被欺骗攻击。&要想手工绑定，可在MS-DOS窗口下运行以下命令：&arp －s 网关IP 网关MAC&例如：假设计算机所处网段的网关为192.168.1.1，本机地址为192.168.1.5，在计算机上运行arp －a后输出如下：&Cocuments and Settings&arp -a&Interface:192.168.1.5 --- 0x2&Internet Address Physical Address Type&192.168.1.1 00-01-02-03-04-05 dynamic&其中，00-01-02-03-04-05就是网关192.168.1.1对应的MAC地址，类型是动态（dynamic）的，因此是可被改变的。&被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC。如果希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找该攻击的机器做准备。&手工绑定的命令为：&arp －s 192.168.1.1 00-01-02-03-04-05&绑定完，可再用arp －a查看arp缓存：&Cocuments and Settings&arp -a&Interface: 192.168.1.5 --- 0x2&Internet Address Physical Address Type&192.168.1.1 00-01-02-03-04-05 static&这时，类型变为静态（static），就不会再受攻击影响了。&但是，需要说明的是，手工绑定在计算机关机重启后就会失效，需要再次重新绑定，不过也可以写个批处理，拖到启动中。脚本如下：&&@echo offarp -s192.168.1.1 00-01-02-03-04-05end&&保存为*.bat的文件。放在开机启动中。&要彻底根除攻击，只有找出网段内被病毒感染的计算机，把病毒杀掉，才算是真正解决问题
聚生网管官网,免费局域网管理软件,限制局域网下载速度,限制修改IP,网管维护工具,禁止下载
大势至公司网络管理产品：
1、，是国内最早、最专业的局域网监控软件、上网行为控制系统，可以有效管理公司局域网电脑上网行为，有效屏蔽迅雷下载、禁止迅雷上传，禁止pps上传、禁止看qq直播、禁止局域网玩游戏、禁止登录QQ游戏大厅、禁止员工炒股、限制上班看电影、进行局域网带宽限制、控制打开网页、禁止局域网网购、监控邮件内容、监控邮件附件、记录论坛发帖留言、防ARP攻击、查找局域网手机、禁止手机接入公司局域网、禁止私自安装无线路由器上网、防止无线局域网蹭网等;
2、，专业的上网行为管理服务器、比上网行为管理路由器、上网管理路由器更强大，可以有效禁止电脑游戏、屏蔽网页游戏、限制局域网看视频、禁止别人看视频、限制P2P软件使用、禁止快车下载、局域网控制迅雷下载、限制股票软件、禁止上班炒股行为、进行局域网流量监控、限制带宽软件，禁止员工网络购物、屏蔽购物网站、屏蔽网页视频网站，并且独创了&创新直连&监控模式，国内最快捷、最简单、最安全控制多网段电脑上网行为，监控效率和综合性能最强的硬件网络管理系统、上网行为管理系统。
3、，一款强大的USB端口控制系统，有效禁用USB端口使用、屏蔽U口、禁止电脑使用U盘、屏蔽优盘使用、禁用优盘，禁止移动硬盘使用、禁止手机存储卡使用，可以有效地屏蔽USB存储设备而不影响USB鼠标键盘和非USB设备的使用；同时，还可以禁止修改注册表、禁止修改组策略、禁止修改msconfig启动项、禁止修改计算机管理、禁止F8键进入安全模式、禁止U盘启动电脑、禁止光驱启动电脑；此外，还可以只允许电脑访问特定网站，只让打开特定程序、只让运行特定软件或者禁止运行某些程序、禁止访问某些网站等；
4、，是一款强大的共享文件服务器监控软件、服务器文件管理系统、服务器文件访问控制软件，最有效监控服务器共享文件的访问，详细记录修改服务器共享文件、删除服务器共享文件、复制服务器共享文件、剪切服务器共享文件或者打印服务器共享文件的行为，以及重命名共享文件等；同时，记录访问共享文件者的IP地址、MAC地址、主机名和域账号等信息，从而可以为网管员提供详细的服务器文件访问日志，便于加强服务器共享文件管理，保护单位无形资产和商业机密等；
5、，是一款专业的公司局域网接入管理软件、内网接入控制系统，可以有效防止非公司电脑访问公司局域网、禁止外部电脑访问公司局域网、限制外来电脑接入公司局域网、禁止手机接入公司局域网、禁止手机无线上网、限制平板电脑无线上网，检测局域网处于混杂模式的网卡，防止局域网抓包、防止局域网嗅探；同时，还可以查找局域网无线路由器，禁止无线路由器接入公司局域网，禁止无线路由器上网，禁止局域网启用代理，限制员工代理上网，禁止电脑安装代理软件为其他电脑提供代理上网服务等；
6、，是一款专门由于管理共享文件访问、进行共享文件访问权限设置的软件，通过在开启共享文件的电脑或服务器安装以后就可以为本地账号分配共享文件的不同访问权限，这样局域网用户访问共享文件的时候就只能&读取&共享文件而禁止拷贝共享文件的内容、禁止将共享文件另存为本地磁盘、禁止打印共享文件；同时，对共享文件加密后用户访问共享文件的时候将被限定在一个特定的共享文件列表框内访问操作，可以禁止拖拽共享文件、禁止拷贝共享文件、禁止剪切共享文件到访问者自己的电脑，从而也可以防止U盘复制共享文件、防止通过网盘上传共享文件、防止通过FTP上传共享文件以及防止通过QQ将共享文件发送到外面去，从而全面保护了共享文件的安全。
7、&，是一款专门监控FTP服务器文件访问操作日志的软件，可以详细记录局域网用户对FTP服务器文件的上传、下载、修改、删除、重命名等操作日志，可以记录访问者的FTP账户、IP地址、MAC地址和主机名等信息，并可以将FTP服务器文件操作日志导出为Excel格式，从而便于网管员实时审计局域网用户对FTP服务器文件上传和FTP服务器下载文件的情况，便于更好地保护FTP服务器的文件安全，保护单位无形资产和商业机密。
公司简介：大势至公司是国内最早的企业网管软件提供商，可以为企事业单位提供整体的企业网络管理方案和企业网络管理平台，通过全系列的公司监控员工电脑软件教你如何控制员工上网、如何控制局域网内电脑上网以及如何保护电脑文件安全等。公司核心产品“聚生网管系统”是一款专门的公司网管必备软件、查看网络流量软件、网络流量监控软件和办公室电脑监控软件；“网络特警”则是一款专门的网络流量监控设备、上网行为管理服务器、网络行为管理设备，可以实现更为强大的局域网网络行为管理；大势至USB接口禁用软件则是一款专门的数据防泄密产品、屏蔽U盘软件、电脑USB端口禁用软件，可以严防通过一切途径泄露电脑文件，保护单位无形资产和商业机密安全；大势至共享文件夹管理软件则是一款专门的共享文件权限设置软件和共享文件设置密码软件，全面保护共享文件安全；大势至共享文件审计系统则是一款专门的服务器共享文件夹设置软件、服务器共享文件访问日志记录软件，可以详细记录局域网用户访问共享文件的行为，更好地管理共享文件的安全；大势至局域网网络准入控制系统则是一款专门防止未经授权的电脑接入公司局域网的行为，防止外来电脑访问局域网共享文件、防止蹭网以及绑定IP和MAC地址，保护网络安全；大势至FTP服务器日志记录软件则是一款专门记录局域网用户访问FTP服务器日志的软件，可以有效保护FTP服务器文件安全。
售前咨询：-04
电话：010-
电话：010-
电话：010-
电话：010-
电话：010-查看:7693|回复：6
一条专线分配的IP如下：
IP地址：192.192.199.234
子网掩码：255.255.255.252
网关：192.192.196.1
哪位大神给讲下，IP地址和网关为什么不在一个网段
这个地址设在一台电脑上是可以访问远程服务器的。
如果把这个地址设在路由器上，让内网电脑都能访问远程服务器应该怎么设呢？（远程服务器地址是10.8.90.204）
既然是专线分配的IP。那么专线里的网络设备为你正确转数据的咯
至于你弄路由器里，你弄过没？没弄过的话就去弄咯。
还有你说：这个地址设在路由器上，让内网电脑都能访问远程服务器
指的是内网电脑单纯的、单独接这路由器访问远程服务器呢？还是指同时要保持其他网络需求？
我估计的话，你其他不变，就将IP地址：192.192.199.234&&改为192.192.196.234一样可以连网。
本帖最后由 天月来了 于
09:18 编辑
家用小路由器的WAN口是固化NAT转换的，单向，只向上转，无法将WAN口来的访问转向LAN口下面。不支持WAN口前面的任何静态路由跳转。
建议拿胶布封闭小路由器WAN口，网线改插小路由器LAN口，关闭小路由器的DHCP服务，当交换机用。坚决使用WAN口的话，就只能那样了。
关于DMZ打印机，请看这里“”6楼看看。
路由器上的ip掩码可能是16位的，这样你的pc只是在其中一个子网上，和网关还是同一个网段。
中级工程师
PC上别说IP和网关不在同一网段了，就是你不写网关也能通信，不信你试试！
初级工程师
点对点通信
引用:原帖由 天月来了 于
09:15 发表
既然是专线分配的IP。那么专线里的网络设备为你正确转数据的咯
至于你弄路由器里，你弄过没？没弄过的话就去弄咯。
还有你说：这个地址设在路由器上，让内网电脑都能访问远程服务器
指的是内网电脑单纯的、单独接这路由 ... 您的这段话对我的帮助太大了，非常感谢。
“家用小路由器的WAN口是固化NAT转换的，单向，只向上转，无法将WAN口来的访问转向LAN口下面。不支持WAN口前面的任何静态路由跳转。”
前几天忽然想到跨网段互访，网上查了不少帖子，什么VPN、net转换乱七八糟什么都有，还有说不可能实现的，我不这么认为，用思科模拟器虚拟配置了一下静态路由简单解决互访问题，可是实际在公司操作之后怎么也不行，原来关键点在这里。非常感想！！！
论坛首席搬砖工程师
引用:原帖由
15:13 发表
您的这段话对我的帮助太大了，非常感谢。
“家用小路由器的WAN口是固化NAT转换的，单向，只向上转，无法将WAN口来的访问转向LAN口下面。不支持WAN口前面的任何静态路由跳转。”
前几天忽然想到跨网段互访，网上查了不少帖子，什 ... 你模拟器上的都是企业级路由器，只要路由可达即可，但是家用的不行。。。。就像天月说的一样
有问题请表述清楚，网络问题请带拓扑图请问如何通过ip地址的修改或网关.可以不用通过学校的校园网的限制上网呢?跪求!_百度知道
请问如何通过ip地址的修改或网关.可以不用通过学校的校园网的限制上网呢?跪求!
就可以不用通过学校的校园网的限制上网呢?跪求!.我同学他修改了ip就可以上网了?.学校会弄一个网页要你的帐户和密码才能上网的! 就是你要上网请问如何通过ip地址的修改或网关.可他旧不告诉我们 请问那位高手赐教啊
提问者采纳
修改IP就能 本人暂时没发现 一般修改只能改内网 但改内网就不能上网捏 你还是问问他本人吧 要不你把他QQ发过来 我到想认识下 还有你们学校用的是什么计费系统 或别的什么局域网限制的软件 你看好后联系 倒想研究下
另出售美萍计费系统破解软件 最新10.7都能破 要的联谊上面QQ
其他类似问题
为您推荐：
ip地址的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁查看:11207|回复：29
中级工程师
公司网络环境：
& &电信5M光纤接入，廉价路由（网关+防火墙）居易2910c，后面就是D-LINK交换机，再后面就是各个部门交换机（都是垃圾的8口），再再后面就是客户端PC了。
&&域环境，使用的IP地址是192.168.1.x/24，使用的是动态IP，上网用户是IP+mac地址绑定。
&&下面的电脑安装虚拟机后，更改可以上网人员的MAC，他就可以自己上网了。
&&不知道各位是怎么处理的。有什么高招。。
日，补充和汇总。
在这里我要补充一点。。很多都说过。在交换机上做IP-MAC地址绑定。其实这也是很好的方法。可是目前我用交换机是不支持绑定的。
还有个方法就是在现在的基础上做口令认证或者是证书认证。。。
我有用ISA2006去替换居易2910c路由器，可是就是配置连接不上vpn，气的晕晕的。我司在江苏的昆山有个分公司，（那边是没有网络管理人员的）没有办法才又用上居易2910c路由器。所以就弄成现在这个局面。
本帖最后由 小天堂网络 于
16:19 编辑
www.zhoudang.tk周党社区
不懂，来学习下！！
中级工程师
不是吧。没有人遇到这样的问题。。
不知道向这个问题是不是用WLAN可以解决。。。应该不可以吧。
www.zhoudang.tk周党社区
我们公司全用的静态IP，需要上网的必须找网管科开通权限 目前没发现私自开通上网的。。。。
中级工程师
感谢你。。。
关于贵公司都使用的静态地址，想和你探讨两个问题，。
1、那么有很多客户来了，别人次次都过来找你开通网络吗？
2、在网络知道上网人员的MAC地址和IP地址是很容易的事情，如果他自己更改了有上网人员的MAC\IP地址。你们采取什么方法禁止。
www.zhoudang.tk周党社区
用ISA做用户认证的上网方式
建议先学会ISA怎么用，。
使命的召唤-全能IT艺术家 ...
引用:原帖由 小天堂网络 于
11:40 发表
感谢你。。。
关于贵公司都使用的静态地址，想和你探讨两个问题，。
1、那么有很多客户来了，别人次次都过来找你开通网络吗？
2、在网络知道上网人员的MAC地址和IP地址是很容易的事情，如果他自己更改了有上网人员的MAC\IP地 ... 这是IP管理的问题。上网人员可以固定吧，那么不要预留IP，或者只预留几个IP。至于预留IP的地址，你这个可以不告诉别人吧
一剑舞动惊四方，IT本是我所长 (R)丁胖胖
现在越来越牛了，以前是直接在自己的计算机上改ip和mac，后来使用域环境，不让动ip设置了，现在居然想出来使用虚拟机了，真是道高一尺魔高一丈啊，个人认为最好是在网关上做认证，或是在交换机上做基于mac的vlan，这样会避免一些，但都需要设备支持。防守的一方总是被动的，最好和行政沟通一下，很多的事情不是利用技术能解决的。抓出来，有证据，由行政来处理，或是上报给相关的领导，让他们自己来确定怎么处理。抓一个，可以安静一段时间。呵呵
中级工程师
引用:原帖由 mzs0372 于
11:46 发表
用ISA做用户认证的上网方式
建议先学会ISA怎么用，。 哥们我会用ISA，因为分公司那边没有专业的网络管理人员。那边就使用不了ISA。
我们用使用VPN。不知道为什么。我使用ISA2006和居易路由器连接VPN就是连接不上。把我给气晕。。。
现在就弄成这样的问题了。
www.zhoudang.tk周党社区
&&这个上面说的 或许对你有些帮助
高级工程师
全国政协主席
域内普通用户能自行安装软件吗？要想杜绝这种事情的发生域+ISA+行政手段，绝对没有一个人敢上班时间，在没经过批准的条件下上网
如果用静态ip就好办了啊，换台可管理交换机，在端口下作ip+mac绑定，在那个端口下就只有绑定了的ip跟mac才能上网了。
中级工程师
引用:原帖由 阳光男孩happly 于
14:59 发表
如果用静态ip就好办了啊，换台可管理交换机，在端口下作ip+mac绑定，在那个端口下就只有绑定了的ip跟mac才能上网了。 这个方法确实是好办法，可是和客户端PC连接的交换机是最普通的8口小型交换机。后面接的才是可以划分VLAN的交换机，但是不支持绑定IP和MAC地址。
请问使用VLAN可以解决这个问题吗？
本帖最后由 小天堂网络 于
15:28 编辑
www.zhoudang.tk周党社区
看你们老板舍不舍得花钱了，ISA我不太会用，但是三层交换(２W～３W)或路由器(2W左右的)都差不多可以解决你的问题了．只想控制上网，那就买硬件网关，也有监控软件，但价格也不便宜．想控制上网和网络管理最好的还是路由器和交换机，IP，MAC，端口都可以绑起来．动态静态想咋整咋整　．．．．
不是可以设指定MAC地址上网的吗，难道他们还知道哪些MAC地址能上网？
要是这样的话，我还懒得用虚拟机，直接把本地的用户密码破了改IP MAC上网还方便点。。。。
中级工程师
引用:原帖由 g 于
17:20 发表
不是可以设指定MAC地址上网的吗，难道他们还知道哪些MAC地址能上网？
要是这样的话，我还懒得用虚拟机，直接把本地的用户密码破了改IP MAC上网还方便点。。。。 ... 哥们想知道那个MAC能够上网还不是已经很容易的事情呀。用个软件在网络一扫描就知道了。
www.zhoudang.tk周党社区
提示: 作者被禁止或删除 内容自动屏蔽
中级工程师
这个方法不错，学习了
中级工程师
你们公司域用户的权限也忒大了吧
还能自己装软件？
助理工程师
这样都行 稀罕啊 得试试电脑双网卡，IP 网关 DNS 都不一样 ，怎么设置为不启用或者禁用网卡使内外网都能同时上网，不冲突_百度知道
电脑双网卡，IP 网关 DNS 都不一样 ，怎么设置为不启用或者禁用网卡使内外网都能同时上网，不冲突
168.54。IP是133.255.168.1
外网 IP192.255.4
掩吗255.124
网关是133.54我是当地电信做代办的营业厅.6
掩码255.1，一台电脑XP系统.255.1
外网是用猫ADSL 用了路由器的
内网也是用了猫但是是固定的IP
刷了路由器的.168，不用那么麻烦的去启用和禁用网卡.255，内网是IP 192.0.
掩码是255.156
请问电脑高手们怎样才能使内外网同时上.0.1.0
网关192.42.0
网关192.255.42
提问者采纳
DNS可以自动,选择内网的网卡映射：在第一个网卡的属性里有个连接共享的.168.1.168，不要设置网关（有了网关，就变成网桥）,192.168，主DNS取当地电信的，备用DNS取192.0
网关.255:192.1
DNS.168.第四内外网同时上打开路由主线插hub上[开始]--[设置]--[网络和拨号连接]，共享到第二张网卡上还可以通过路由的vin.255.0，也可以设置为当地电信的，DNS与网卡2#相同.0.2-192.0：IP 192.168.168,在宽带连接图标点右键共享:设置需要上网的电脑IP .1、设置你的内外网IP:共享你的PPPOE拨号连接.0，IP应该取192:自动获取第三.255.0,备用的输入网关地址关键点.168.255 子网。第二，右击代表连接ADSL的网卡.1.0。右击连接客户机的网卡.168:在宽带连接里面找出来填进去，网关192.0
外网，内网.0.0.255.2:255.1
子网 255。客户机IP取192，IP应该取自动
其他类似问题
为您推荐：
双网卡的相关知识
其他1条回答
装WIN7，自动识别。
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁}