ARP攻擊與故障排除知識

ARP攻擊與故障排除知識ARP透視——出現(xiàn)ARP欺騙攻擊時的現(xiàn)象1、網(wǎng)上銀行、游戲及QQ賬號的頻繁喪失

一些人為了獲取非法利益，利用ARP欺騙程序在網(wǎng)內(nèi)進展非法活動，此類程序的主要目的在于破解賬號登陸時的加密解密算法，通過截取局域網(wǎng)中的數(shù)

據(jù)包，然后以分析數(shù)據(jù)通訊協(xié)議的方法截獲用戶的信息。運行這類木馬病毒，就可以獲得整個局域網(wǎng)中上網(wǎng)用戶賬號的詳細信息并盜取。

2、網(wǎng)速時快時慢，極其不穩(wěn)定，但單機進展光纖數(shù)據(jù)測試時一切正常

當(dāng)局域內(nèi)的某臺計算機被ARP的欺騙程序非法侵入后，它就會持續(xù)地向網(wǎng)內(nèi)所有的計算機及網(wǎng)絡(luò)設(shè)備發(fā)送大量的非法ARP欺騙數(shù)據(jù)包，阻塞網(wǎng)絡(luò)通道，

造成網(wǎng)絡(luò)設(shè)備的承載過重，導(dǎo)致網(wǎng)絡(luò)的通訊質(zhì)量不穩(wěn)定。

3、局域網(wǎng)內(nèi)頻繁性區(qū)域或整體掉線，重啟計算機或網(wǎng)絡(luò)設(shè)備后恢復(fù)正常

當(dāng)帶有ARP欺騙程序的計算機在網(wǎng)內(nèi)進展通訊時，就會導(dǎo)致頻繁掉線，出現(xiàn)此類問題后重啟計算機或禁用網(wǎng)卡會暫時解決問題，但掉線情況還會發(fā)生。發(fā)貼者dengguo時間：下午6:390評論標(biāo)簽：ARP欺騙,ARP欺騙攻擊ARP透視——傳統(tǒng)的幾種解決ARP問題的方式方案一：

過濾局域網(wǎng)的IP，關(guān)閉高危險的端口，關(guān)閉共享。晉級系統(tǒng)補丁，晉級殺毒軟件。

安裝防火墻，設(shè)置防ARP的選項。

微軟ISA防火墻功能強大，可是很占系統(tǒng)資源。

配置效勞器是Linux的強項，當(dāng)然能阻止局部ARP危害網(wǎng)絡(luò)。但是從根本上并沒有解決掉ARP的問題，長時間超負荷運轉(zhuǎn)對硬件的損害也顯而易見。

方案二：

發(fā)現(xiàn)亂發(fā)ARP包的主機后，即通過路由器、硬件防火墻等設(shè)備在網(wǎng)關(guān)上阻止與其它主機通信。迅速找到主機，斷開其網(wǎng)絡(luò)連接。檢查機器是因為病毒木馬

發(fā)送ARP包破壞網(wǎng)絡(luò)環(huán)境，還是人為的使用ARP的網(wǎng)絡(luò)管理軟件。既然是使用的網(wǎng)絡(luò)管理軟件，先得詢問使用者是否有管理網(wǎng)絡(luò)的特權(quán)。既然沒有特權(quán)又為

何管理、控制網(wǎng)絡(luò)呢？

方案三：

通過高檔路由器進展雙向綁定，即從路由器方面對附屬客戶機IP-MAC地址進展綁定，同時從客戶機方面對路由器進展IP-MAC地址綁定，雙向綁定讓IP不容

易被欺騙。這種方案的施行比擬煩瑣，在客戶機器或路由器更改硬件時，需要對全網(wǎng)進展重新的MAC地址掃描并重新綁定，工作量宏大。所獲得的效果，僅

僅可以防御住一些低端的ARP欺騙，對于攻擊型ARP軟件那么無任何作用。

方案四：

使用ARP防護軟件，針對ARP欺騙攻擊的軟件在網(wǎng)絡(luò)中很多，但詳細的效果卻一直不理想。多數(shù)軟件單單針對ARP欺騙攻擊的某一方面特性進展制作抵御軟件

的原理，并沒有從根本上去考慮ARP欺騙攻擊的產(chǎn)生與傳播方式。所以，這些軟件在ARP防范領(lǐng)域影響甚微。

針對上述幾種常見的傳統(tǒng)防范ARP的方法，都有各自的優(yōu)點，但是也都曝漏了其局限性，并不都可以完全解決ARP欺騙攻擊。網(wǎng)絡(luò)中多臺主機同時高頻率的

發(fā)送ARP播送，會很輕易的造成網(wǎng)絡(luò)癱瘓、路由器死機，使其它主機響應(yīng)緩慢，甚至造成系統(tǒng)停頓響應(yīng)〔假死〕。假如是ARP木馬，還會進展傳播，同時感

染其它網(wǎng)絡(luò)中的其它主機，產(chǎn)生眾多主機同時中毒的現(xiàn)象。發(fā)貼者dengguo時間：下午6:390評論標(biāo)簽：ARP欺騙,防范ARP攻擊ARP透視——ARP欺騙，騙的是什么?主持人:大家好，今天的主題是?ARP欺騙，騙的是什么??很快樂邀請到我們的嘉賓資深網(wǎng)絡(luò)技術(shù)專家張先生，為我們解答問題。

張:謝謝主持人。

主持人:他的title雖然是營銷總監(jiān)，但是也有深沉的功底，相信他今天給我們帶來精采的解答。

前一段時間，有一件事情被炒得非常熾熱，就是MSN被監(jiān)聽。實際上媒體也對MSN的監(jiān)聽軟件做了報告，實際上它并不是非常容易被使用。但是網(wǎng)上后來又

出了叫停類的文章，是說MSNMessenger是配合ARP欺騙軟件，就起到了它本來應(yīng)該有的作用。我們想問一下張先生，ARP欺騙到底是什么樣的技術(shù)?

張:ARP欺騙我們必須從它的名詞來講。ARP欺騙它是一個地址解讀的協(xié)議。地址解讀協(xié)議是什么意思呢?在我們互聯(lián)網(wǎng)上面，最常用的協(xié)議是TCPIP，就是傳

輸?shù)膮f(xié)議。IP就是所謂定址的協(xié)議。好比我們用哪一棟大樓，在什么地方，在網(wǎng)絡(luò)上就是使用IP地址來定的。但是在實體上，我們大家都知道，在每一臺

電腦上都有實體的地址。IP地址是網(wǎng)絡(luò)的一個地址。ARP就是讓這兩個地址跟IP地址產(chǎn)生關(guān)聯(lián)的一個協(xié)議。也就是說，我怎么知道哪一臺IP在什么位置呢?

就是透過ARP去先地方他的IP地方在哪里，再把這個偵發(fā)過去。像MSN是怎么欺騙的呢?在局域網(wǎng)里面，我這個偵或者這個包本來要發(fā)到某一個IP，這個IP

對的機器是A機器。它騙你這個IP對應(yīng)的是第一臺機器。你就以為這個包要發(fā)到另外一臺機器去。這就是所謂ARP欺騙的根本想法和思維。

主持人:ARP欺騙對于我們局域網(wǎng)的一些應(yīng)用看來是很危險的。

張:我從各地，從東莞，溫州、寧波，在中國，普遍發(fā)現(xiàn)ARP欺騙影響，在早期是網(wǎng)吧。它就是讓這個網(wǎng)吧掉線。其實我們早期發(fā)現(xiàn)的時候，剛剛主持人講

的一些應(yīng)用就是所謂的MSN監(jiān)聽。在所謂的MSN，并沒有做特殊的加密。有些人就想了一些機制去監(jiān)聽。其實ARP最早的應(yīng)用就是在網(wǎng)絡(luò)上盜取密碼的。就是

有一些在網(wǎng)吧里的用戶，用ARP欺騙。另外一個用戶在輸入用戶名和密碼的時候，就欺騙他的這臺機器說，我的機器是路由器，他會把用戶名的密碼送到我

這臺機器里面。他就可以把這個用戶名和密碼解讀出來。等用戶沒有上網(wǎng)的時候，他就可以把這個寶盜走。后來漸漸我們發(fā)現(xiàn)，很多用戶用這個功能，在

這個上面做了很多的隱身，變得一發(fā)不可拾掇。本來我大概可以用三秒、五秒，后來就產(chǎn)生了很多隱身和變形，造成網(wǎng)斷線。因為應(yīng)用的軟件失控了，他

就可以在某一臺機器上不斷做這個欺騙的動作。

主持人:ARP欺騙軟件運行同時，為什么會造成頻繁的斷線呢?

張:在我們以局域網(wǎng)運作來講，我們有兩種方式的傳輸。一種對外傳，就是我的用戶有一個需求，他透過路由器對外界傳送。這個時候，這是一種。另外一

種是回傳。當(dāng)有用戶在網(wǎng)絡(luò)上假裝他自己是路由器的時候，用戶往外傳的包或者偵就會送到假的用戶去。這個軟件就會有一來、一回持續(xù)的運作。當(dāng)你今

天碰到ARP欺騙的時候，你就會發(fā)現(xiàn)你送去給他，他那邊沒有回應(yīng)。用戶就覺得是掉線或者斷線。嚴(yán)重的時候，就會把其他的應(yīng)用，也沒有方法應(yīng)用了。所

以就感覺到大幅度掉線或者斷線的功能。

主持人:實際上就是造成斷線的假象。

張:實際上也真的斷線了。就像我今天跟你在講話，但是你聽不到我講話的聲音。我的效勞器也不知道我在跟他講什么話。另外一個人聽到話，只是把它竊

取下來，記錄下來，并沒有給我回應(yīng)。就是這樣的現(xiàn)象。

主持人:剛剛也說老了ARP欺騙最早可以用于盜取用戶的一些密碼、一些敏感信息。如今我們知道，所有未加密的傳送的軟件，都應(yīng)用配合一些應(yīng)用工具監(jiān)

聽的。能不能再給我們介紹一下，配合ARP欺騙使用，還有什么所謂的黑客行為呢?

張:盜寶是最主要的，另外就是監(jiān)聽。當(dāng)ARP欺騙，可能配合其他的一些軟件功能這樣子的。我們發(fā)現(xiàn)，在局域網(wǎng)里面，想盜取一些ARP，或者無線網(wǎng)絡(luò)里面

，根本上都是用局域網(wǎng)的特性叫播送。播送，像我們剛剛提到的ARP欺騙為什么可以成型?在每一個計算機里面，都存了一個IP地址的對應(yīng)表。但是每臺機

器的內(nèi)存有限，當(dāng)這個表不夠的時候，會傳一個播送信息。比方今天我要送給一個IP地址，我就問這個IP在哪里?問出來，所有人都會承受。假設(shè)在標(biāo)準(zhǔn)正

常的運作里面，大家知道我不是這個，我不用回應(yīng)。但是路由器知道，這個東西不是這個網(wǎng)域里面，不用送。假如是假裝這個IP地址的話，你就會產(chǎn)生一

種誤解。其實這種比擬重大的威脅，我們看到無線這邊，有人利用這個特性，做一些相關(guān)的動作。

主持人:也就是說，在無線或者有限的局域網(wǎng)里面，你所做的一些行為，都可以用黑客軟件配合ARP監(jiān)控軟件進展欺騙，截取。

張:有一些比擬低階段的應(yīng)用就是所謂的監(jiān)聽。假如在對于這些軟件做進一步的分析，比方我這個軟件送的時候是什么需求，回來的時候是什么需求。他可

以用另外一個目的把你所有的動作都攔截回去。假如今天對方知道，像一個交易，他知道第一筆是什么，第二筆是什么，他把所有的資料都送過去。他也

可以把你的訊息攔截走，再轉(zhuǎn)送到效勞器，再轉(zhuǎn)送回來。這樣的隱身就變成了蠻復(fù)雜的狀況在應(yīng)用。這也是各地對ARP效果影響越來越大的原因。

主持人:這個是一般用戶來說，也是蠻頭疼的問題。

張:用戶因為不小心，用了一些軟件，或者在PC里面點了一些MSN的連接等等，把這個程序啟動了，他會發(fā)現(xiàn)自己漸漸受到了影響。像今天早上我們的技術(shù)

支持跟我們說，湖北一些網(wǎng)吧，幾乎沒有人上網(wǎng)了。因為上不了網(wǎng)。

主持人:像有這種加密的軟件傳送，信息也是能被黑客截取。只是截取后看不到內(nèi)容?

張:是的。

主持人:前一陣子出有一個msnchatsniffer這樣的軟件，發(fā)現(xiàn)每一臺機器都受到了掃描攻擊。后來我們分析，是中了病毒還是木馬這類東西呢?

張:其實在早期里面，ARP的很多功能，像陀螺儀木馬這樣的功能期在一起。在早期的ARP，只是黑客用來盜取密碼，用了三、五秒鐘。當(dāng)你輸入用戶名和密

碼的時候，另外一個用戶發(fā)現(xiàn)沒有回應(yīng)，他會再輸一次。但是因為這些ARP的功能跟其他的木馬或者其他的城市，或者網(wǎng)絡(luò)上的連接、病毒結(jié)合在一起，所

以造成很大規(guī)模的影響，斷線或者掉線。像你剛剛提到的狀況，這個用戶可能不知道自己在做這樣的事情，這是典型的病毒，這是病毒跟ARP結(jié)合的典型現(xiàn)

象。

主持人:他能通過ARP欺騙的病毒做什么呢?

張:ARP欺騙的病毒做到如今，對于制作的人或者分布的人沒有什么太大的作用，純粹是破壞的工具。因為ARP可以搜集網(wǎng)絡(luò)上播送的包，假如進一步的應(yīng)用

，肯定會有很多的黑客在考慮這個問題。因為網(wǎng)絡(luò)上的特性屬于來回，屬于協(xié)議這樣的狀況，假如你好好利用，好的方向能保持網(wǎng)絡(luò)順暢，不好的方向可

以攔截任何他需要的資訊。

主持人:從今年開場，在病毒這邊應(yīng)該是說黑客已經(jīng)從最早的表現(xiàn)欲，已經(jīng)轉(zhuǎn)變成有目的性的盈利的目的，也就是說，ARP欺騙很可能被成為黑客盈利的手

段。

張:你怎么樣發(fā)生ARP欺騙的狀況，我們必須從原理開場講。最簡單的就是叫做ARP跟IP地址的對照表。我們有一些文章描繪到，你可以對這個網(wǎng)絡(luò)進展掃描

。像這個ARP的對照表，可以對這個網(wǎng)絡(luò)進展掃描。當(dāng)你發(fā)現(xiàn)某一個對應(yīng)IP地址的話，正常是一對一的關(guān)系，假如發(fā)現(xiàn)一對多的方式那就是異常的情況。回

到我們剛剛講的，預(yù)防ARP。我們必須建立地址跟IP的固定關(guān)系。因為它會欺騙你。我們?nèi)缃袼^綁定的功能，我們剛剛講了有兩個方向做綁定，一個是路

由器的局部，你必須把內(nèi)部的所有的機器，IP地址做一個綁定。我們想了一些功能，可以讓它作后面做激活的動作把它綁定。

很多用戶發(fā)現(xiàn)我只要在路由器這邊做好了就行了，在終端這邊就不用做了。但是這樣的話，會發(fā)生局部的現(xiàn)象。所以在用戶這邊有所謂的ARP—S的功能，

你把你的路由器的位置，也做綁定。這樣送給路由器的包就不會被別人攔截去。我們剛剛談到了兩個方向，一個是所謂的路由器端做綁定，就是所有機器

的IP地址。另外是用戶端也要綁定，綁的是路由器的IP，跟路由器的地址。實際上我們最近發(fā)現(xiàn)另外一個現(xiàn)象，就是對于中毒的這臺機器還有另外的處理

方式。中毒的這臺機器，雖然你針對每臺機器綁定，但是這個設(shè)定從開機以后，就失效了。所以我們建議用戶把它寫到啟動的檔案里面。每次開機的時候

激活這個功能。

另外中毒的這臺機器，雖然綁定了，但是它內(nèi)部已經(jīng)有病毒了。雖然綁定了，但是它可以每秒快速寫它的ARP。這時候他對別人沒有方法造成危害。因為別

人已經(jīng)把路由器跟這個機器的位置寫得很確定了。對這臺上網(wǎng)的人還是有很多的困擾。我們這種傳統(tǒng)的綁定功能可以給他快速的寫。寫到一秒兩百次這樣

的速度。我們?nèi)缃窨吹奖葦M好的做法，就是把藏在里面的病毒去除掉，或者整個機器都要清理一下病毒。這是我們?nèi)缃癖葦M完好的處理方式。

主持人:真的是很精彩的解答。假如我只對我個人的PC機做了綁定，路由那端沒有做綁定，還會不會受到ARP欺騙?

張:在個人這邊做綁定，你可以確保你往路由送的包，確定會送到路由這邊去。但是路由送回來的時候，他可以在半路攔截。告訴你路由器不要送給它，送

給我吧。就把這個包攔截過去了。所以我們剛剛談到要雙向的包要嚴(yán)密。如今有些網(wǎng)吧假如做單方面的綁定是不行的。

主持人:很多人認(rèn)為我一邊綁定就可以了，實際上還是需要雙方相的綁定。河北前一段時間某公司，采用了貴公司的產(chǎn)品，和網(wǎng)吧結(jié)合出現(xiàn)了一些問題。請

問有一些什么詳細的問題嗎?

張:在早期的路由器的版本里面，也許沒有這樣的綁定的功能。所以它就會產(chǎn)生掉線或者不穩(wěn)定的狀況。

主持人:看來防范ARP還不是說用戶個人的行為可以解決的，還需要網(wǎng)管和用戶一起來解決。

張:這個對網(wǎng)管而言是比擬全面、頭疼的工作。其實對于網(wǎng)管而言比擬復(fù)雜的地方在這邊，就是你假如一次把所有局域網(wǎng)上的IP地址找出來的話，你必需要

借助一些工具。不是現(xiàn)成的機器就可以做的。必須在網(wǎng)絡(luò)上下載。就是msnchatsniffer，或者其他的工具。還有一些行動的工作者，比方筆記本電腦來

了，你沒有設(shè)在里面，這臺就發(fā)生了這樣的問題。

主持人:不光是技術(shù)的問題，還牽涉到平安管理的問題。所以說ARP欺騙可以說是無法徹底解決的問題?？梢赃@么說嗎?

張:在網(wǎng)絡(luò)上有人提到，這個是在協(xié)議上的弱點。但是我想說從技術(shù)的觀點來講，實際上有不同的方案可以解決。在一些做路由器產(chǎn)品或者相關(guān)軟件的，或

者做防毒的，大家都可以針對這個特性。早期大家不是很理解，漸漸大家針對剛剛的特性，就是所有IP地址的綁定，你去給它更好的局限。在早期因為很

開放，所以我在播送。但是因為發(fā)生這樣的問題，所以將來不管在嵌入的時候，或者在網(wǎng)絡(luò)上播送的時候，不同的軟件會做更多的標(biāo)準(zhǔn)，會降低這樣的現(xiàn)

象。

主持人:謝謝關(guān)先生精彩的發(fā)言。我們中場休息一下。我們再搜集一下網(wǎng)友的提問，下半節(jié)請張先生答復(fù)。發(fā)貼者dengguo時間：下午6:390評論標(biāo)簽：ARP欺騙,ARP欺騙攻擊ARP透視——ARP欺騙的危害作為一名網(wǎng)絡(luò)管理員，應(yīng)該明確的知道網(wǎng)絡(luò)中的ARP列表，搜集ARP列表信息?；蛘?，為每臺機器手工綁定IP地址，不允許客戶機隨意更改IP地址，將每

臺機器的IP-->MAC信息保存為文件。

MAC地址：通過一些方法可以使網(wǎng)卡的MAC地址發(fā)生改變。所以不允許修改網(wǎng)卡的MAC地址。

IP地址與主機相對應(yīng)。

xxxx_001為系統(tǒng)保存，通常就是網(wǎng)關(guān)了。IP地址為

例如：xxxx_002這臺主機的IP地址為局域網(wǎng)地址

ARPtable

主機名部門IP地址C地址

xxxx_002－－xx-xx-xx-xx-xx-xx

xxxx_003－－xx-xx-xx-xx-xx-xx

xxxx_004－－xx-xx-xx-xx-xx-xx

xxxx_005－－xx-xx-xx-xx-xx-xx

xxxx_006－－xx-xx-xx-xx-xx-xx

xxxx_007－－xx-xx-xx-xx-xx-xx

xxxx_008－－xx-xx-xx-xx-xx-xx

xxxx_009－－xx-xx-xx-xx-xx-xx

xxxx_011－－xx-xx-xx-xx-xx-xx

xxxx_012－－xx-xx-xx-xx-xx-xx

xxxx_013－－xx-xx-xx-xx-xx-xx

ARP協(xié)議：

####源IP地址-->源MAC地址#####將源IP地址解析為源MAC地址

####目的IP地址-->目的MAC地址####將目的IP地址解析為目的MAC地址

RARP協(xié)議：

####源MAC地址-->源IP地址####將源MAC地址解析為源IP地址

####目的MAC地址-->目的IP地址####將目的MAC地址解析為目的IP地址

ARP攻擊檢測：

#ARP–a

查看本機ARP緩存，正常情況下第一欄打印本機IP地址，第二欄返回當(dāng)前網(wǎng)關(guān)的IP地址和MAC地址。

正常形式：網(wǎng)絡(luò)中只有一個網(wǎng)關(guān)，客戶機ARP緩存只有一條ARP記錄，并且這條記錄是當(dāng)前網(wǎng)關(guān)的IP-->MAC的映射。

混雜形式：當(dāng)ARP緩存中有多條IP-->MAC的記錄，說明當(dāng)前為混雜形式，網(wǎng)的網(wǎng)關(guān)不是唯一的。

排除：在SuSELinux系統(tǒng)中，假如使用ping命令ping網(wǎng)絡(luò)中的另一臺主機，再用ARP-a的命令查看本機ARP緩存會多出一條ARP記錄。這條記錄的源IP

地址就是剛剛ping的那臺主機的IP地址，源MAC地址就是剛剛ping的那臺主機的MAC址址。

獲取網(wǎng)絡(luò)中的ARP信息：使用ping命令ping網(wǎng)絡(luò)中的另一臺主機，然后再使用ARP-a或者是ARP-na的命令可以查看到剛剛ping的那臺網(wǎng)絡(luò)中的主機的IP

和MAC地址的映射關(guān)系。注意，使用此方法獲得的ARP信息不代表網(wǎng)絡(luò)一定為混雜形式。假如網(wǎng)關(guān)路由工作正常，且有合法的公網(wǎng)地址

sled10:~#ARP-na

(41)at00:01:01:02:02:39[ether]oneth0

(50)at00:E0:4C:3A:1D:BC[ether]oneth0

()at00:14:78:A1:7F:78[ether]oneth0

sled10:~#

可以訪問廣域網(wǎng)的情況下：

使用ping命令ping廣域網(wǎng)上的一個域名

＞正常的現(xiàn)象：

PING(58)56(84)bytesofdata.

64bytesfromf1.vip.sp1.yahoo(58):ICMP_seq=1ttl=51time=1183ms

64bytesfromf1.vip.sp1.yahoo(58):ICMP_seq=2ttl=51time=1458ms

64bytesfromf1.vip.sp1.yahoo(58):ICMP_seq=3ttl=51time=1287ms

64bytesfromf1.vip.sp1.yahoo(58):ICMP_seq=4ttl=51time=1185ms

64bytesfromf1.vip.sp1.yahoo(58):ICMP_seq=5ttl=51time=934ms

＞非正常情況：

分析ARP欺騙的原理

PINGqq(4)56(84)bytesofdata.

From41:ICMP_seq=237RedirectHost(Newnexthop:)

64bytesfrom5:ICMP_seq=237ttl=53time=25.6ms

From41:ICMP_seq=238RedirectHost(Newnexthop:)

64bytesfrom5:ICMP_seq=238ttl=53time=25.3ms

From41:ICMP_seq=239RedirectHost(Newnexthop:)

64bytesfrom5:ICMP_seq=239ttl=53time=25.6ms

From41:ICMP_seq=240RedirectHost(Newnexthop:)

64bytesfrom5:ICMP_seq=240ttl=53time=25.8ms

From41:ICMP_seq=241RedirectHost(Newnexthop:)

64bytesfrom5:ICMP_seq=241ttl=53time=26.0ms

From41:ICMP_seq=242RedirectHost(Newnexthop:)

From41:ICMP_seq=240RedirectHost(Newnexthop:)

上面的pingqq后，從局域網(wǎng)的返回一條ICMP包。

＞＞＞

64bytesfrom5:ICMP_seq=239ttl=53time=25.6ms

接著，從廣域網(wǎng)返回一條ICMP包。

注意，正常的的情況下ping廣域網(wǎng)的域名或IP地址應(yīng)該只會收到廣域網(wǎng)地址返回的ICMP包。

同時反覆的高頻率的從局域網(wǎng)的一臺主機返回的ICMP包屬于非正常的情況。

.......................................................................................................

From41:ICMP_seq=240RedirectHost(Newnexthop:)

Redirect:['ri:di'rekt]

a.再直接的

v.重新傳入,重新寄送

英英解釋:

動詞redirect:

.......................................................................................................

注意！！

上面的英文解釋是“再連接的〞，也就是說每次ping廣域網(wǎng)的一個域名都會先收到這個局域網(wǎng)內(nèi)的機器的ICMP包。

這個ICMP包是“再連接的〞，也就是說不是始終連接的。只有當(dāng)有網(wǎng)絡(luò)懇求時才會“再次連接〞，而不需要訪問網(wǎng)絡(luò)時就斷開了連接或者說連接不起作

用。每次訪問網(wǎng)絡(luò)都需要和這臺局域網(wǎng)中的機器連接，每發(fā)送一個ping包到廣域網(wǎng)的一個域名〔主機〕都要通過這臺局域網(wǎng)中的主機，每收到廣域網(wǎng)的一

個域〔地址〕的ICMP包之前都必須通過這臺局域網(wǎng)中的機器。都要通過這臺局域網(wǎng)中的主機。那么這臺主機就相當(dāng)于網(wǎng)關(guān)了。但是，實際的網(wǎng)關(guān)并不是這

臺主機。

正常工作的網(wǎng)關(guān)，不會出出如此高頻率的“重新傳入〞、“再次連接〞。

合理的解釋：本機的ARP緩存正在被高頻率的刷新。

造本錢機的ARP緩存高頻率刷新的原因就在于局域網(wǎng)中的這臺主機使用了不斷的高頻率的向局域網(wǎng)中發(fā)送ARP包，不斷的高頻率的向網(wǎng)絡(luò)中的機器告白：“

大家好！我就是網(wǎng)關(guān)，你們跟著我就可以有吃有喝了。〞發(fā)貼者dengguo時間：下午6:380評論標(biāo)簽：ARP欺騙網(wǎng)吧頻繁掉線〔ARP〕與解決方法如今頻繁掉線的網(wǎng)吧很多.但為何掉線.許多網(wǎng)管朋友.不是很清楚.網(wǎng)吧掉線的原因很多.如今我給大家講一下如今很流行的一種木馬.<傳奇網(wǎng)吧殺手>.根本上東北地區(qū)的網(wǎng)吧都被這一木馬弄的身心疲憊.但是如今有解決的方法了.中病毒特征:網(wǎng)吧不定時的掉線.(重啟路由后正常),網(wǎng)吧局域網(wǎng)內(nèi)有個別機器掉線.

木馬分析:傳奇殺手木馬,是通過ARP欺騙,來或取局域網(wǎng)內(nèi)發(fā)往外網(wǎng)的數(shù)據(jù).從而截獲局域內(nèi)一些網(wǎng)游的用戶名和密碼.木馬解析:中木馬的機器能虛擬出一個路由器的MAC地址和路由器的IP.當(dāng)病毒發(fā)作時,局域網(wǎng)內(nèi)就會多出一個路由器的MAC地址.內(nèi)網(wǎng)在發(fā)往外網(wǎng)的數(shù)據(jù)時,誤認(rèn)為中木馬的機器是路由器,從而把這些數(shù)據(jù)發(fā)給了虛擬的路由器.真正路由器的MAC地址被占用.內(nèi)網(wǎng)的數(shù)據(jù)發(fā)出不去.所以就掉線了.解決方法:守先你下載一個網(wǎng)絡(luò)執(zhí)法官,他可以監(jiān)控局域網(wǎng)內(nèi)所有機器的MAC地址和局域網(wǎng)內(nèi)的IP地址.在設(shè)置網(wǎng)絡(luò)執(zhí)法官時.你必須將網(wǎng)絡(luò)執(zhí)法官的IP段設(shè)置和你內(nèi)網(wǎng)的IP段一樣.比方說:你的內(nèi)網(wǎng)IP是你的設(shè)置時也要設(shè)置------54.設(shè)置完后,你就會看到你的內(nèi)網(wǎng)中的MAC地址和IP地址.從而可以看出哪臺機器中了木馬.(在多出的路由器MAC地址和IP地址和內(nèi)網(wǎng)機器的IP地址,MAC地址一樣的說明中了傳奇網(wǎng)吧殺手)要是不知道路由器的MAC地址,在路由器的設(shè)置界面可以看到.發(fā)現(xiàn)木馬后.你還要下載瑞星2006最新版的殺病毒軟件(3月15日之后的病毒庫).在下載完之后必須在平安形式下查殺(這是瑞星反病毒專家的見意)反復(fù)查殺(一般在四次就可以了)注意查完后殺病毒軟件不要卸載掉.觀查幾天(這是我個人的經(jīng)歷.在卸后第三天病毒還會死灰復(fù)燃,我想可能是注冊表里還有他的隱藏文件.在觀查幾天后正常就可以卸載掉了.注:復(fù)原精靈和冰點對網(wǎng)吧傳奇殺手木馬不起做用.(傳奇殺手木馬不會感染局域網(wǎng).不要用硬盤對克,對克跟本不起任何做用.而且還會感染到母盤上.切記!)最好主機安裝上網(wǎng)絡(luò)執(zhí)法官,這樣可以時時監(jiān)控局域網(wǎng)內(nèi)的動態(tài),發(fā)現(xiàn)木馬后可以及時做出對策)

下面是傳奇網(wǎng)吧殺手木馬的文件:

文件名：文件途徑：病毒名：

ZT.exec:\windows\programFiles\浩方對戰(zhàn)平臺病毒名：

a[1].exe>>b.exec:\documentsandsttings\sicent\localsettings\TemporaryInternetFiles\content.IE5\Q5g5g3uj

病毒名(各位朋友.瑞星殺毒軟件文件過大郵箱發(fā)送不了.請大家下載瑞星個人版殺毒軟件我如今給大家提供注冊碼.希望大家原諒.)

SN=P5V6EH-61FHJK-9G0SS7-C4D200

ID=5B3C5BJ4Y125

〔網(wǎng)絡(luò)執(zhí)法官可以批量MAC捆綁，到執(zhí)法官的局域網(wǎng)MAC界面，全選后單擊右鍵會出現(xiàn)批量MAC捆綁．做完捆綁以后，ARP要是在次攻擊時他會報警，出現(xiàn)的假MAC是為非法．網(wǎng)絡(luò)執(zhí)法官會終止他的一切操作．〕這樣可以解決ARP在次攻擊．發(fā)貼者dengguo時間：下午6:310評論標(biāo)簽：ARP攻擊策略,ARP欺騙ARP攻擊與防護完全手冊最近在論壇上經(jīng)常看到關(guān)于ARP病毒的問題，于是在Google上搜索ARP關(guān)鍵字！結(jié)果出來N多關(guān)于這類問題的討論。想再學(xué)習(xí)ARP下相關(guān)知識，所以對目前網(wǎng)絡(luò)中常見的ARP問題進展了一個總結(jié)。如今將其貼出來，希望和大家一起討論！

一、ARP概念

咱們談ARP之前，還是先要知道ARP的概念和工作原理，理解了原理知識，才能更好去面對和分析處理問題。

1.1ARP概念知識

ARP，全稱AddressResolutionProtocol，中文名為地址解析協(xié)議，它工作在數(shù)據(jù)鏈路層，在本層和硬件接口聯(lián)絡(luò)，同時對上層提供效勞。

IP數(shù)據(jù)包常通過以太網(wǎng)發(fā)送，以太網(wǎng)設(shè)備并不識別32位IP地址，它們是以48位以太網(wǎng)地址傳輸以太網(wǎng)數(shù)據(jù)包。因此，必須把IP目的地址轉(zhuǎn)換成以太網(wǎng)目的地址。在以太網(wǎng)中，一個主機要和另一個主機進展直接通信，必需要知道目的主機的MAC地址。但這個目的MAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。ARP協(xié)議用于將網(wǎng)絡(luò)中的IP地址解析為的硬件地址〔MAC地址〕，以保證通信的順利進展。

1.2ARP工作原理

首先，每臺主機都會在自己的ARP緩沖區(qū)中建立一個ARP列表，以表示IP地址和MAC地址的對應(yīng)關(guān)系。當(dāng)源主機需要將一個數(shù)據(jù)包要發(fā)送到目的主機時，會首先檢查自己ARP列表中是否存在該IP地址對應(yīng)的MAC地址，假如有﹐就直接將數(shù)據(jù)包發(fā)送到這個MAC地址；假如沒有，就向本地網(wǎng)段發(fā)起一個ARP懇求的播送包，查詢此目的主機對應(yīng)的MAC地址。此ARP懇求數(shù)據(jù)包里包括源主機的IP地址、硬件地址、以及目的主機的IP地址。網(wǎng)絡(luò)中所有的主機收到這個ARP懇求后，會檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致。假如不一樣就忽略此數(shù)據(jù)包；假如一樣，該主機首先將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中，假如ARP表中已經(jīng)存在該IP的信息，那么將其覆蓋，然后給源主機發(fā)送一個ARP響應(yīng)數(shù)據(jù)包，告訴對方自己是它需要查找的MAC地址；源主機收到這個ARP響應(yīng)數(shù)據(jù)包后，將得到的目的主機的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息開場數(shù)據(jù)的傳輸。假如源主機一直沒有收到ARP響應(yīng)數(shù)據(jù)包，表示ARP查詢失敗。

例如：

A的地址為：IP：MAC:AA-AA-AA-AA-AA-AA

B的地址為：IP：MAC:BB-BB-BB-BB-BB-BB

根據(jù)上面的所講的原理，我們簡單說明這個過程：A要和B通訊，A就需要知道B的以太網(wǎng)地址，于是A發(fā)送一個ARP懇求播送〔誰是，請告訴〕，當(dāng)B收到該播送，就檢查自己，結(jié)果發(fā)現(xiàn)和自己的一致，然后就向A發(fā)送一個ARP單播應(yīng)答〔在BB-BB-BB-BB-BB-BB〕。

1.3ARP通訊形式

通訊形式〔PatternAnalysis〕：在網(wǎng)絡(luò)分析中，通訊形式的分析是很重要的，不同的協(xié)議和不同的應(yīng)用都會有不同的通訊形式。更有些時候，一樣的協(xié)議在不同的企業(yè)應(yīng)用中也會出現(xiàn)不同的通訊形式。ARP在正常情況下的通訊形式應(yīng)該是：懇求->應(yīng)答->懇求->應(yīng)答，也就是應(yīng)該一問一答。

二、常見ARP攻擊類型

個人認(rèn)為常見的ARP攻擊為兩種類型：ARP掃描和ARP欺騙。

2.1ARP掃描〔ARP懇求風(fēng)暴〕

通訊形式〔可能〕：

懇求->懇求->懇求->懇求->懇求->懇求->應(yīng)答->懇求->懇求->懇求...

描繪：

網(wǎng)絡(luò)中出現(xiàn)大量ARP懇求播送包，幾乎都是對網(wǎng)段內(nèi)的所有主機進展掃描。大量的ARP懇求播送可能會占用網(wǎng)絡(luò)帶寬資源；ARP掃描一般為ARP攻擊的前奏。

出現(xiàn)原因〔可能〕：

病毒程序，偵聽程序，掃描程序。

假如網(wǎng)絡(luò)分析軟件部署正確，可能是我們只鏡像了交換機上的局部端口，所以大量ARP懇求是來自與非鏡像口連接的其它主機發(fā)出的。

假如部署不正確，這些ARP懇求播送包是來自和交換機相連的其它主機。

2.2ARP欺騙

ARP協(xié)議并不只在發(fā)送了ARP懇求才接收ARP應(yīng)答。當(dāng)計算機接收到ARP應(yīng)答數(shù)據(jù)包的時候，就會對本地的ARP緩存進展更新，將應(yīng)答中的IP和MAC地址存儲在ARP緩存中。所以在網(wǎng)絡(luò)中，有人發(fā)送一個自己偽造的ARP應(yīng)答，網(wǎng)絡(luò)可能就會出現(xiàn)問題。這可能就是協(xié)議設(shè)計者當(dāng)初沒考慮到的！

欺騙原理

假設(shè)一個網(wǎng)絡(luò)環(huán)境中，網(wǎng)內(nèi)有三臺主機，分別為主機A、B、C。主機詳細信息如下描繪：

A的地址為：IP：MAC:AA-AA-AA-AA-AA-AA

B的地址為：IP：MAC:BB-BB-BB-BB-BB-BB

C的地址為：IP：MAC:CC-CC-CC-CC-CC-CC

正常情況下A和C之間進展通訊，但是此時B向A發(fā)送一個自己偽造的ARP應(yīng)答，而這個應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是〔C的IP地址〕，MAC地址是BB-BB-BB-BB-BB-BB〔C的MAC地址本來應(yīng)該是CC-CC-CC-CC-CC-CC，這里被偽造了〕。當(dāng)A接收到B偽造的ARP應(yīng)答，就會更新本地的ARP緩存〔A被欺騙了〕，這時B就假裝成C了。同時，B同樣向C發(fā)送一個ARP應(yīng)答，應(yīng)答包中發(fā)送方IP地址四〔A的IP地址〕，MAC地址是BB-BB-BB-BB-BB-BB〔A的MAC地址本來應(yīng)該是AA-AA-AA-AA-AA-AA〕，當(dāng)C收到B偽造的ARP應(yīng)答，也會更新本地ARP緩存〔C也被欺騙了〕，這時B就假裝成了A。這樣主機A和C都被主機B欺騙，A和C之間通訊的數(shù)據(jù)都經(jīng)過了B。主機B完全可以知道他們之間說的什么：〕。這就是典型的ARP欺騙過程。

注意：一般情況下，ARP欺騙的某一方應(yīng)該是網(wǎng)關(guān)。

兩種情況

ARP欺騙存在兩種情況：一種是欺騙主機作為“中間人〞，被欺騙主機的數(shù)據(jù)都經(jīng)過它中轉(zhuǎn)一次，這樣欺騙主機可以竊取到被它欺騙的主機之間的通訊數(shù)據(jù)；另一種讓被欺騙主機直接斷網(wǎng)。

◆第一種：竊取數(shù)據(jù)〔嗅探〕

通訊形式：

應(yīng)答->應(yīng)答->應(yīng)答->應(yīng)答->應(yīng)答->懇求->應(yīng)答->應(yīng)答->懇求->應(yīng)答...

描繪：

這種情況就屬于我們上面所說的典型的ARP欺騙，欺騙主機向被欺騙主機發(fā)送大量偽造的ARP應(yīng)答包進展欺騙，當(dāng)通訊雙方被欺騙成功后，自己作為了一個“中間人“的身份。此時被欺騙的主機雙方還能正常通訊，只不過在通訊過程中被欺騙者“竊聽〞了。

出現(xiàn)原因〔可能〕：

木馬病毒

嗅探

人為欺騙

◆第二種：導(dǎo)致斷網(wǎng)

通訊形式：

應(yīng)答->應(yīng)答->應(yīng)答->應(yīng)答->應(yīng)答->應(yīng)答->懇求…

描繪：

這類情況就是在ARP欺騙過程中，欺騙者只欺騙了其中一方，如B欺騙了A，但是同時B沒有對C進展欺騙，這樣A本質(zhì)上是在和B通訊，所以A就不能和C通訊了，另外一種情況還可能就是欺騙者偽造一個不存在地址進展欺騙。

對于偽造地址進展的欺騙，在排查上比擬有難度，這里最好是借用TAP設(shè)備〔呵呵，這個東東好似有點貴勒〕，分別捕獲單向數(shù)據(jù)流進展分析！

出現(xiàn)原因〔可能〕：

木馬病毒

人為破壞

一些網(wǎng)管軟件的控制功能

三、常用的防護方法

搜索網(wǎng)上，目前對于ARP攻擊防護問題出現(xiàn)最多是綁定IP和MAC和使用ARP防護軟件，也出現(xiàn)了具有ARP防護功能的路由器。呵呵，我們來理解下這三種方法。

3.1靜態(tài)綁定

最常用的方法就是做IP和MAC靜態(tài)綁定，在網(wǎng)內(nèi)把主機和網(wǎng)關(guān)都做IP和MAC綁定。

欺騙是通過ARP的動態(tài)實時的規(guī)那么欺騙內(nèi)網(wǎng)機器，所以我們把ARP全部設(shè)置為靜態(tài)可以解決對內(nèi)網(wǎng)PC的欺騙，同時在網(wǎng)關(guān)也要進展IP和MAC的靜態(tài)綁定，這樣雙向綁定才比擬保險。

方法：

對每臺主機進展IP和MAC地址靜態(tài)綁定。

通過命令，arp-s可以實現(xiàn)“arp–sIPMAC地址〞。

例如：“arp–sAA-AA-AA-AA-AA-AA〞。

假如設(shè)置成功會在PC上面通過執(zhí)行arp-a可以看到相關(guān)的提示：InternetAddressPhysicalAddressType

AA-AA-AA-AA-AA-AAstatic(靜態(tài))

一般不綁定,在動態(tài)的情況下：

InternetAddressPhysicalAddressType

AA-AA-AA-AA-AA-AAdynamic(動態(tài))

說明：對于網(wǎng)絡(luò)中有很多主機，500臺，1000臺...，假如我們這樣每一臺都去做靜態(tài)綁定，工作量是非常大的。。。。，這種靜態(tài)綁定，在電腦每次重起后，都必須重新在綁定，雖然也可以做一個批處理文件，但是還是比擬費事的！

3.2使用ARP防護軟件

目前關(guān)于ARP類的防護軟件出的比擬多了，大家使用比擬常用的ARP工具主要是欣向ARP工具，Antiarp等。它們除了本身來檢測出ARP攻擊外，防護的工作原理是一定頻率向網(wǎng)絡(luò)播送正確的ARP信息。我們還是來簡單說下這兩個小工具。

欣向ARP工具

俺使用了該工具，它有5個功能：

A.IP/MAC清單

選擇網(wǎng)卡。假如是單網(wǎng)卡不需要設(shè)置。假如是多網(wǎng)卡需要設(shè)置連接內(nèi)網(wǎng)的那塊網(wǎng)卡。

IP/MAC掃描。這里會掃描目前網(wǎng)絡(luò)中所有的機器的IP與MAC地址。請在內(nèi)網(wǎng)運行正常時掃描，因為這個表格將作為對之后ARP的參照。

之后的功能都需要這個表格的支持，假如出現(xiàn)提示無法獲取IP或MAC時，就說明這里的表格里面沒有相應(yīng)的數(shù)據(jù)。

B.ARP欺騙檢測

這個功能會一直檢測內(nèi)網(wǎng)是否有PC冒充表格內(nèi)的IP。你可以把主要的IP設(shè)到檢測表格里面，例如，路由器，電影效勞器，等需要內(nèi)網(wǎng)機器訪問的機器IP。

(補充)“ARP欺騙記錄〞表如何理解：

“Time〞：發(fā)現(xiàn)問題時的時間；

“sender〞：發(fā)送欺騙信息的IP或MAC；

“Repeat〞：欺詐信息發(fā)送的次數(shù)；

“ARPinfo〞：是指發(fā)送欺騙信息的詳細內(nèi)容.如下面例子：

timesenderRepeatARPinfo22:22:2221433isat00:0e:03:22:02:e8

這條信息的意思是：在22:22:22的時間,檢測到由發(fā)出的欺騙信息，已經(jīng)發(fā)送了1433次，他發(fā)送的欺騙信息的內(nèi)容是：的MAC地址是00:0e:03:22:02:e8。

翻開檢測功能，假如出現(xiàn)針對表內(nèi)IP的欺騙，會出現(xiàn)提示?？梢园凑仗崾静榈絻?nèi)網(wǎng)的ARP欺騙的根源。提示一句，任何機器都可以冒充其他機器發(fā)送IP與MAC，所以即使提示出某個IP或MAC在發(fā)送欺騙信息，也未必是100％的準(zhǔn)確。所有請不要以暴力解決某些問題。

C.主動維護

這個功能可以直接解決ARP欺騙的掉線問題，但是并不是理想方法。他的原理就在網(wǎng)絡(luò)內(nèi)不停的播送制定的IP的正確的MAC地址。

“制定維護對象〞的表格里面就是設(shè)置需要保護的IP。發(fā)包頻率就是每秒發(fā)送多少個正確的包給網(wǎng)絡(luò)內(nèi)所有機器。強烈建議盡量少的播送IP，盡量少的播送頻率。一般設(shè)置1次就可以，假如沒有綁定IP的情況下，出現(xiàn)ARP欺騙，可以設(shè)置到50－100次，假如還有掉線可以設(shè)置更高，即可以實現(xiàn)快速解決ARP欺騙的問題。但是想真正解決ARP問題，還是請參照上面綁定方法。

D.欣向路由器日志

搜集欣向路由器的系統(tǒng)日志，等功能。

E.抓包

類似于網(wǎng)絡(luò)分析軟件的抓包，保存格式是.cap。

這個軟件界面比擬簡單，以下為我搜集該軟件的使用方法。

A.填入網(wǎng)關(guān)IP地址，點擊［獲取網(wǎng)關(guān)地址］將會顯示出網(wǎng)關(guān)的MAC地址。點擊[自動防護]即可保護當(dāng)前網(wǎng)卡與該網(wǎng)關(guān)的通信不會被第三方監(jiān)聽。注意：如出現(xiàn)ARP欺騙提示，這說明攻擊者發(fā)送了ARP欺騙數(shù)據(jù)包來獲取網(wǎng)卡的數(shù)據(jù)包，假如您想追蹤攻擊來源請記住攻擊者的MAC地址，利用MAC地址掃描器可以找出IP對應(yīng)的MAC地址.

B.IP地址沖突

如頻繁的出現(xiàn)IP地址沖突，這說明攻擊者頻繁發(fā)送ARP欺騙數(shù)據(jù)包，才會出現(xiàn)IP沖突的警告，利用AntiARPSniffer可以防止此類攻擊。

C.您需要知道沖突的MAC地址，Windows會記錄這些錯誤。查看詳細方法如下：

右擊[我的電腦]--[管理]--點擊[事件查看器]--點擊[系統(tǒng)]--查看來源為[TcpIP]---雙擊事件可以看到顯示地址發(fā)生沖突，并記錄了該MAC地址，請復(fù)制該MAC地址并填入AntiARPSniffer的本地MAC地址輸入框中(請注意將:轉(zhuǎn)換為-)，輸入完成之后點擊[防護地址沖突]，為了使MAC地址生效請禁用本地網(wǎng)卡然后再啟用網(wǎng)卡，在CMD命令行中輸入Ipconfig/all，查看當(dāng)前MAC地址是否與本地MAC地址輸入框中的MAC地址相符，假如更改失敗請與我聯(lián)絡(luò)。假如成功將不再會顯示地址沖突。

注意:假如您想恢復(fù)默認(rèn)MAC地址,請點擊[恢復(fù)默認(rèn)],為了使MAC地址生效請禁用本地網(wǎng)卡然后再啟用網(wǎng)卡。

3.3具有ARP防護功能的路由器

這類路由器以前聽說的很少，對于這類路由器中提到的ARP防護功能，其實它的原理就是定期的發(fā)送自己正確的ARP信息。但是路由器的這種功能對于真正意義上的攻擊，是不能解決的。

ARP的最常見的特征就是掉線，一般情況下不需要處理一定時間內(nèi)可以回復(fù)正常上網(wǎng)，因為ARP欺騙是有老化時間的，過了老化時間就會自動的回復(fù)正常。如今大多數(shù)路由器都會在很短時間內(nèi)不停播送自己的正確ARP信息，使受騙的主機回復(fù)正常。但是假如出現(xiàn)攻擊性ARP欺騙(其實就是時間很短的量很大的欺騙ARP，1秒有個幾百上千的)，它是不斷的發(fā)起ARP欺騙包來阻止內(nèi)網(wǎng)機器上網(wǎng)，即使路由器不斷播送正確的包也會被他大量的錯誤信息給吞沒。

可能你會有疑問：我們也可以發(fā)送比欺騙者更多更快正確的ARP信息??？假如攻擊者每秒發(fā)送1000個ARP欺騙包，那我們就每秒發(fā)送1500個正確的ARP信息！

面對上面的疑問，我們仔細想想，假如網(wǎng)絡(luò)拓撲很大，網(wǎng)絡(luò)中接了很多網(wǎng)絡(luò)設(shè)備和主機，大量的設(shè)備都去處理這些播送信息，那網(wǎng)絡(luò)使用起來好不爽，再說了會影響到我們工作和學(xué)習(xí)。ARP播送會造成網(wǎng)絡(luò)資源的浪費和占用。假如該網(wǎng)絡(luò)出了問題，我們抓包分析，數(shù)據(jù)包中也會出現(xiàn)很多這類ARP播送包，對分析也會造成一定的影響。發(fā)貼者dengguo時間：下午6:280評論標(biāo)簽：ARP攻擊,ARP防護局域網(wǎng)ARP欺騙排查解決報告上周四下午，單位網(wǎng)絡(luò)故障，無法翻開網(wǎng)頁，關(guān)掉防火墻，路由器，重新起動，故障消失，這種事情由來已久，因為網(wǎng)絡(luò)設(shè)計初期問題......

周五出現(xiàn)網(wǎng)絡(luò)時斷時續(xù)現(xiàn)象，一本科生告訴我可能是“ARP欺騙〞所致，在DOS下，輸入：arp-a發(fā)現(xiàn)網(wǎng)關(guān)MAC地址與一臺IP為的主機MAC一樣，找到該機后，斷掉，網(wǎng)絡(luò)恢復(fù)。

本以為事情就這么過去了，然而：

周一上班又出現(xiàn)網(wǎng)絡(luò)時斷時續(xù)、網(wǎng)速慢、上不去網(wǎng)……眾人紛紛報告，搞得我相當(dāng)郁悶，情急之下發(fā)現(xiàn)重新起動電腦故障就消失了，于是簡單要求照做。晚上在家查找了相關(guān)資料，知道遇到ARP欺騙這種事情不好搞，并且找到了應(yīng)急對策：

1、對網(wǎng)關(guān)做IP-MAC綁定

2、用MAC掃描器得到網(wǎng)內(nèi)上網(wǎng)主機的IP-MAC對，記錄下來以備后用

周二上班前做了網(wǎng)關(guān)地址綁定。一上午至下班前一小時無事，但我知道，這個ARP欺騙主機像幽靈躲在暗處，時刻窺探發(fā)動攻擊的最正確時刻，不把它揪出來，早晚是個事兒！如今它沒有出現(xiàn)，可能是因為故障主機的人沒來不在單位，根本沒開機！果然，下班前一個小時故障再次出現(xiàn)！然而單位70幾臺上網(wǎng)主機三個樓層，怎么查？！有人提出一個房間一個房間的斷網(wǎng)排查，我否認(rèn)的這種干擾正常工作秩序的方案，決定重新研究新對策。下載了一個AntiArpSniffer的工具進行監(jiān)控，晚上回家在不安中睡去……

周三，也就是今天早上到單位，在兩臺監(jiān)控的主機上發(fā)現(xiàn)如下“欺騙機MAC地址：00-11-**--**-**-2D〞〔由于此地址為物理網(wǎng)卡地址，具有全球唯一性，故隱去真實值〕，軟件還報告了發(fā)生欺騙的時間和大概36次的欺騙次數(shù)！但卻沒有查出IP地址。8點半用MAC掃描器進展全網(wǎng)掃描，卻未發(fā)現(xiàn)上述MAC地址。9點15分，有機器報告不能上網(wǎng)，到現(xiàn)場，運行欄輸入：arp–d不用關(guān)機重起，可以上網(wǎng)，更確定是ARP病毒所致。10點05分再次用MAC掃描器，突然閃現(xiàn)了IP與MAC地址對應(yīng)的主機?。?！火速聯(lián)絡(luò)機主，對方反響這幾天上網(wǎng)速度很慢，正想重裝系統(tǒng)。告知事發(fā)原因，并驗明他昨天上午到下班前一小時確實不在單位沒有開機的事實，與網(wǎng)絡(luò)自他歸來后變得不穩(wěn)定現(xiàn)象完全符合！經(jīng)對方查驗其MAC地址確實與掃描出的欺騙主機地址一致！??！事主重新格式化重裝系統(tǒng)……

雖然找出了源頭并采取的相應(yīng)措施，但內(nèi)心始終忐忑，網(wǎng)絡(luò)平安任重道遠啊……

一切盡在觀察中……

處理步驟小結(jié)：

1、應(yīng)急處理不能上網(wǎng)的主機，在運行欄里執(zhí)行命令：arp–d

2、用AntiArpSniffer3.5監(jiān)測網(wǎng)絡(luò)

3、用MAC掃描器找出主機IP地址

4、根據(jù)IP地址找到電腦，格式化，重裝系統(tǒng)。

5、OVER

建議：

對整個網(wǎng)絡(luò)做IP-MAC綁定。發(fā)貼者dengguo時間：下午6:280評論標(biāo)簽：局域網(wǎng)ARP欺騙徹底解決局域網(wǎng)ARP攻擊一般ARP攻擊的對治方法

如今最常用的根本對治方法是“ARP雙向綁定〞。

由于ARP攻擊往往不是病毒造成的，而是合法運行的程序〔外掛、網(wǎng)頁〕造成的，所殺毒軟件多數(shù)時候束手無策。

所謂“雙向綁定〞，就是再路由器上綁定ARP表的同時，在每臺電腦上也綁定一些常用的ARP表項。

“ARP雙向綁定〞可以防御細微的、手段不高明的ARP攻擊。ARP攻擊程序假如沒有試圖去更改綁定的ARP表項，那么ARP攻擊就不會成功；假如攻擊手段不劇烈，也欺騙不了路由器，這樣我們就可以防住50％ARP攻擊。

但是如今ARP攻擊的程序往往都是合法運行的，所以可以合法的更改電腦的ARP表項。在如今ARP雙向綁定流行起來之后，攻擊程序的作者也進步了攻擊手段，攻擊的方法更綜合，另外攻擊非常頻密，僅僅進展雙向綁定已經(jīng)不可以應(yīng)付兇狠的ARP攻擊了，仍然很容易出現(xiàn)掉線。

于是我們在路由器中參加了“ARP攻擊主動防御〞的功能。這個功能是在路由器ARP綁定的根底上實現(xiàn)的，原理是：當(dāng)網(wǎng)內(nèi)受到錯誤的ARP播送包攻擊時，路由器立即播送正確的ARP包去修正和消除攻擊包的影響。這樣我們就解決了掉線的問題，但是在最兇悍的ARP攻擊發(fā)生時，仍然發(fā)生了問題----當(dāng)ARP攻擊很頻密的時候，就需要路由器發(fā)送更頻密的正確包去消除影響。雖然不掉線了，但是卻出現(xiàn)了上網(wǎng)“卡〞的問題。

所以，我們認(rèn)為，依靠路由器實現(xiàn)“ARP攻擊主動防御〞，也只可以解決80％的問題。

為了徹底消除ARP攻擊，我們在此根底上有增加了“ARP攻擊源攻擊跟蹤〞的功能。對于剩下的強悍的ARP攻擊，我采用“日志〞功能，提供信息方便用戶跟蹤攻擊源，這樣用戶通過臨時切斷攻擊電腦或者封殺發(fā)出攻擊的程序，可以解決問題。

徹底解決ARP攻擊

事實上，由于路由器是整個局域網(wǎng)的出口，而ARP攻擊是以整個局域網(wǎng)為目的，當(dāng)ARP攻擊包已經(jīng)到達路由器的時候，影響已經(jīng)照成。所以由路由器來承當(dāng)防御ARP攻擊的任務(wù)只是權(quán)宜之計，并不能很好的解決問題。

我們要真正消除ARP攻擊的隱患，安枕無憂，必須轉(zhuǎn)而對“局域網(wǎng)核心〞――交換機下手。由于任何ARP包，都必須經(jīng)由交換機轉(zhuǎn)發(fā)，才能到達被攻擊目的，只要交換機據(jù)收非法的ARP包，哪么ARP攻擊就不能造成任何影響。

我們提出一個真正嚴(yán)密的防止ARP攻擊的方案，就是在每臺接入交換機上面實現(xiàn)ARP綁定，并且過濾掉所有非法的ARP包。這樣可以讓ARP攻擊足不能出戶，在局域網(wǎng)內(nèi)完全消除了ARP攻擊。

因為需要每臺交換機都具有ARP綁定和相關(guān)的平安功能，這樣的方案無疑價格是昂貴的，所以我們提供了一個折衷方案。

經(jīng)濟方案

我們只是中心采用可以大量綁定ARP和進展ARP攻擊防御的交換機――Netcore7324NSW，這款交換機可以做到ARP綁定條目可以到達1000條，因此根本上可以對整網(wǎng)的ARP進展綁定，同時能杜絕任何非法ARP包在主交換機進展傳播。

這樣假如在強力的ARP攻擊下，我們觀察到的現(xiàn)象是：ARP攻擊只能影響到同一個分支交換機上的電腦，這樣可能被攻擊到的范圍就大大縮小了。當(dāng)攻擊發(fā)生時，不可能造成整個網(wǎng)絡(luò)的問題。

在此根底上，我們再補充“日志〞功能和“ARP主動防御〞功能，ARP攻擊也可以被完美的解決。

ARP攻擊最新動態(tài)

最近一段時間，各網(wǎng)吧發(fā)現(xiàn)的ARP攻擊已經(jīng)晉級，又一波ARP攻擊的高潮降臨。

這次ARP攻擊發(fā)現(xiàn)的特征有：

1、速度快、效率高，大概在10－20秒的時間內(nèi)，可以造成300臺規(guī)模的電腦掉線。

2、不易發(fā)現(xiàn)。在攻擊完成后，立即停頓攻擊并更正ARP信息。假如網(wǎng)內(nèi)沒有日志功能，再去通過ARP命令觀察，已經(jīng)很難發(fā)現(xiàn)攻擊痕跡。

3、可以破解最新的XP和2000的ARP補丁，微軟提供的補丁很明顯在這次攻擊很脆弱，沒有作用。

4、介質(zhì)變化，這次攻擊的來源來自私服程序本身〔不是外掛〕和P2P程序。發(fā)貼者dengguo時間：下午6:250評論標(biāo)簽：ARP協(xié)議,ARP文章,ARP欺騙局域網(wǎng)arp地址欺騙解決方法【故障原因】

局域網(wǎng)內(nèi)有人使用ARP欺騙的木馬程序〔比方：魔獸世界，天堂，勁舞團等盜號的軟件，某些外掛中也被惡意加載了此程序〕。

【故障原理】

要理解故障原理，我們先來理解一下ARP協(xié)議。

在局域網(wǎng)中，通過ARP協(xié)議來完成IP地址轉(zhuǎn)換為第二層物理地址〔即MAC地址〕的。ARP協(xié)議對網(wǎng)絡(luò)平安具有重要的意義。通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，可以在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞。

ARP協(xié)議是“AddressResolutionProtocol〞〔地址解析協(xié)議〕的縮寫。在局域網(wǎng)中，網(wǎng)絡(luò)中實際傳輸?shù)氖恰皫?，幀里面是有目的主機的MAC地址的。在以太網(wǎng)中，一個主機要和另一個主機進展直接通信，必需要知道目的主機的MAC地址。但這個目的MAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。所謂“地址解析〞就是主機在發(fā)送幀前將目的IP地址轉(zhuǎn)換成目的MAC地址的過程。ARP協(xié)議的根本功能就是通過目的設(shè)備的IP地址，查詢目的設(shè)備的MAC地址，以保證通信的順利進展。

每臺安裝有TCP/IP協(xié)議的電腦里都有一個ARP緩存表，表里的IP地址與MAC地址是一一對應(yīng)的，如下所示。

主機IP地址MAC地址Aaa-aa-aa-aa-aa-aa

Bbb-bb-bb-bb-bb-bb

Ccc-cc-cc-cc-cc-cc

Ddd-dd-dd-dd-dd-dd我們以主機A〔〕向主機B〔〕發(fā)送數(shù)據(jù)為例。當(dāng)發(fā)送數(shù)據(jù)時，主機A會在自己的ARP緩存表中尋找是否有目的IP地址。假如找到了，也就知道了目的MAC地址，直接把目的MAC地址寫入幀里面發(fā)送就可以了；假如在ARP緩存表中沒有找到相對應(yīng)的IP地址，主機A就會在網(wǎng)絡(luò)上發(fā)送一個播送，目的MAC地址是“FF.FF.FF.FF.FF.FF〞，這表示向同一網(wǎng)段內(nèi)的所有主機發(fā)出這樣的詢問：的MAC地址是什么？〞網(wǎng)絡(luò)上其他主機并不響應(yīng)ARP詢問，只有主機B接收到這個幀時，才向主機A做出這樣的回應(yīng)：的MAC地址是bb-bb-bb-bb-bb-bb〞。這樣，主機A就知道了主機B的MAC地址，它就可以向主機B發(fā)送信息了。同時它還更新了自己的ARP緩存表，下次再向主機B發(fā)送信息時，直接從ARP緩存表里查找就可以了。ARP緩存表采用了老化機制，在一段時間內(nèi)假如表中的某一行沒有使用，就會被刪除，這樣可以大大減少ARP緩存表的長度，加快查詢速度。

從上面可以看出，ARP協(xié)議的根底就是信任局域網(wǎng)內(nèi)所有的人，那么就很容易實如今以太網(wǎng)上的ARP欺騙。對目的A進展欺騙，A去Ping主機C卻發(fā)送到了DD-DD-DD-DD-DD-DD這個地址上。假如進展欺騙的時候，把C的MAC地址騙為DD-DD-DD-DD-DD-DD，于是A發(fā)送到C上的數(shù)據(jù)包都變成發(fā)送給D的了。這不正好是D可以接收到A發(fā)送的數(shù)據(jù)包了么，嗅探成功。

A對這個變化一點都沒有意識到，但是接下來的事情就讓A產(chǎn)生了疑心。因為A和C連接不上了。D對接收到A發(fā)送給C的數(shù)據(jù)包可沒有轉(zhuǎn)交給C。

做“maninthemiddle〞，進展ARP重定向。翻開D的IP轉(zhuǎn)發(fā)功能，A發(fā)送過來的數(shù)據(jù)包，轉(zhuǎn)發(fā)給C，好比一個路由器一樣。不過，假設(shè)D發(fā)送ICMP重定向的話就中斷了整個方案。

D直接進展整個包的修改轉(zhuǎn)發(fā)，捕獲到A發(fā)送給C的數(shù)據(jù)包，全部進展修改后再轉(zhuǎn)發(fā)給C，而C接收到的數(shù)據(jù)包完全認(rèn)為是從A發(fā)送來的。不過，C發(fā)送的數(shù)據(jù)包又直接傳遞給A，倘假設(shè)再次進展對C的ARP欺騙。如今D就完全成為A與C的中間橋梁了，對于A和C之間的通訊就可以了如指掌了。

【故障現(xiàn)象】

當(dāng)局域網(wǎng)內(nèi)某臺主機運行ARP欺騙的木馬程序時，會欺騙局域網(wǎng)內(nèi)所有主機和路由器，讓所有上網(wǎng)的流量必須經(jīng)過病毒主機。其他用戶原來直接通過路由器上網(wǎng)如今轉(zhuǎn)由通過病毒主機上網(wǎng)，切換的時候用戶會斷一次線。

切換到病毒主機上網(wǎng)后，假如用戶已經(jīng)登陸了效勞器，那么病毒主機就會經(jīng)常偽造斷線的假像，那么用戶就得重新登錄效勞器，這樣病毒主機就可以盜號了。

由于ARP欺騙的木馬程序發(fā)作的時候會發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理才能的限制，用戶會感覺上網(wǎng)速度越來越慢。當(dāng)ARP欺騙的木馬程序停頓運行時，用戶會恢復(fù)從路由器上網(wǎng)，切換過程中用戶會再斷一次線。

【HiPER用戶快速發(fā)現(xiàn)ARP欺騙木馬】

在路由器的“系統(tǒng)歷史記錄〞中看到大量如下的信息〔440以后的路由器軟件版本中才有此提示〕：

MACOld00:01:6c:36:d1:7f

MACNew00:05:5d:60:c7:18這個消息代表了用戶的MAC地址發(fā)生了變化，在ARP欺騙木馬開場運行的時候，局域網(wǎng)所有主機的MAC地址更新為病毒主機的MAC地址〔即所有信息的MACNew地址都一致為病毒主機的MAC地址〕，同時在路由器的“用戶統(tǒng)計〞中看到所有用戶的MAC地址信息都一樣。

假如是在路由器的“系統(tǒng)歷史記錄〞中看到大量MACOld地址都一致，那么說明局域網(wǎng)內(nèi)曾經(jīng)出現(xiàn)過ARP欺騙〔ARP欺騙的木馬程序停頓運行時，主機在路由器上恢復(fù)其真實的MAC地址〕。

【在局域網(wǎng)內(nèi)查找病毒主機】

在上面我們已經(jīng)知道了使用ARP欺騙木馬的主機的MAC地址，那么我們就可以使用NBTSCAN工具來快速查找它。

NBTSCAN可以取到PC的真實IP地址和MAC地址，假如有〞ARP攻擊〞在做怪，可以找到裝有ARP攻擊的PC的IP/和MAC地址。

命令：“nbtscan-r/24〞〔搜索整個網(wǎng)段,即〕；或“nbtscan5-137〞搜索5-137網(wǎng)段，即。輸出結(jié)果第一列是IP地址，最后一列是MAC地址。

NBTSCAN的使用范例：

假設(shè)查找一臺MAC地址為“000d870d585f〞的病毒主機。

1〕將壓縮包中的nbtscan.exe和cygwin1.dll解壓縮放到c:下。

2〕在Windows開場—運行—翻開，輸入cmd〔windows98輸入“command〞〕，在出現(xiàn)的DOS窗口中輸入：〔這里需要根據(jù)用戶實際網(wǎng)段輸入〕，回車。

3〕通過查詢IP--MAC對應(yīng)表，查出“000d870d585f〞的病毒主機的IP地址為“23〞。

【解決思路】

1、不要把你的網(wǎng)絡(luò)平安信任關(guān)系建立在IP根底上或MAC根底上，〔rarp同樣存在欺騙的問題〕，理想的關(guān)系應(yīng)該建立在IP+MAC根底上。

2、設(shè)置靜態(tài)的MAC-->IP對應(yīng)表，不要讓主機刷新你設(shè)定好的轉(zhuǎn)換表。

3、除非很有必要，否那么停頓使用ARP，將ARP做為永久條目保存在對應(yīng)表中。

4、使用ARP效勞器。通過該效勞器查找自己的ARP轉(zhuǎn)換表來響應(yīng)其他機器的ARP播送。確保這臺ARP效勞器不被黑。

5、使用"proxy"代理IP的傳輸。

6、使用硬件屏蔽主機。設(shè)置好你的路由，確保IP地址能到達合法的途徑。〔靜態(tài)配置路由ARP條目〕，注意，使用交換集線器和網(wǎng)橋無法阻止ARP欺騙。

7、管理員定期用響應(yīng)的IP包中獲得一個rarp懇求，然后檢查ARP響應(yīng)的真實性。

8、管理員定期輪詢，檢查主機上的ARP緩存。

9、使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò)。注意有使用SNMP的情況下，ARP的欺騙有可能導(dǎo)致陷阱包喪失。

【HiPER用戶的解決方案】

建議用戶采用雙向綁定的方法解決并且防止ARP欺騙。

1、在PC上綁定路由器的IP和MAC地址：

1〕首先，獲得路由器的內(nèi)網(wǎng)的MAC地址〔例如HiPER網(wǎng)關(guān)地址的MAC地址為0022aa0022aa〕。

2〕編寫一個批處理文件rarp.bat內(nèi)容如下：@echooff

arp-d

arp-s5400-22-aa-00-22-aa將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為您自己的網(wǎng)關(guān)IP地址和MAC地址即可。

將這個批處理軟件拖到“windows--開場--程序--啟動〞中。

3〕假如是網(wǎng)吧，可以利用收費軟件效勞端程序〔pubwin或者萬象都可以〕發(fā)送批處理文件rarp.bat到所有客戶機的啟動目錄。Windows2000的默認(rèn)啟動目錄為“C:\DocumentsandSettingsAllUsers「開場」菜單程序啟動〞。

2、在路由器上綁定用戶主機的IP和MAC地址〔440以后的路由器軟件版本支持〕：

在HiPER管理界面--高級配置--用戶管理中將局域網(wǎng)每臺主機均作綁定。發(fā)貼者dengguo時間：下午6:250評論標(biāo)簽：ARP欺騙,ARP欺騙攻擊,ARP緩存局域網(wǎng)受到ARP欺騙攻擊的解決方法【故障現(xiàn)象】當(dāng)局域網(wǎng)內(nèi)某臺主機運行ARP欺騙的木馬程序時，會欺騙局域網(wǎng)內(nèi)所有主機和平安網(wǎng)關(guān)，讓所有上網(wǎng)的流量必須經(jīng)過病毒主機。其他用戶原來直接通過平安網(wǎng)關(guān)上網(wǎng)如今轉(zhuǎn)由通過病毒主機上網(wǎng)，切換的時候用戶會斷一次線。切換到病毒主機上網(wǎng)后，假如用戶已經(jīng)登陸了傳奇效勞器，那么病毒主機就會經(jīng)常偽造斷線的假像，那么用戶就得重新登錄傳奇效勞器，這樣病毒主機就可以盜號了。由于ARP欺騙的木馬程序發(fā)作的時候會發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理才能的限制，用戶會感覺上網(wǎng)速度越來越慢。當(dāng)ARP欺騙的木馬程序停頓運行時，用戶會恢復(fù)從平安網(wǎng)關(guān)上網(wǎng)，切換過程中用戶會再斷一次線。【快速查找】在WebUIà系統(tǒng)狀態(tài)à系統(tǒng)信息à系統(tǒng)歷史記錄中，看到大量如下的信息:MACOld00:01:6c:36:d1:7fMACNew00:05:5d:60:c7:18這個消息代表了用戶的MAC地址發(fā)生了變化，在ARP欺騙木馬開場運行的時候，局域網(wǎng)所有主機的MAC地址更新為病毒主機的MAC地址(即所有信息的MACNew地址都一致為病毒主機的MAC地址)。同時在平安網(wǎng)關(guān)的WebUIà高級配置à用戶管理à讀ARP表中看到所有用戶的MAC地址信息都一樣，或者在WebUIà系統(tǒng)狀態(tài)à用戶統(tǒng)計中看到所有用戶的MAC地址信息都一樣。假如是在WebUIà系統(tǒng)狀態(tài)à系統(tǒng)信息à系統(tǒng)歷史記錄中看到大量MACOld地址都一致，那么說明局域網(wǎng)內(nèi)曾經(jīng)出現(xiàn)過ARP欺騙(ARP欺騙的木馬程序停頓運行時，主機在平安網(wǎng)關(guān)上恢復(fù)其真實的MAC地址)。在上面我們已經(jīng)知道了使用ARP欺騙木馬的主機的MAC地址，那么我們就可以使用NBTSCAN(下載地址::///upload/nbtscan.rar)工具來快速查找它。NBTSCAN可以取到PC的真實IP地址和MAC地址，假如有〞傳奇木馬〞在做怪，可以找到裝有木馬的PC的IP/和MAC地址。命令:“nbtscan-r/24〞(搜索整個網(wǎng)段,即-54);或“nbtscan5-137〞搜索5-137網(wǎng)段，即。輸出結(jié)果第一列是IP地址，最后一列是MAC地址。NBTSCAN的使用范例:假設(shè)查找一臺MAC地址為“000d870d585f〞的病毒主機。1)將壓縮包中的nbtscan.exe和cygwin1.dll解壓縮放到c:\下。2)在Windows開場à運行à翻開，輸入cmd(windows98輸入“command〞)，在出現(xiàn)的DOS窗口中輸入:C:\nbtscan-r/24(這里需要根據(jù)用戶實際網(wǎng)段輸入)，回車。3)通過查詢IP--MAC對應(yīng)表，查出“000d870d585f〞的病毒主機的IP地址為“23〞?！窘鉀Q方法】采用雙向綁定的方法解決并且防止ARP欺騙。1、在PC上綁定平安網(wǎng)關(guān)的IP和MAC地址：1〕首先，獲得平安網(wǎng)關(guān)的內(nèi)網(wǎng)的MAC地址〔例如HiPER網(wǎng)關(guān)地址的MAC地址為0022aa0022aa〕。2〕編寫一個批處理文件rarp.bat內(nèi)容如下：@echooffarp-darp-s5400-22-aa-00-22-aa將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為實際使用的網(wǎng)關(guān)IP地址和MAC地址即可。將這個批處理軟件拖到“windowsà開場à程序à啟動〞中。3〕假如是網(wǎng)吧，可以利用收費軟件效勞端程序〔pubwin或者萬象都可以〕發(fā)送批處理文件rarp.bat到所有客戶機的啟動目錄。Windows2000的默認(rèn)啟動目錄為“C:\DocumentsandSettings\AllUsers「開場」菜單程序啟動〞。2、在平安網(wǎng)關(guān)上綁定用戶主機的IP和MAC地址：在WebUIà高級配置à用戶管理中將局域網(wǎng)每臺主機均作綁定。發(fā)貼者dengguo時間：下午6:240評論標(biāo)簽：ARP欺騙,防范ARP攻擊局域網(wǎng)ARP欺騙的應(yīng)對一、故障現(xiàn)象及原因分析

情況一、當(dāng)局域網(wǎng)內(nèi)某臺主機感染了ARP病毒時，會向本局域網(wǎng)內(nèi)〔指某一網(wǎng)段，比方：這一段〕所有主機發(fā)送ARP欺騙攻擊謊稱自己是這個網(wǎng)端的網(wǎng)關(guān)設(shè)備，讓本來流向網(wǎng)關(guān)的流量改道流向病毒主機，造成受害者正常上網(wǎng)。

情況二、局域網(wǎng)內(nèi)有某些用戶使用了ARP欺騙程序〔如：網(wǎng)絡(luò)執(zhí)法官,QQ盜號軟件等〕發(fā)送ARP欺騙數(shù)據(jù)包，致使被攻擊的電腦出現(xiàn)突然不能上網(wǎng)，過一段時間又能上網(wǎng)，反復(fù)掉線的現(xiàn)象。

關(guān)于APR欺騙的詳細原理請看我搜集的資料ARP欺騙的原理

二、故障診斷

假如用戶發(fā)現(xiàn)以上疑似情況，可以通過如下操作進展診斷：

點擊“開場〞按鈕->選擇“運行〞->輸入“arp–d〞->點擊“確定〞按鈕，然后重新嘗試上網(wǎng)，假如能恢復(fù)正常，那么說明此次掉線可能是受ARP欺騙所致。

注：arp-d命令用于去除并重建本機arp表。arp–d命令并不能抵御ARP欺騙，執(zhí)行后仍有可能再次遭受ARP攻擊。

三、故障處理

1、中毒者：建議使用趨勢科技SysClean工具或其他殺毒軟件去除病毒。

2、被害者：(1)綁定網(wǎng)關(guān)mac地址。詳細方法如下：

1〕首先，獲得路由器的內(nèi)網(wǎng)的MAC地址〔例如網(wǎng)關(guān)地址的MAC地址為0022aa0022aa〕。2〕編寫一個批處理文件AntiArp.bat內(nèi)容如下：將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為您自己的網(wǎng)關(guān)IP地址和MAC地址即可，計算機重新啟動后需要重新進展綁定，因此我們可以將該批處理文件AntiArp.bat文件拖到“windows--開場--程序--啟動〞中。這樣開機時這個批處理就被執(zhí)行了。

(2)使用ARP防火墻(例如AntiArp)軟件抵御ARP攻擊。

AntiArp軟件會在提示框內(nèi)出現(xiàn)病毒主機的MAC地址

四，找出ARP病毒源

第一招：使用Sniffer抓包

在網(wǎng)絡(luò)內(nèi)任意一臺主機上運行抓包軟件，捕獲所有到達本機的數(shù)據(jù)包。假如發(fā)現(xiàn)有某個IP不斷發(fā)送

ARPRequest懇求包，那么這臺電腦一般就是病毒源。原理：無論何種ARP病毒變種，行為方式有兩種，一是欺騙網(wǎng)關(guān)，二是欺騙網(wǎng)內(nèi)的所有主機。最終的結(jié)果是，在網(wǎng)關(guān)的ARP緩存表中，網(wǎng)內(nèi)所有活動主機的MAC地址均為中毒主機的MAC地址；網(wǎng)內(nèi)所有主機的ARP緩存表中，網(wǎng)關(guān)的MAC地址也成為中毒主機的MAC地址。前者保證了從網(wǎng)關(guān)到網(wǎng)內(nèi)主機的數(shù)據(jù)包被發(fā)到中毒主機，后者相反，使得主機發(fā)往網(wǎng)關(guān)的數(shù)據(jù)包均發(fā)送到中毒主機。

第二招：使用arp-a命令任意選兩臺不能上網(wǎng)的主機，在DOS命令窗口下運行arp-a命令。例如在結(jié)果中，兩臺電腦除了網(wǎng)關(guān)的IP，MAC地址對應(yīng)項，都包含了的這個IP，那么可以斷定這臺主機就是病毒源。原理：一般情況下，網(wǎng)內(nèi)的主機只和網(wǎng)關(guān)通信。正常情況下，一臺主機的ARP緩存中應(yīng)該只有網(wǎng)關(guān)的MAC地址。假如有其他主機的MAC地址，說明本地主機和這臺主機最后有過數(shù)據(jù)通信發(fā)生。假如某臺主機〔例如上面的〕既不是網(wǎng)關(guān)也不是效勞器，但和網(wǎng)內(nèi)的其他主機都有通信活動，且此時又是ARP病毒發(fā)作時期，那么，病毒源也就是它了。

第三招：使用tracert命令在任意一臺受影響的主機上，在DOS命令窗口下運行如下命令：。假定設(shè)置的缺省網(wǎng)關(guān)為，在跟蹤一個外網(wǎng)地址時，第一跳卻是，那么，就是病毒源。原理：中毒主機在受影響主機和網(wǎng)關(guān)之間，扮演了“中間人〞的角色。所有本應(yīng)該到達網(wǎng)關(guān)的數(shù)據(jù)包，由于錯誤的MAC地址，均被發(fā)到了中毒主機。此時，中毒主機越俎代庖，起了缺省網(wǎng)關(guān)的作用。發(fā)貼者dengguo時間：下午6:230評論標(biāo)簽：ARP欺騙,局域網(wǎng)黑客技術(shù)-ARP欺騙本來不打算寫這接下的一系列討論欺騙的文章〔方案中有arp欺騙、icmp欺騙、路由rip欺騙、ip地址欺騙等〕，這主要是自己有些擔(dān)憂有些人會給網(wǎng)管增加日常工作量，但是想想還是寫的好，因為通常在你猛打完補丁后，你可能覺得你的系統(tǒng)平安了，但是，實際上，打補丁只是平安措施里的一個很根本的步驟而已，通常一個hacker要進入你的系統(tǒng)，他所要做的并不是你打補丁就可以防止的，象這些欺騙都要求你必須掌握相當(dāng)?shù)木W(wǎng)絡(luò)底層知識和合理安排物理布線才可阻止得了的。特別是多種手法混用的時候，特別要說明的是：有些人往往以為會使用某些工具入侵就