ARP攻擊與故障排除知識(shí)

59/59HYPERLINKARP攻擊與故障排除知識(shí)HYPERLINKARP透視——出現(xiàn)ARP欺騙攻擊時(shí)的現(xiàn)象1、網(wǎng)上銀行、游戲及QQ賬號(hào)的頻繁喪失

一些人為了獲取非法利益，利用ARP欺騙程序在網(wǎng)內(nèi)進(jìn)行非法活動(dòng)，此類程序的主要目的在于破解賬號(hào)登陸時(shí)的加密解密算法，通過截取局域網(wǎng)中的數(shù)

據(jù)包，然后以分析數(shù)據(jù)通訊協(xié)議的方法截獲用戶的信息。運(yùn)行這類木馬病毒，就可以獲得整個(gè)局域網(wǎng)中上網(wǎng)用戶賬號(hào)的詳細(xì)信息并盜取。

2、網(wǎng)速時(shí)快時(shí)慢，極其不穩(wěn)定，但單機(jī)進(jìn)行光纖數(shù)據(jù)測試時(shí)一切正常

當(dāng)局域內(nèi)的某臺(tái)計(jì)算機(jī)被ARP的欺騙程序非法侵入后，它就會(huì)持續(xù)地向網(wǎng)內(nèi)所有的計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備發(fā)送大量的非法ARP欺騙數(shù)據(jù)包，阻塞網(wǎng)絡(luò)通道，

造成網(wǎng)絡(luò)設(shè)備的承載過重，導(dǎo)致網(wǎng)絡(luò)的通訊質(zhì)量不穩(wěn)定。

3、局域網(wǎng)內(nèi)頻繁性區(qū)域或整體掉線，重啟計(jì)算機(jī)或網(wǎng)絡(luò)設(shè)備后恢復(fù)正常

當(dāng)帶有ARP欺騙程序的計(jì)算機(jī)在網(wǎng)內(nèi)進(jìn)行通訊時(shí)，就會(huì)導(dǎo)致頻繁掉線，出現(xiàn)此類問題后重啟計(jì)算機(jī)或禁用網(wǎng)卡會(huì)暫時(shí)解決問題，但掉線情況還會(huì)發(fā)生。發(fā)貼者dengguo時(shí)間：HYPERLINK\o"permanentlink"下午6:39HYPERLINK0評(píng)論標(biāo)簽：HYPERLINKARP欺騙,HYPERLINKARP欺騙攻擊HYPERLINKARP透視——傳統(tǒng)的幾種解決ARP問題的方式方案一：

過濾局域網(wǎng)的IP，關(guān)閉高危險(xiǎn)的端口，關(guān)閉共享。升級(jí)系統(tǒng)補(bǔ)丁，升級(jí)殺毒軟件。

安裝防火墻，設(shè)置防ARP的選項(xiàng)。

微軟ISA防火墻功能強(qiáng)大，可是很占系統(tǒng)資源。

配置效勞器是Linux的強(qiáng)項(xiàng)，當(dāng)然能阻止局部ARP危害網(wǎng)絡(luò)。但是從根本上并沒有解決掉ARP的問題，長時(shí)間超負(fù)荷運(yùn)轉(zhuǎn)對(duì)硬件的損害也顯而易見。

方案二：

發(fā)現(xiàn)亂發(fā)ARP包的主機(jī)后，即通過路由器、硬件防火墻等設(shè)備在網(wǎng)關(guān)上阻止與其它主機(jī)通信。迅速找到主機(jī)，斷開其網(wǎng)絡(luò)連接。檢查機(jī)器是因?yàn)椴《灸抉R

發(fā)送ARP包破壞網(wǎng)絡(luò)環(huán)境，還是人為的使用ARP的網(wǎng)絡(luò)管理軟件。既然是使用的網(wǎng)絡(luò)管理軟件，先得詢問使用者是否有管理網(wǎng)絡(luò)的特權(quán)。既然沒有特權(quán)又為

何管理、控制網(wǎng)絡(luò)呢？

方案三：

通過高檔路由器進(jìn)行雙向綁定，即從路由器方面對(duì)附屬客戶機(jī)IP-MAC地址進(jìn)行綁定，同時(shí)從客戶機(jī)方面對(duì)路由器進(jìn)行IP-MAC地址綁定，雙向綁定讓IP不容

易被欺騙。這種方案的實(shí)施比較煩瑣，在客戶機(jī)器或路由器更改硬件時(shí)，需要對(duì)全網(wǎng)進(jìn)行重新的MAC地址掃描并重新綁定，工作量巨大。所取得的效果，僅

僅可以防御住一些低端的ARP欺騙，對(duì)于攻擊型ARP軟件則無任何作用。

方案四：

使用ARP防護(hù)軟件，針對(duì)ARP欺騙攻擊的軟件在網(wǎng)絡(luò)中很多，但具體的效果卻一直不理想。多數(shù)軟件單單針對(duì)ARP欺騙攻擊的某一方面特性進(jìn)行制作抵御軟件

的原理，并沒有從根本上去考慮ARP欺騙攻擊的產(chǎn)生與傳播方式。所以，這些軟件在ARP防范領(lǐng)域影響甚微。

針對(duì)上述幾種常見的傳統(tǒng)防范ARP的方法，都有各自的優(yōu)點(diǎn)，但是也都曝漏了其局限性，并不都可以完全解決ARP欺騙攻擊。網(wǎng)絡(luò)中多臺(tái)主機(jī)同時(shí)高頻率的

發(fā)送ARP播送，會(huì)很輕易的造成網(wǎng)絡(luò)癱瘓、路由器死機(jī)，使其它主機(jī)響應(yīng)緩慢，甚至造成系統(tǒng)停止響應(yīng)（假死）。如果是ARP木馬，還會(huì)進(jìn)行傳播，同時(shí)感

染其它網(wǎng)絡(luò)中的其它主機(jī)，產(chǎn)生眾多主機(jī)同時(shí)中毒的現(xiàn)象。發(fā)貼者dengguo時(shí)間：HYPERLINK\o"permanentlink"下午6:39HYPERLINK0評(píng)論標(biāo)簽：HYPERLINKARP欺騙,HYPERLINK防范ARP攻擊HYPERLINKARP透視——ARP欺騙，騙的是什么?主持人:大家好，今天的主題是《ARP欺騙，騙的是什么?》很快樂邀請(qǐng)到我們的嘉賓資深網(wǎng)絡(luò)技術(shù)專家張先生，為我們解答問題。

張:謝謝主持人。

主持人:他的title雖然是營銷總監(jiān)，但是也有深厚的功底，相信他今天給我們帶來精采的解答。

前一段時(shí)間，有一件事情被炒得非常熾熱，就是MSN被監(jiān)聽。實(shí)際上媒體也對(duì)MSN的監(jiān)聽軟件做了報(bào)告，實(shí)際上它并不是非常容易被使用。但是網(wǎng)上后來又

出了叫停類的文章，是說MSNMessenger是配合ARP欺騙軟件，就起到了它原本應(yīng)該有的作用。我們想問一下張先生，ARP欺騙到底是什么樣的技術(shù)?

張:ARP欺騙我們必須從它的名詞來講。ARP欺騙它是一個(gè)地址解讀的協(xié)議。地址解讀協(xié)議是什么意思呢?在我們互聯(lián)網(wǎng)上面，最常用的協(xié)議是TCPIP，就是傳

輸?shù)膮f(xié)議。IP就是所謂定址的協(xié)議。好比我們用哪一棟大樓，在什么地方，在網(wǎng)絡(luò)上就是使用IP地址來定的。但是在實(shí)體上，我們大家都知道，在每一臺(tái)

電腦上都有實(shí)體的地址。IP地址是網(wǎng)絡(luò)的一個(gè)地址。ARP就是讓這兩個(gè)地址跟IP地址產(chǎn)生關(guān)聯(lián)的一個(gè)協(xié)議。也就是說，我怎么知道哪一臺(tái)IP在什么位置呢?

就是透過ARP去先地方他的IP地方在哪里，再把這個(gè)偵發(fā)過去。像MSN是怎么欺騙的呢?在局域網(wǎng)里面，我這個(gè)偵或者這個(gè)包本來要發(fā)到某一個(gè)IP，這個(gè)IP

對(duì)的機(jī)器是A機(jī)器。它騙你這個(gè)IP對(duì)應(yīng)的是第一臺(tái)機(jī)器。你就以為這個(gè)包要發(fā)到另外一臺(tái)機(jī)器去。這就是所謂ARP欺騙的根本想法和思維。

主持人:ARP欺騙對(duì)于我們局域網(wǎng)的一些應(yīng)用看來是很危險(xiǎn)的。

張:我從各地，從東莞，溫州、寧波，在中國，普遍發(fā)現(xiàn)ARP欺騙影響，在早期是網(wǎng)吧。它就是讓這個(gè)網(wǎng)吧掉線。其實(shí)我們?cè)缙诎l(fā)現(xiàn)的時(shí)候，剛剛主持人講

的一些應(yīng)用就是所謂的MSN監(jiān)聽。在所謂的MSN，并沒有做特殊的加密。有些人就想了一些機(jī)制去監(jiān)聽。其實(shí)ARP最早的應(yīng)用就是在網(wǎng)絡(luò)上盜取密碼的。就是

有一些在網(wǎng)吧里的用戶，用ARP欺騙。另外一個(gè)用戶在輸入用戶名和密碼的時(shí)候，就欺騙他的這臺(tái)機(jī)器說，我的機(jī)器是路由器，他會(huì)把用戶名的密碼送到我

這臺(tái)機(jī)器里面。他就可以把這個(gè)用戶名和密碼解讀出來。等用戶沒有上網(wǎng)的時(shí)候，他就可以把這個(gè)寶盜走。后來慢慢我們發(fā)現(xiàn)，很多用戶用這個(gè)功能，在

這個(gè)上面做了很多的隱身，變得一發(fā)不可收拾。本來我大概可以用三秒、五秒，后來就產(chǎn)生了很多隱身和變形，造成網(wǎng)斷線。因?yàn)閼?yīng)用的軟件失控了，他

就可以在某一臺(tái)機(jī)器上不斷做這個(gè)欺騙的動(dòng)作。

主持人:ARP欺騙軟件運(yùn)行同時(shí)，為什么會(huì)造成頻繁的斷線呢?

張:在我們以局域網(wǎng)運(yùn)作來講，我們有兩種方式的傳輸。一種對(duì)外傳，就是我的用戶有一個(gè)需求，他透過路由器對(duì)外界傳送。這個(gè)時(shí)候，這是一種。另外一

種是回傳。當(dāng)有用戶在網(wǎng)絡(luò)上假裝他自己是路由器的時(shí)候，用戶往外傳的包或者偵就會(huì)送到假的用戶去。這個(gè)軟件就會(huì)有一來、一回持續(xù)的運(yùn)作。當(dāng)你今

天碰到ARP欺騙的時(shí)候，你就會(huì)發(fā)現(xiàn)你送去給他，他那邊沒有回應(yīng)。用戶就覺得是掉線或者斷線。嚴(yán)重的時(shí)候，就會(huì)把其他的應(yīng)用，也沒有方法應(yīng)用了。所

以就感覺到大幅度掉線或者斷線的功能。

主持人:實(shí)際上就是造成斷線的假象。

張:實(shí)際上也真的斷線了。就像我今天跟你在講話，但是你聽不到我講話的聲音。我的效勞器也不知道我在跟他講什么話。另外一個(gè)人聽到話，只是把它竊

取下來，記錄下來，并沒有給我回應(yīng)。就是這樣的現(xiàn)象。

主持人:剛剛也說老了ARP欺騙最早可以用于盜取用戶的一些密碼、一些敏感信息。現(xiàn)在我們知道，所有未加密的傳送的軟件，都應(yīng)用配合一些應(yīng)用工具監(jiān)

聽的。能不能再給我們介紹一下，配合ARP欺騙使用，還有什么所謂的黑客行為呢?

張:盜寶是最主要的，另外就是監(jiān)聽。當(dāng)ARP欺騙，可能配合其他的一些軟件功能這樣子的。我們發(fā)現(xiàn)，在局域網(wǎng)里面，想盜取一些ARP，或者無線網(wǎng)絡(luò)里面

，根本上都是用局域網(wǎng)的特性叫播送。播送，像我們剛剛提到的ARP欺騙為什么可以成型?在每一個(gè)計(jì)算機(jī)里面，都存了一個(gè)IP地址的對(duì)應(yīng)表。但是每臺(tái)機(jī)

器的內(nèi)存有限，當(dāng)這個(gè)表不夠的時(shí)候，會(huì)傳一個(gè)播送信息。比方今天我要送給一個(gè)IP地址，我就問這個(gè)IP在哪里?問出來，所有人都會(huì)接受。假設(shè)在標(biāo)準(zhǔn)正

常的運(yùn)作里面，大家知道我不是這個(gè)，我不用回應(yīng)。但是路由器知道，這個(gè)東西不是這個(gè)網(wǎng)域里面，不用送。如果是假裝這個(gè)IP地址的話，你就會(huì)產(chǎn)生一

種誤解。其實(shí)這種比較重大的威脅，我們看到無線這邊，有人利用這個(gè)特性，做一些相關(guān)的動(dòng)作。

主持人:也就是說，在無線或者有限的局域網(wǎng)里面，你所做的一些行為，都可以用黑客軟件配合ARP監(jiān)控軟件進(jìn)行欺騙，截取。

張:有一些比較低階段的應(yīng)用就是所謂的監(jiān)聽。如果在對(duì)于這些軟件做進(jìn)一步的分析，比方我這個(gè)軟件送的時(shí)候是什么需求，回來的時(shí)候是什么需求。他可

以用另外一個(gè)目標(biāo)把你所有的動(dòng)作都攔截回去。如果今天對(duì)方知道，像一個(gè)交易，他知道第一筆是什么，第二筆是什么，他把所有的資料都送過去。他也

可以把你的訊息攔截走，再轉(zhuǎn)送到效勞器，再轉(zhuǎn)送回來。這樣的隱身就變成了蠻復(fù)雜的狀況在應(yīng)用。這也是各地對(duì)ARP效果影響越來越大的原因。

主持人:這個(gè)是一般用戶來說，也是蠻頭疼的問題。

張:用戶因?yàn)椴恍⌒?，用了一些軟件，或者在PC里面點(diǎn)了一些MSN的連接等等，把這個(gè)程序啟動(dòng)了，他會(huì)發(fā)現(xiàn)自己漸漸受到了影響。像今天早上我們的技術(shù)

支持跟我們說，湖北一些網(wǎng)吧，幾乎沒有人上網(wǎng)了。因?yàn)樯喜涣司W(wǎng)。

主持人:像有這種加密的軟件傳送，信息也是能被黑客截取。只是截取后看不到內(nèi)容?

張:是的。

主持人:前一陣子出有一個(gè)msnchatsniffer這樣的軟件，發(fā)現(xiàn)每一臺(tái)機(jī)器都受到了掃描攻擊。后來我們分析，是中了病毒還是木馬這類東西呢?

張:其實(shí)在早期里面，ARP的很多功能，像陀螺儀木馬這樣的功能期在一起。在早期的ARP，只是黑客用來盜取密碼，用了三、五秒鐘。當(dāng)你輸入用戶名和密

碼的時(shí)候，另外一個(gè)用戶發(fā)現(xiàn)沒有回應(yīng)，他會(huì)再輸一次。但是因?yàn)檫@些ARP的功能跟其他的木馬或者其他的城市，或者網(wǎng)絡(luò)上的連接、病毒結(jié)合在一起，所

以造成很大規(guī)模的影響，斷線或者掉線。像你剛剛提到的狀況，這個(gè)用戶可能不知道自己在做這樣的事情，這是典型的病毒，這是病毒跟ARP結(jié)合的典型現(xiàn)

象。

主持人:他能通過ARP欺騙的病毒做什么呢?

張:ARP欺騙的病毒做到現(xiàn)在，對(duì)于制作的人或者散布的人沒有什么太大的作用，純粹是破壞的工具。因?yàn)锳RP可以收集網(wǎng)絡(luò)上播送的包，如果進(jìn)一步的應(yīng)用

，肯定會(huì)有很多的黑客在思考這個(gè)問題。因?yàn)榫W(wǎng)絡(luò)上的特性屬于來回，屬于協(xié)議這樣的狀況，如果你好好利用，好的方向能保持網(wǎng)絡(luò)順暢，不好的方向可

以攔截任何他需要的資訊。

主持人:從今年開始，在病毒這邊應(yīng)該是說黑客已經(jīng)從最早的表現(xiàn)欲，已經(jīng)轉(zhuǎn)變成有目的性的盈利的目標(biāo)，也就是說，ARP欺騙很可能被成為黑客盈利的手

段。

張:你怎么樣發(fā)生ARP欺騙的狀況，我們必須從原理開始講。最簡單的就是叫做ARP跟IP地址的對(duì)照表。我們有一些文章描述到，你可以對(duì)這個(gè)網(wǎng)絡(luò)進(jìn)行掃描

。像這個(gè)ARP的對(duì)照表，可以對(duì)這個(gè)網(wǎng)絡(luò)進(jìn)行掃描。當(dāng)你發(fā)現(xiàn)某一個(gè)對(duì)應(yīng)IP地址的話，正常是一對(duì)一的關(guān)系，如果發(fā)現(xiàn)一對(duì)多的方式那就是異常的情況?；?/p>

到我們剛剛講的，預(yù)防ARP。我們必須建立地址跟IP的固定關(guān)系。因?yàn)樗鼤?huì)欺騙你。我們現(xiàn)在所謂綁定的功能，我們剛剛講了有兩個(gè)方向做綁定，一個(gè)是路

由器的局部，你必須把內(nèi)部的所有的機(jī)器，IP地址做一個(gè)綁定。我們想了一些功能，可以讓它作后面做激活的動(dòng)作把它綁定。

很多用戶發(fā)現(xiàn)我只要在路由器這邊做好了就行了，在終端這邊就不用做了。但是這樣的話，會(huì)發(fā)生局部的現(xiàn)象。所以在用戶這邊有所謂的ARP—S的功能，

你把你的路由器的位置，也做綁定。這樣送給路由器的包就不會(huì)被別人攔截去。我們剛剛談到了兩個(gè)方向，一個(gè)是所謂的路由器端做綁定，就是所有機(jī)器

的IP地址。另外是用戶端也要綁定，綁的是路由器的IP，跟路由器的地址。實(shí)際上我們最近發(fā)現(xiàn)另外一個(gè)現(xiàn)象，就是對(duì)于中毒的這臺(tái)機(jī)器還有另外的處理

方式。中毒的這臺(tái)機(jī)器，雖然你針對(duì)每臺(tái)機(jī)器綁定，但是這個(gè)設(shè)定從開機(jī)以后，就失效了。所以我們建議用戶把它寫到啟動(dòng)的檔案里面。每次開機(jī)的時(shí)候

激活這個(gè)功能。

另外中毒的這臺(tái)機(jī)器，雖然綁定了，但是它內(nèi)部已經(jīng)有病毒了。雖然綁定了，但是它可以每秒快速寫它的ARP。這時(shí)候他對(duì)別人沒有方法造成危害。因?yàn)閯e

人已經(jīng)把路由器跟這個(gè)機(jī)器的位置寫得很確定了。對(duì)這臺(tái)上網(wǎng)的人還是有很多的困擾。我們這種傳統(tǒng)的綁定功能可以給他快速的寫。寫到一秒兩百次這樣

的速度。我們現(xiàn)在看到比較好的做法，就是把藏在里面的病毒去除掉，或者整個(gè)機(jī)器都要清理一下病毒。這是我們現(xiàn)在比較完整的處理方式。

主持人:真的是很精彩的解答。如果我只對(duì)我個(gè)人的PC機(jī)做了綁定，路由那端沒有做綁定，還會(huì)不會(huì)受到ARP欺騙?

張:在個(gè)人這邊做綁定，你可以確保你往路由送的包，確定會(huì)送到路由這邊去。但是路由送回來的時(shí)候，他可以在半路攔截。告訴你路由器不要送給它，送

給我吧。就把這個(gè)包攔截過去了。所以我們剛剛談到要雙向的包要嚴(yán)密。現(xiàn)在有些網(wǎng)吧如果做單方面的綁定是不行的。

主持人:很多人認(rèn)為我一邊綁定就可以了，實(shí)際上還是需要雙方相的綁定。河北前一段時(shí)間某公司，采用了貴公司的產(chǎn)品，和網(wǎng)吧結(jié)合出現(xiàn)了一些問題。請(qǐng)

問有一些什么具體的問題嗎?

張:在早期的路由器的版本里面，也許沒有這樣的綁定的功能。所以它就會(huì)產(chǎn)生掉線或者不穩(wěn)定的狀況。

主持人:看來防范ARP還不是說用戶個(gè)人的行為能夠解決的，還需要網(wǎng)管和用戶一起來解決。

張:這個(gè)對(duì)網(wǎng)管而言是比較全面、頭疼的工作。其實(shí)對(duì)于網(wǎng)管而言比較復(fù)雜的地方在這邊，就是你如果一次把所有局域網(wǎng)上的IP地址找出來的話，你必須要

借助一些工具。不是現(xiàn)成的機(jī)器就可以做的。必須在網(wǎng)絡(luò)上下載。就是msnchatsniffer，或者其他的工具。還有一些行動(dòng)的工作者，比方筆記本電腦來

了，你沒有設(shè)在里面，這臺(tái)就發(fā)生了這樣的問題。

主持人:不光是技術(shù)的問題，還牽涉到平安管理的問題。所以說ARP欺騙可以說是無法徹底解決的問題?？梢赃@么說嗎?

張:在網(wǎng)絡(luò)上有人提到，這個(gè)是在協(xié)議上的弱點(diǎn)。但是我想說從技術(shù)的觀點(diǎn)來講，實(shí)際上有不同的方案可以解決。在一些做路由器產(chǎn)品或者相關(guān)軟件的，或

者做防毒的，大家都可以針對(duì)這個(gè)特性。早期大家不是很了解，慢慢大家針對(duì)剛剛的特性，就是所有IP地址的綁定，你去給它更好的局限。在早期因?yàn)楹?/p>

開放，所以我在播送。但是因?yàn)榘l(fā)生這樣的問題，所以將來不管在嵌入的時(shí)候，或者在網(wǎng)絡(luò)上播送的時(shí)候，不同的軟件會(huì)做更多的標(biāo)準(zhǔn)，會(huì)降低這樣的現(xiàn)

象。

主持人:謝謝關(guān)先生精彩的發(fā)言。我們中場休息一下。我們?cè)偈占幌戮W(wǎng)友的提問，下半節(jié)請(qǐng)張先生答復(fù)。發(fā)貼者dengguo時(shí)間：HYPERLINK\o"permanentlink"下午6:39HYPERLINK0評(píng)論標(biāo)簽：HYPERLINKARP欺騙,HYPERLINKARP欺騙攻擊HYPERLINKARP透視——ARP欺騙的危害作為一名網(wǎng)絡(luò)管理員，應(yīng)該明確的知道網(wǎng)絡(luò)中的ARP列表，收集ARP列表信息?；蛘撸瑸槊颗_(tái)機(jī)器手工綁定IP地址，不允許客戶機(jī)隨意更改IP地址，將每

臺(tái)機(jī)器的IP-->MAC信息保存為文件。

MAC地址：通過一些方法可以使網(wǎng)卡的MAC地址發(fā)生改變。所以不允許修改網(wǎng)卡的MAC地址。

IP地址與主機(jī)相對(duì)應(yīng)。

xxxx_001為系統(tǒng)保存，通常就是網(wǎng)關(guān)了。IP地址為xxx.xxx.xxx.1

例如：xxxx_002這臺(tái)主機(jī)的IP地址為局域網(wǎng)地址xxx.xxx.xxx.2

ARPtable

主機(jī)名部門IP地址C地址

xxxx_002－xxx.xxx.xxx.xxx－xx-xx-xx-xx-xx-xx

xxxx_003－xxx.xxx.xxx.xxx－xx-xx-xx-xx-xx-xx

xxxx_004－xxx.xxx.xxx.xxx－xx-xx-xx-xx-xx-xx

xxxx_005－xxx.xxx.xxx.xxx－xx-xx-xx-xx-xx-xx

xxxx_006－xxx.xxx.xxx.xxx－xx-xx-xx-xx-xx-xx

xxxx_007－xxx.xxx.xxx.xxx－xx-xx-xx-xx-xx-xx

xxxx_008－xxx.xxx.xxx.xxx－xx-xx-xx-xx-xx-xx

xxxx_009－xxx.xxx.xxx.xxx－xx-xx-xx-xx-xx-xx

xxxx_011－xxx.xxx.xxx.xxx－xx-xx-xx-xx-xx-xx

xxxx_012－xxx.xxx.xxx.xxx－xx-xx-xx-xx-xx-xx

xxxx_013－xxx.xxx.xxx.xxx－xx-xx-xx-xx-xx-xx

ARP協(xié)議：

####源IP地址-->源MAC地址#####將源IP地址解析為源MAC地址

####目標(biāo)IP地址-->目標(biāo)MAC地址####將目標(biāo)IP地址解析為目標(biāo)MAC地址

RARP協(xié)議：

####源MAC地址-->源IP地址####將源MAC地址解析為源IP地址

####目標(biāo)MAC地址-->目標(biāo)IP地址####將目標(biāo)MAC地址解析為目標(biāo)IP地址

ARP攻擊檢測：

#ARP–a

查看本機(jī)ARP緩存，正常情況下第一欄打印本機(jī)IP地址，第二欄返回當(dāng)前網(wǎng)關(guān)的IP地址和MAC地址。

正常模式：網(wǎng)絡(luò)中只有一個(gè)網(wǎng)關(guān)，客戶機(jī)ARP緩存只有一條ARP記錄，并且這條記錄是當(dāng)前網(wǎng)關(guān)的IP-->MAC的映射。

混雜模式：當(dāng)ARP緩存中有多條IP-->MAC的記錄，說明當(dāng)前為混雜模式，網(wǎng)的網(wǎng)關(guān)不是唯一的。

排除：在SuSELinux系統(tǒng)中，如果使用ping命令ping網(wǎng)絡(luò)中的另一臺(tái)主機(jī)，再用ARP-a的命令查看本機(jī)ARP緩存會(huì)多出一條ARP記錄。這條記錄的源IP

地址就是剛剛ping的那臺(tái)主機(jī)的IP地址，源MAC地址就是剛剛ping的那臺(tái)主機(jī)的MAC址址。

獲取網(wǎng)絡(luò)中的ARP信息：使用ping命令ping網(wǎng)絡(luò)中的另一臺(tái)主機(jī)，然后再使用ARP-a或者是ARP-na的命令可以查看到剛剛ping的那臺(tái)網(wǎng)絡(luò)中的主機(jī)的IP

和MAC地址的映射關(guān)系。注意，使用此方法獲得的ARP信息不代表網(wǎng)絡(luò)一定為混雜模式。如果網(wǎng)關(guān)路由工作正常，且有合法的公網(wǎng)地址

sled10:~#ARP-na

(41)at00:01:01:02:02:39[ether]oneth0

(50)at00:E0:4C:3A:1D:BC[ether]oneth0

()at00:14:78:A1:7F:78[ether]oneth0

sled10:~#

能夠訪問廣域網(wǎng)的情況下：

使用ping命令ping廣域網(wǎng)上的一個(gè)域名

＞正常的現(xiàn)象：

#ping

#ping

#ping

sled10:~#ping

PING(58)56(84)bytesofdata.

64bytesfromf1.(58):ICMP_seq=1ttl=51time=1183ms

64bytesfromf1.(58):ICMP_seq=2ttl=51time=1458ms

64bytesfromf1.(58):ICMP_seq=3ttl=51time=1287ms

64bytesfromf1.(58):ICMP_seq=4ttl=51time=1185ms

64bytesfromf1.(58):ICMP_seq=5ttl=51time=934ms

＞非正常情況：

分析ARP欺騙的原理

sled10:~#ping

PING(4)56(84)bytesofdata.

From41:ICMP_seq=237RedirectHost(Newnexthop:)

64bytesfrom5:ICMP_seq=237ttl=53time=25.6ms

From41:ICMP_seq=238RedirectHost(Newnexthop:)

64bytesfrom5:ICMP_seq=238ttl=53time=25.3ms

From41:ICMP_seq=239RedirectHost(Newnexthop:)

64bytesfrom5:ICMP_seq=239ttl=53time=25.6ms

From41:ICMP_seq=240RedirectHost(Newnexthop:)

64bytesfrom5:ICMP_seq=240ttl=53time=25.8ms

From41:ICMP_seq=241RedirectHost(Newnexthop:)

64bytesfrom5:ICMP_seq=241ttl=53time=26.0ms

From41:ICMP_seq=242RedirectHost(Newnexthop:)

From41:ICMP_seq=240RedirectHost(Newnexthop:)

上面的ping后，從局域網(wǎng)的41返回一條ICMP包。

＞＞＞

64bytesfrom5:ICMP_seq=239ttl=53time=25.6ms

接著，從廣域網(wǎng)返回一條ICMP包。

注意，正常的的情況下ping廣域網(wǎng)的域名或IP地址應(yīng)該只會(huì)收到廣域網(wǎng)地址返回的ICMP包。

同時(shí)反覆的高頻率的從局域網(wǎng)的一臺(tái)主機(jī)返回的ICMP包屬于非正常的情況。

From41:ICMP_seq=240RedirectHost(Newnexthop:)

Redirect:['ri:di'rekt]

a.再直接的

v.重新傳入,重新寄送

英英解釋:

動(dòng)詞redirect:

注意！！

上面的英文解釋是“再連接的〞，也就是說每次ping廣域網(wǎng)的一個(gè)域名都會(huì)先收到這個(gè)局域網(wǎng)內(nèi)的機(jī)器的ICMP包。

這個(gè)ICMP包是“再連接的〞，也就是說不是始終連接的。只有當(dāng)有網(wǎng)絡(luò)請(qǐng)求時(shí)才會(huì)“再次連接〞，而不需要訪問網(wǎng)絡(luò)時(shí)就斷開了連接或者說連接不起作

用。每次訪問網(wǎng)絡(luò)都需要和這臺(tái)局域網(wǎng)中的機(jī)器連接，每發(fā)送一個(gè)ping包到廣域網(wǎng)的一個(gè)域名（主機(jī)）都要通過這臺(tái)局域網(wǎng)中的主機(jī)，每收到廣域網(wǎng)的一

個(gè)域（地址）的ICMP包之前都必須通過這臺(tái)局域網(wǎng)中的機(jī)器。都要通過這臺(tái)局域網(wǎng)中的主機(jī)。那么這臺(tái)主機(jī)就相當(dāng)于網(wǎng)關(guān)了。但是，實(shí)際的網(wǎng)關(guān)并不是這

臺(tái)主機(jī)。

正常工作的網(wǎng)關(guān)，不會(huì)出出如此高頻率的“重新傳入〞、“再次連接〞。

合理的解釋：本機(jī)的ARP緩存正在被高頻率的刷新。

造本錢機(jī)的ARP緩存高頻率刷新的原因就在于局域網(wǎng)中的這臺(tái)主機(jī)使用了不斷的高頻率的向局域網(wǎng)中發(fā)送ARP包，不斷的高頻率的向網(wǎng)絡(luò)中的機(jī)器告白：“

大家好！我就是網(wǎng)關(guān)，你們跟著我就能夠有吃有喝了。〞發(fā)貼者dengguo時(shí)間：HYPERLINK\o"permanentlink"下午6:38HYPERLINK0評(píng)論標(biāo)簽：HYPERLINKARP欺騙HYPERLINK網(wǎng)吧頻繁掉線（ARP）與解決方法現(xiàn)在頻繁掉線的網(wǎng)吧很多.但為何掉線.許多網(wǎng)管朋友.不是很清楚.網(wǎng)吧掉線的原因很多.現(xiàn)在我給大家講一下現(xiàn)在很流行的一種木馬.<傳奇網(wǎng)吧殺手>.根本上東北地區(qū)的網(wǎng)吧都被這一木馬弄的身心疲憊.但是現(xiàn)在有解決的方法了.中病毒特征:網(wǎng)吧不定時(shí)的掉線.(重啟路由后正常),網(wǎng)吧局域網(wǎng)內(nèi)有個(gè)別機(jī)器掉線.

木馬分析:傳奇殺手木馬,是通過ARP欺騙,來或取局域網(wǎng)內(nèi)發(fā)往外網(wǎng)的數(shù)據(jù).從而截獲局域內(nèi)一些網(wǎng)游的用戶名和密碼.木馬解析:中木馬的機(jī)器能虛擬出一個(gè)路由器的MAC地址和路由器的IP.當(dāng)病毒發(fā)作時(shí),局域網(wǎng)內(nèi)就會(huì)多出一個(gè)路由器的MAC地址.內(nèi)網(wǎng)在發(fā)往外網(wǎng)的數(shù)據(jù)時(shí),誤認(rèn)為中木馬的機(jī)器是路由器,從而把這些數(shù)據(jù)發(fā)給了虛擬的路由器.真正路由器的MAC地址被占用.內(nèi)網(wǎng)的數(shù)據(jù)發(fā)出不去.所以就掉線了.解決方法:守先你下載一個(gè)網(wǎng)絡(luò)執(zhí)法官,他可以監(jiān)控局域網(wǎng)內(nèi)所有機(jī)器的MAC地址和局域網(wǎng)內(nèi)的IP地址.在設(shè)置網(wǎng)絡(luò)執(zhí)法官時(shí).你必須將網(wǎng)絡(luò)執(zhí)法官的IP段設(shè)置和你內(nèi)網(wǎng)的IP段一樣.比方說:你的內(nèi)網(wǎng)IP是54你的設(shè)置時(shí)也要設(shè)置54.設(shè)置完后,你就會(huì)看到你的內(nèi)網(wǎng)中的MAC地址和IP地址.從而可以看出哪臺(tái)機(jī)器中了木馬.(在多出的路由器MAC地址和IP地址和內(nèi)網(wǎng)機(jī)器的IP地址,MAC地址一樣的說明中了傳奇網(wǎng)吧殺手)要是不知道路由器的MAC地址,在路由器的設(shè)置界面可以看到.發(fā)現(xiàn)木馬后.你還要下載瑞星2006最新版的殺病毒軟件(3月15日之后的病毒庫).在下載完之后必須在平安模式下查殺(這是瑞星反病毒專家的見意)反復(fù)查殺(一般在四次就可以了)注意查完后殺病毒軟件不要卸載掉.觀查幾天(這是我個(gè)人的經(jīng)驗(yàn).在卸后第三天病毒還會(huì)死灰復(fù)燃,我想可能是注冊(cè)表里還有他的隱藏文件.在觀查幾天后正常就可以卸載掉了.注:復(fù)原精靈和冰點(diǎn)對(duì)網(wǎng)吧傳奇殺手木馬不起做用.(傳奇殺手木馬不會(huì)感染局域網(wǎng).不要用硬盤對(duì)克,對(duì)克跟本不起任何做用.而且還會(huì)感染到母盤上.切記!)最好主機(jī)安裝上網(wǎng)絡(luò)執(zhí)法官,這樣可以時(shí)時(shí)監(jiān)控局域網(wǎng)內(nèi)的動(dòng)態(tài),發(fā)現(xiàn)木馬后可以及時(shí)做出對(duì)策)

下面是傳奇網(wǎng)吧殺手木馬的文件:

文件名：文件路徑：病毒名：

a.exe>>b.exec:\windows\system32Trojan.psw.lmir.jbg

235780.dllc:\windows\Trojan.psw.lmir.aji

kb2357801.logc:\windows\Trojan.psw.lmir.jhe

Q98882.logc:\windows\Trojan.psw.lmir.jhe

kb2357802.logc:\windows\Trojan.psw.lmir.jbg

Q90979.logc:\windows\Trojan.psw.lmir.jhe

Q99418.logc:\windows\Trojan.psw.lmir.jbg

ZT.exec:\windows\programFiles\浩方對(duì)戰(zhàn)平臺(tái)病毒名：Trojan.dL.agent.eqv

a[1].exe>>b.exec:\documentsandsttings\sicent\localsettings\TemporaryInternetFiles\content.IE5\Q5g5g3uj

病毒名:Trojan.psw.lmir.jbg(各位朋友.瑞星殺毒軟件文件過大郵箱發(fā)送不了.請(qǐng)大家下載瑞星個(gè)人18.18.20版殺毒軟件我現(xiàn)在給大家提供注冊(cè)碼.希望大家原諒.)

SN=P5V6EH-61FHJK-9G0SS7-C4D200

ID=5B3C5BJ4Y125

（網(wǎng)絡(luò)執(zhí)法官可以批量MAC捆綁，到執(zhí)法官的局域網(wǎng)MAC界面，全選后單擊右鍵會(huì)出現(xiàn)批量MAC捆綁．做完捆綁以后，ARP要是在次攻擊時(shí)他會(huì)報(bào)警，出現(xiàn)的假M(fèi)AC是為非法．網(wǎng)絡(luò)執(zhí)法官會(huì)終止他的一切操作．）這樣可以解決ARP在次攻擊．發(fā)貼者dengguo時(shí)間：HYPERLINK\o"permanentlink"下午6:31HYPERLINK0評(píng)論標(biāo)簽：HYPERLINKARP攻擊策略,HYPERLINKARP欺騙HYPERLINKARP攻擊與防護(hù)完全手冊(cè)最近在論壇上經(jīng)?？吹疥P(guān)于ARP病毒的問題，于是在Google上搜索ARP關(guān)鍵字！結(jié)果出來N多關(guān)于這類問題的討論。想再學(xué)習(xí)ARP下相關(guān)知識(shí)，所以對(duì)目前網(wǎng)絡(luò)中常見的ARP問題進(jìn)行了一個(gè)總結(jié)?，F(xiàn)在將其貼出來，希望和大家一起討論！

一、ARP概念

咱們談ARP之前，還是先要知道ARP的概念和工作原理，理解了原理知識(shí)，才能更好去面對(duì)和分析處理問題。

1.1ARP概念知識(shí)

ARP，全稱AddressResolutionProtocol，中文名為地址解析協(xié)議，它工作在數(shù)據(jù)鏈路層，在本層和硬件接口聯(lián)系，同時(shí)對(duì)上層提供效勞。

IP數(shù)據(jù)包常通過以太網(wǎng)發(fā)送，以太網(wǎng)設(shè)備并不識(shí)別32位IP地址，它們是以48位以太網(wǎng)地址傳輸以太網(wǎng)數(shù)據(jù)包。因此，必須把IP目的地址轉(zhuǎn)換成以太網(wǎng)目的地址。在以太網(wǎng)中，一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的MAC地址。但這個(gè)目標(biāo)MAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。ARP協(xié)議用于將網(wǎng)絡(luò)中的IP地址解析為的硬件地址（MAC地址），以保證通信的順利進(jìn)行。

1.2ARP工作原理

首先，每臺(tái)主機(jī)都會(huì)在自己的ARP緩沖區(qū)中建立一個(gè)ARP列表，以表示IP地址和MAC地址的對(duì)應(yīng)關(guān)系。當(dāng)源主機(jī)需要將一個(gè)數(shù)據(jù)包要發(fā)送到目的主機(jī)時(shí)，會(huì)首先檢查自己ARP列表中是否存在該IP地址對(duì)應(yīng)的MAC地址，如果有﹐就直接將數(shù)據(jù)包發(fā)送到這個(gè)MAC地址；如果沒有，就向本地網(wǎng)段發(fā)起一個(gè)ARP請(qǐng)求的播送包，查詢此目的主機(jī)對(duì)應(yīng)的MAC地址。此ARP請(qǐng)求數(shù)據(jù)包里包括源主機(jī)的IP地址、硬件地址、以及目的主機(jī)的IP地址。網(wǎng)絡(luò)中所有的主機(jī)收到這個(gè)ARP請(qǐng)求后，會(huì)檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此數(shù)據(jù)包；如果相同，該主機(jī)首先將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已經(jīng)存在該IP的信息，則將其覆蓋，然后給源主機(jī)發(fā)送一個(gè)ARP響應(yīng)數(shù)據(jù)包，告訴對(duì)方自己是它需要查找的MAC地址；源主機(jī)收到這個(gè)ARP響應(yīng)數(shù)據(jù)包后，將得到的目的主機(jī)的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息開始數(shù)據(jù)的傳輸。如果源主機(jī)一直沒有收到ARP響應(yīng)數(shù)據(jù)包，表示ARP查詢失敗。

例如：

A的地址為：IP：MAC:AA-AA-AA-AA-AA-AA

B的地址為：IP：MAC:BB-BB-BB-BB-BB-BB

根據(jù)上面的所講的原理，我們簡單說明這個(gè)過程：A要和B通訊，A就需要知道B的以太網(wǎng)地址，于是A發(fā)送一個(gè)ARP請(qǐng)求播送（誰是，請(qǐng)告訴），當(dāng)B收到該播送，就檢查自己，結(jié)果發(fā)現(xiàn)和自己的一致，然后就向A發(fā)送一個(gè)ARP單播應(yīng)答（在BB-BB-BB-BB-BB-BB）。

1.3ARP通訊模式

通訊模式（PatternAnalysis）：在網(wǎng)絡(luò)分析中，通訊模式的分析是很重要的，不同的協(xié)議和不同的應(yīng)用都會(huì)有不同的通訊模式。更有些時(shí)候，相同的協(xié)議在不同的企業(yè)應(yīng)用中也會(huì)出現(xiàn)不同的通訊模式。ARP在正常情況下的通訊模式應(yīng)該是：請(qǐng)求->應(yīng)答->請(qǐng)求->應(yīng)答，也就是應(yīng)該一問一答。

二、常見ARP攻擊類型

個(gè)人認(rèn)為常見的ARP攻擊為兩種類型：ARP掃描和ARP欺騙。

2.1ARP掃描（ARP請(qǐng)求風(fēng)暴）

通訊模式（可能）：

請(qǐng)求->請(qǐng)求->請(qǐng)求->請(qǐng)求->請(qǐng)求->請(qǐng)求->應(yīng)答->請(qǐng)求->請(qǐng)求->請(qǐng)求...

描述：

網(wǎng)絡(luò)中出現(xiàn)大量ARP請(qǐng)求播送包，幾乎都是對(duì)網(wǎng)段內(nèi)的所有主機(jī)進(jìn)行掃描。大量的ARP請(qǐng)求播送可能會(huì)占用網(wǎng)絡(luò)帶寬資源；ARP掃描一般為ARP攻擊的前奏。

出現(xiàn)原因（可能）：

病毒程序，偵聽程序，掃描程序。

如果網(wǎng)絡(luò)分析軟件部署正確，可能是我們只鏡像了交換機(jī)上的局部端口，所以大量ARP請(qǐng)求是來自與非鏡像口連接的其它主機(jī)發(fā)出的。

如果部署不正確，這些ARP請(qǐng)求播送包是來自和交換機(jī)相連的其它主機(jī)。

2.2ARP欺騙

ARP協(xié)議并不只在發(fā)送了ARP請(qǐng)求才接收ARP應(yīng)答。當(dāng)計(jì)算機(jī)接收到ARP應(yīng)答數(shù)據(jù)包的時(shí)候，就會(huì)對(duì)本地的ARP緩存進(jìn)行更新，將應(yīng)答中的IP和MAC地址存儲(chǔ)在ARP緩存中。所以在網(wǎng)絡(luò)中，有人發(fā)送一個(gè)自己偽造的ARP應(yīng)答，網(wǎng)絡(luò)可能就會(huì)出現(xiàn)問題。這可能就是協(xié)議設(shè)計(jì)者當(dāng)初沒考慮到的！

2.2.1欺騙原理

假設(shè)一個(gè)網(wǎng)絡(luò)環(huán)境中，網(wǎng)內(nèi)有三臺(tái)主機(jī)，分別為主機(jī)A、B、C。主機(jī)詳細(xì)信息如下描述：

A的地址為：IP：MAC:AA-AA-AA-AA-AA-AA

B的地址為：IP：MAC:BB-BB-BB-BB-BB-BB

C的地址為：IP：MAC:CC-CC-CC-CC-CC-CC

正常情況下A和C之間進(jìn)行通訊，但是此時(shí)B向A發(fā)送一個(gè)自己偽造的ARP應(yīng)答，而這個(gè)應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是（C的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（C的MAC地址本來應(yīng)該是CC-CC-CC-CC-CC-CC，這里被偽造了）。當(dāng)A接收到B偽造的ARP應(yīng)答，就會(huì)更新本地的ARP緩存（A被欺騙了），這時(shí)B就偽裝成C了。同時(shí)，B同樣向C發(fā)送一個(gè)ARP應(yīng)答，應(yīng)答包中發(fā)送方IP地址四（A的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（A的MAC地址本來應(yīng)該是AA-AA-AA-AA-AA-AA），當(dāng)C收到B偽造的ARP應(yīng)答，也會(huì)更新本地ARP緩存（C也被欺騙了），這時(shí)B就偽裝成了A。這樣主機(jī)A和C都被主機(jī)B欺騙，A和C之間通訊的數(shù)據(jù)都經(jīng)過了B。主機(jī)B完全可以知道他們之間說的什么：）。這就是典型的ARP欺騙過程。

注意：一般情況下，ARP欺騙的某一方應(yīng)該是網(wǎng)關(guān)。

2.2.2兩種情況

ARP欺騙存在兩種情況：一種是欺騙主機(jī)作為“中間人〞，被欺騙主機(jī)的數(shù)據(jù)都經(jīng)過它中轉(zhuǎn)一次，這樣欺騙主機(jī)可以竊取到被它欺騙的主機(jī)之間的通訊數(shù)據(jù)；另一種讓被欺騙主機(jī)直接斷網(wǎng)。

◆第一種：竊取數(shù)據(jù)（嗅探）

通訊模式：

應(yīng)答->應(yīng)答->應(yīng)答->應(yīng)答->應(yīng)答->請(qǐng)求->應(yīng)答->應(yīng)答->請(qǐng)求->應(yīng)答...

描述：

這種情況就屬于我們上面所說的典型的ARP欺騙，欺騙主機(jī)向被欺騙主機(jī)發(fā)送大量偽造的ARP應(yīng)答包進(jìn)行欺騙，當(dāng)通訊雙方被欺騙成功后，自己作為了一個(gè)“中間人“的身份。此時(shí)被欺騙的主機(jī)雙方還能正常通訊，只不過在通訊過程中被欺騙者“竊聽〞了。

出現(xiàn)原因（可能）：

木馬病毒

嗅探

人為欺騙

◆第二種：導(dǎo)致斷網(wǎng)

通訊模式：

應(yīng)答->應(yīng)答->應(yīng)答->應(yīng)答->應(yīng)答->應(yīng)答->請(qǐng)求…

描述：

這類情況就是在ARP欺騙過程中，欺騙者只欺騙了其中一方，如B欺騙了A，但是同時(shí)B沒有對(duì)C進(jìn)行欺騙，這樣A實(shí)質(zhì)上是在和B通訊，所以A就不能和C通訊了，另外一種情況還可能就是欺騙者偽造一個(gè)不存在地址進(jìn)行欺騙。

對(duì)于偽造地址進(jìn)行的欺騙，在排查上比較有難度，這里最好是借用TAP設(shè)備（呵呵，這個(gè)東東好似有點(diǎn)貴勒），分別捕獲單向數(shù)據(jù)流進(jìn)行分析！

出現(xiàn)原因（可能）：

木馬病毒

人為破壞

一些網(wǎng)管軟件的控制功能

三、常用的防護(hù)方法

搜索網(wǎng)上，目前對(duì)于ARP攻擊防護(hù)問題出現(xiàn)最多是綁定IP和MAC和使用ARP防護(hù)軟件，也出現(xiàn)了具有ARP防護(hù)功能的路由器。呵呵，我們來了解下這三種方法。

3.1靜態(tài)綁定

最常用的方法就是做IP和MAC靜態(tài)綁定，在網(wǎng)內(nèi)把主機(jī)和網(wǎng)關(guān)都做IP和MAC綁定。

欺騙是通過ARP的動(dòng)態(tài)實(shí)時(shí)的規(guī)則欺騙內(nèi)網(wǎng)機(jī)器，所以我們把ARP全部設(shè)置為靜態(tài)可以解決對(duì)內(nèi)網(wǎng)PC的欺騙，同時(shí)在網(wǎng)關(guān)也要進(jìn)行IP和MAC的靜態(tài)綁定，這樣雙向綁定才比較保險(xiǎn)。

方法：

對(duì)每臺(tái)主機(jī)進(jìn)行IP和MAC地址靜態(tài)綁定。

通過命令，arp-s可以實(shí)現(xiàn)“arp–sIPMAC地址〞。

例如：“arp–sAA-AA-AA-AA-AA-AA〞。

如果設(shè)置成功會(huì)在PC上面通過執(zhí)行arp-a可以看到相關(guān)的提示：InternetAddressPhysicalAddressType

AA-AA-AA-AA-AA-AAstatic(靜態(tài))

一般不綁定,在動(dòng)態(tài)的情況下：

InternetAddressPhysicalAddressType

AA-AA-AA-AA-AA-AAdynamic(動(dòng)態(tài))

說明：對(duì)于網(wǎng)絡(luò)中有很多主機(jī)，500臺(tái)，1000臺(tái)...，如果我們這樣每一臺(tái)都去做靜態(tài)綁定，工作量是非常大的。。。。，這種靜態(tài)綁定，在電腦每次重起后，都必須重新在綁定，雖然也可以做一個(gè)批處理文件，但是還是比較麻煩的！

3.2使用ARP防護(hù)軟件

目前關(guān)于ARP類的防護(hù)軟件出的比較多了，大家使用比較常用的ARP工具主要是欣向ARP工具，Antiarp等。它們除了本身來檢測出ARP攻擊外，防護(hù)的工作原理是一定頻率向網(wǎng)絡(luò)播送正確的ARP信息。我們還是來簡單說下這兩個(gè)小工具。

3.2.1欣向ARP工具

俺使用了該工具，它有5個(gè)功能：

A.IP/MAC清單

選擇網(wǎng)卡。如果是單網(wǎng)卡不需要設(shè)置。如果是多網(wǎng)卡需要設(shè)置連接內(nèi)網(wǎng)的那塊網(wǎng)卡。

IP/MAC掃描。這里會(huì)掃描目前網(wǎng)絡(luò)中所有的機(jī)器的IP與MAC地址。請(qǐng)?jiān)趦?nèi)網(wǎng)運(yùn)行正常時(shí)掃描，因?yàn)檫@個(gè)表格將作為對(duì)之后ARP的參照。

之后的功能都需要這個(gè)表格的支持，如果出現(xiàn)提示無法獲取IP或MAC時(shí)，就說明這里的表格里面沒有相應(yīng)的數(shù)據(jù)。

B.ARP欺騙檢測

這個(gè)功能會(huì)一直檢測內(nèi)網(wǎng)是否有PC冒充表格內(nèi)的IP。你可以把主要的IP設(shè)到檢測表格里面，例如，路由器，電影效勞器，等需要內(nèi)網(wǎng)機(jī)器訪問的機(jī)器IP。

(補(bǔ)充)“ARP欺騙記錄〞表如何理解：

“Time〞：發(fā)現(xiàn)問題時(shí)的時(shí)間；

“sender〞：發(fā)送欺騙信息的IP或MAC；

“Repeat〞：欺詐信息發(fā)送的次數(shù)；

“ARPinfo〞：是指發(fā)送欺騙信息的具體內(nèi)容.如下面例子：

timesenderRepeatARPinfo22:22:2221433isat00:0e:03:22:02:e8

這條信息的意思是：在22:22:22的時(shí)間,檢測到由2發(fā)出的欺騙信息，已經(jīng)發(fā)送了1433次，他發(fā)送的欺騙信息的內(nèi)容是：的MAC地址是00:0e:03:22:02:e8。

翻開檢測功能，如果出現(xiàn)針對(duì)表內(nèi)IP的欺騙，會(huì)出現(xiàn)提示?？梢园凑仗崾静榈絻?nèi)網(wǎng)的ARP欺騙的根源。提示一句，任何機(jī)器都可以冒充其他機(jī)器發(fā)送IP與MAC，所以即使提示出某個(gè)IP或MAC在發(fā)送欺騙信息，也未必是100％的準(zhǔn)確。所有請(qǐng)不要以暴力解決某些問題。

C.主動(dòng)維護(hù)

這個(gè)功能可以直接解決ARP欺騙的掉線問題，但是并不是理想方法。他的原理就在網(wǎng)絡(luò)內(nèi)不停的播送制定的IP的正確的MAC地址。

“制定維護(hù)對(duì)象〞的表格里面就是設(shè)置需要保護(hù)的IP。發(fā)包頻率就是每秒發(fā)送多少個(gè)正確的包給網(wǎng)絡(luò)內(nèi)所有機(jī)器。強(qiáng)烈建議盡量少的播送IP，盡量少的播送頻率。一般設(shè)置1次就可以，如果沒有綁定IP的情況下，出現(xiàn)ARP欺騙，可以設(shè)置到50－100次，如果還有掉線可以設(shè)置更高，即可以實(shí)現(xiàn)快速解決ARP欺騙的問題。但是想真正解決ARP問題，還是請(qǐng)參照上面綁定方法。

D.欣向路由器日志

收集欣向路由器的系統(tǒng)日志，等功能。

E.抓包

類似于網(wǎng)絡(luò)分析軟件的抓包，保存格式是.cap。

3.2.1Antiarp

這個(gè)軟件界面比較簡單，以下為我收集該軟件的使用方法。

A.填入網(wǎng)關(guān)IP地址，點(diǎn)擊［獲取網(wǎng)關(guān)地址］將會(huì)顯示出網(wǎng)關(guān)的MAC地址。點(diǎn)擊[自動(dòng)防護(hù)]即可保護(hù)當(dāng)前網(wǎng)卡與該網(wǎng)關(guān)的通信不會(huì)被第三方監(jiān)聽。注意：如出現(xiàn)ARP欺騙提示，這說明攻擊者發(fā)送了ARP欺騙數(shù)據(jù)包來獲取網(wǎng)卡的數(shù)據(jù)包，如果您想追蹤攻擊來源請(qǐng)記住攻擊者的MAC地址，利用MAC地址掃描器可以找出IP對(duì)應(yīng)的MAC地址.

B.IP地址沖突

如頻繁的出現(xiàn)IP地址沖突，這說明攻擊者頻繁發(fā)送ARP欺騙數(shù)據(jù)包，才會(huì)出現(xiàn)IP沖突的警告，利用AntiARPSniffer可以防止此類攻擊。

C.您需要知道沖突的MAC地址，Windows會(huì)記錄這些錯(cuò)誤。查看具體方法如下：

右擊[我的電腦]--[管理]--點(diǎn)擊[事件查看器]--點(diǎn)擊[系統(tǒng)]--查看來源為[TcpIP]雙擊事件可以看到顯示地址發(fā)生沖突，并記錄了該MAC地址，請(qǐng)復(fù)制該MAC地址并填入AntiARPSniffer的本地MAC地址輸入框中(請(qǐng)注意將:轉(zhuǎn)換為-)，輸入完成之后點(diǎn)擊[防護(hù)地址沖突]，為了使MAC地址生效請(qǐng)禁用本地網(wǎng)卡然后再啟用網(wǎng)卡，在CMD命令行中輸入Ipconfig/all，查看當(dāng)前MAC地址是否與本地MAC地址輸入框中的MAC地址相符，如果更改失敗請(qǐng)與我聯(lián)系。如果成功將不再會(huì)顯示地址沖突。

注意:如果您想恢復(fù)默認(rèn)MAC地址,請(qǐng)點(diǎn)擊[恢復(fù)默認(rèn)],為了使MAC地址生效請(qǐng)禁用本地網(wǎng)卡然后再啟用網(wǎng)卡。

3.3具有ARP防護(hù)功能的路由器

這類路由器以前聽說的很少，對(duì)于這類路由器中提到的ARP防護(hù)功能，其實(shí)它的原理就是定期的發(fā)送自己正確的ARP信息。但是路由器的這種功能對(duì)于真正意義上的攻擊，是不能解決的。

ARP的最常見的特征就是掉線，一般情況下不需要處理一定時(shí)間內(nèi)可以回復(fù)正常上網(wǎng)，因?yàn)锳RP欺騙是有老化時(shí)間的，過了老化時(shí)間就會(huì)自動(dòng)的回復(fù)正?！，F(xiàn)在大多數(shù)路由器都會(huì)在很短時(shí)間內(nèi)不停播送自己的正確ARP信息，使受騙的主機(jī)回復(fù)正常。但是如果出現(xiàn)攻擊性ARP欺騙(其實(shí)就是時(shí)間很短的量很大的欺騙ARP，1秒有個(gè)幾百上千的)，它是不斷的發(fā)起ARP欺騙包來阻止內(nèi)網(wǎng)機(jī)器上網(wǎng)，即使路由器不斷播送正確的包也會(huì)被他大量的錯(cuò)誤信息給淹沒。

可能你會(huì)有疑問：我們也可以發(fā)送比欺騙者更多更快正確的ARP信息??？如果攻擊者每秒發(fā)送1000個(gè)ARP欺騙包，那我們就每秒發(fā)送1500個(gè)正確的ARP信息！

面對(duì)上面的疑問，我們仔細(xì)想想，如果網(wǎng)絡(luò)拓?fù)浜艽?，網(wǎng)絡(luò)中接了很多網(wǎng)絡(luò)設(shè)備和主機(jī)，大量的設(shè)備都去處理這些播送信息，那網(wǎng)絡(luò)使用起來好不爽，再說了會(huì)影響到我們工作和學(xué)習(xí)。ARP播送會(huì)造成網(wǎng)絡(luò)資源的浪費(fèi)和占用。如果該網(wǎng)絡(luò)出了問題，我們抓包分析，數(shù)據(jù)包中也會(huì)出現(xiàn)很多這類ARP播送包，對(duì)分析也會(huì)造成一定的影響。發(fā)貼者dengguo時(shí)間：HYPERLINK\o"permanentlink"下午6:28HYPERLINK0評(píng)論標(biāo)簽：HYPERLINKARP攻擊,HYPERLINKARP防護(hù)HYPERLINK局域網(wǎng)ARP欺騙排查解決報(bào)告上周四下午，單位網(wǎng)絡(luò)故障，無法翻開網(wǎng)頁，關(guān)掉防火墻，路由器，重新起動(dòng)，故障消失，這種事情由來已久，因?yàn)榫W(wǎng)絡(luò)設(shè)計(jì)初期問題

周五出現(xiàn)網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)現(xiàn)象，一本科生告訴我可能是“ARP欺騙〞所致，在DOS下，輸入：arp-a發(fā)現(xiàn)網(wǎng)關(guān)MAC地址與一臺(tái)IP為的主機(jī)MAC相同，找到該機(jī)后，斷掉，網(wǎng)絡(luò)恢復(fù)。

本以為事情就這么過去了，然而：

周一上班又出現(xiàn)網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)、網(wǎng)速慢、上不去網(wǎng)……眾人紛紛報(bào)告，搞得我相當(dāng)郁悶，情急之下發(fā)現(xiàn)重新起動(dòng)電腦故障就消失了，于是簡單要求照做。晚上在家查找了相關(guān)資料，知道遇到ARP欺騙這種事情不好搞，并且找到了應(yīng)急對(duì)策：

1、對(duì)網(wǎng)關(guān)做IP-MAC綁定

2、用MAC掃描器得到網(wǎng)內(nèi)上網(wǎng)主機(jī)的IP-MAC對(duì)，記錄下來以備后用

周二上班前做了網(wǎng)關(guān)地址綁定。一上午至下班前一小時(shí)無事，但我知道，這個(gè)ARP欺騙主機(jī)像幽靈躲在暗處，時(shí)刻窺探發(fā)動(dòng)攻擊的最正確時(shí)刻，不把它揪出來，早晚是個(gè)事兒！現(xiàn)在它沒有出現(xiàn)，可能是因?yàn)楣收现鳈C(jī)的人沒來不在單位，根本沒開機(jī)！果然，下班前一個(gè)小時(shí)故障再次出現(xiàn)！然而單位70幾臺(tái)上網(wǎng)主機(jī)三個(gè)樓層，怎么查？！有人提出一個(gè)房間一個(gè)房間的斷網(wǎng)排查，我否認(rèn)的這種干擾正常工作秩序的方案，決定重新研究新對(duì)策。下載了一個(gè)AntiArpSniffer的工具進(jìn)行監(jiān)控，晚上回家在不安中睡去……

周三，也就是今天早上到單位，在兩臺(tái)監(jiān)控的主機(jī)上發(fā)現(xiàn)如下“欺騙機(jī)MAC地址：00-11-**--**-**-2D〞（由于此地址為物理網(wǎng)卡地址，具有全球唯一性，故隱去真實(shí)值），軟件還報(bào)告了發(fā)生欺騙的時(shí)間和大概36次的欺騙次數(shù)！但卻沒有查出IP地址。8點(diǎn)半用MAC掃描器進(jìn)行全網(wǎng)掃描，卻未發(fā)現(xiàn)上述MAC地址。9點(diǎn)15分，有機(jī)器報(bào)告不能上網(wǎng)，到現(xiàn)場，運(yùn)行欄輸入：arp–d不用關(guān)機(jī)重起，可以上網(wǎng)，更確定是ARP病毒所致。10點(diǎn)05分再次用MAC掃描器，突然閃現(xiàn)了IP與MAC地址對(duì)應(yīng)的主機(jī)?。?！火速聯(lián)系機(jī)主，對(duì)方反應(yīng)這幾天上網(wǎng)速度很慢，正想重裝系統(tǒng)。告知事發(fā)原因，并驗(yàn)明他昨天上午到下班前一小時(shí)確實(shí)不在單位沒有開機(jī)的事實(shí)，與網(wǎng)絡(luò)自他歸來后變得不穩(wěn)定現(xiàn)象完全符合！經(jīng)對(duì)方查驗(yàn)其MAC地址確實(shí)與掃描出的欺騙主機(jī)地址一致?。。∈轮髦匦赂袷交匮b系統(tǒng)……

雖然找出了源頭并采取的相應(yīng)措施，但內(nèi)心始終忐忑，網(wǎng)絡(luò)平安任重道遠(yuǎn)啊……

一切盡在觀察中……

處理步驟小結(jié)：

1、應(yīng)急處理不能上網(wǎng)的主機(jī)，在運(yùn)行欄里執(zhí)行命令：arp–d

2、用AntiArpSniffer3.5監(jiān)測網(wǎng)絡(luò)

3、用MAC掃描器找出主機(jī)IP地址

4、根據(jù)IP地址找到電腦，格式化，重裝系統(tǒng)。

5、OVER

建議：

對(duì)整個(gè)網(wǎng)絡(luò)做IP-MAC綁定。發(fā)貼者dengguo時(shí)間：HYPERLINK\o"permanentlink"下午6:28HYPERLINK0評(píng)論標(biāo)簽：HYPERLINK局域網(wǎng)ARP欺騙HYPERLINK徹底解決局域網(wǎng)ARP攻擊一般ARP攻擊的對(duì)治方法

現(xiàn)在最常用的根本對(duì)治方法是“ARP雙向綁定〞。

由于ARP攻擊往往不是病毒造成的，而是合法運(yùn)行的程序（外掛、網(wǎng)頁）造成的，所殺毒軟件多數(shù)時(shí)候束手無策。

所謂“雙向綁定〞，就是再路由器上綁定ARP表的同時(shí)，在每臺(tái)電腦上也綁定一些常用的ARP表項(xiàng)。

“ARP雙向綁定〞能夠防御輕微的、手段不高明的ARP攻擊。ARP攻擊程序如果沒有試圖去更改綁定的ARP表項(xiàng)，那么ARP攻擊就不會(huì)成功；如果攻擊手段不劇烈，也欺騙不了路由器，這樣我們就能夠防住50％ARP攻擊。

但是現(xiàn)在ARP攻擊的程序往往都是合法運(yùn)行的，所以能夠合法的更改電腦的ARP表項(xiàng)。在現(xiàn)在ARP雙向綁定流行起來之后，攻擊程序的作者也提高了攻擊手段，攻擊的方法更綜合，另外攻擊非常頻密，僅僅進(jìn)行雙向綁定已經(jīng)不能夠應(yīng)付兇狠的ARP攻擊了，仍然很容易出現(xiàn)掉線。

于是我們?cè)诼酚善髦袇⒓恿恕癆RP攻擊主動(dòng)防御〞的功能。這個(gè)功能是在路由器ARP綁定的基礎(chǔ)上實(shí)現(xiàn)的，原理是：當(dāng)網(wǎng)內(nèi)受到錯(cuò)誤的ARP播送包攻擊時(shí)，路由器立即播送正確的ARP包去修正和消除攻擊包的影響。這樣我們就解決了掉線的問題，但是在最兇悍的ARP攻擊發(fā)生時(shí)，仍然發(fā)生了問題當(dāng)ARP攻擊很頻密的時(shí)候，就需要路由器發(fā)送更頻密的正確包去消除影響。雖然不掉線了，但是卻出現(xiàn)了上網(wǎng)“卡〞的問題。

所以，我們認(rèn)為，依靠路由器實(shí)現(xiàn)“ARP攻擊主動(dòng)防御〞，也只能夠解決80％的問題。

為了徹底消除ARP攻擊，我們?cè)诖嘶A(chǔ)上有增加了“ARP攻擊源攻擊跟蹤〞的功能。對(duì)于剩下的強(qiáng)悍的ARP攻擊，我采用“日志〞功能，提供信息方便用戶跟蹤攻擊源，這樣用戶通過臨時(shí)切斷攻擊電腦或者封殺發(fā)出攻擊的程序，能夠解決問題。

徹底解決ARP攻擊

事實(shí)上，由于路由器是整個(gè)局域網(wǎng)的出口，而ARP攻擊是以整個(gè)局域網(wǎng)為目標(biāo)，當(dāng)ARP攻擊包已經(jīng)到達(dá)路由器的時(shí)候，影響已經(jīng)照成。所以由路由器來承當(dāng)防御ARP攻擊的任務(wù)只是權(quán)宜之計(jì)，并不能很好的解決問題。

我們要真正消除ARP攻擊的隱患，安枕無憂，必須轉(zhuǎn)而對(duì)“局域網(wǎng)核心〞――交換機(jī)下手。由于任何ARP包，都必須經(jīng)由交換機(jī)轉(zhuǎn)發(fā)，才能到達(dá)被攻擊目標(biāo)，只要交換機(jī)據(jù)收非法的ARP包，哪么ARP攻擊就不能造成任何影響。

我們提出一個(gè)真正嚴(yán)密的防止ARP攻擊的方案，就是在每臺(tái)接入交換機(jī)上面實(shí)現(xiàn)ARP綁定，并且過濾掉所有非法的ARP包。這樣可以讓ARP攻擊足不能出戶，在局域網(wǎng)內(nèi)完全消除了ARP攻擊。

因?yàn)樾枰颗_(tái)交換機(jī)都具有ARP綁定和相關(guān)的平安功能，這樣的方案無疑價(jià)格是昂貴的，所以我們提供了一個(gè)折衷方案。

經(jīng)濟(jì)方案

我們只是中心采用能夠大量綁定ARP和進(jìn)行ARP攻擊防御的交換機(jī)――Netcore7324NSW，這款交換機(jī)能夠做到ARP綁定條目可以到達(dá)1000條，因此根本上可以對(duì)整網(wǎng)的ARP進(jìn)行綁定，同時(shí)能杜絕任何非法ARP包在主交換機(jī)進(jìn)行傳播。

這樣如果在強(qiáng)力的ARP攻擊下，我們觀察到的現(xiàn)象是：ARP攻擊只能影響到同一個(gè)分支交換機(jī)上的電腦，這樣可能被攻擊到的范圍就大大縮小了。當(dāng)攻擊發(fā)生時(shí)，不可能造成整個(gè)網(wǎng)絡(luò)的問題。

在此基礎(chǔ)上，我們?cè)傺a(bǔ)充“日志〞功能和“ARP主動(dòng)防御〞功能，ARP攻擊也可以被完美的解決。

ARP攻擊最新動(dòng)態(tài)

最近一段時(shí)間，各網(wǎng)吧發(fā)現(xiàn)的ARP攻擊已經(jīng)升級(jí)，又一波ARP攻擊的高潮來臨。

這次ARP攻擊發(fā)現(xiàn)的特征有：

1、速度快、效率高，大概在10－20秒的時(shí)間內(nèi)，能夠造成300臺(tái)規(guī)模的電腦掉線。

2、不易發(fā)現(xiàn)。在攻擊完成后，立即停止攻擊并更正ARP信息。如果網(wǎng)內(nèi)沒有日志功能，再去通過ARP命令觀察，已經(jīng)很難發(fā)現(xiàn)攻擊痕跡。

3、能夠破解最新的XP和2000的ARP補(bǔ)丁，微軟提供的補(bǔ)丁很明顯在這次攻擊很脆弱，沒有作用。

4、介質(zhì)變化，這次攻擊的來源來自私服程序本身（不是外掛）和P2P程序。發(fā)貼者dengguo時(shí)間：HYPERLINK\o"permanentlink"下午6:25HYPERLINK0評(píng)論標(biāo)簽：HYPERLINKARP協(xié)議,HYPERLINKARP文章,HYPERLINKARP欺騙HYPERLINK局域網(wǎng)arp地址欺騙解決方法【故障原因】

局域網(wǎng)內(nèi)有人使用ARP欺騙的木馬程序（比方：魔獸世界，天堂，勁舞團(tuán)等盜號(hào)的軟件，某些外掛中也被惡意加載了此程序）。

【故障原理】

要了解故障原理，我們先來了解一下ARP協(xié)議。

在局域網(wǎng)中，通過ARP協(xié)議來完成IP地址轉(zhuǎn)換為第二層物理地址（即MAC地址）的。ARP協(xié)議對(duì)網(wǎng)絡(luò)平安具有重要的意義。通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞。

ARP協(xié)議是“AddressResolutionProtocol〞（地址解析協(xié)議）的縮寫。在局域網(wǎng)中，網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖恰皫?，幀里面是有目?biāo)主機(jī)的MAC地址的。在以太網(wǎng)中，一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的MAC地址。但這個(gè)目標(biāo)MAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。所謂“地址解析〞就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程。ARP協(xié)議的根本功能就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。

每臺(tái)安裝有TCP/IP協(xié)議的電腦里都有一個(gè)ARP緩存表，表里的IP地址與MAC地址是一一對(duì)應(yīng)的，如下所示。

主機(jī)IP地址MAC地址Aaa-aa-aa-aa-aa-aa

Bbb-bb-bb-bb-bb-bb

Ccc-cc-cc-cc-cc-cc

Ddd-dd-dd-dd-dd-dd我們以主機(jī)A（）向主機(jī)B（）發(fā)送數(shù)據(jù)為例。當(dāng)發(fā)送數(shù)據(jù)時(shí)，主機(jī)A會(huì)在自己的ARP緩存表中尋找是否有目標(biāo)IP地址。如果找到了，也就知道了目標(biāo)MAC地址，直接把目標(biāo)MAC地址寫入幀里面發(fā)送就可以了；如果在ARP緩存表中沒有找到相對(duì)應(yīng)的IP地址，主機(jī)A就會(huì)在網(wǎng)絡(luò)上發(fā)送一個(gè)播送，目標(biāo)MAC地址是“FF.FF.FF.FF.FF.FF〞，這表示向同一網(wǎng)段內(nèi)的所有主機(jī)發(fā)出這樣的詢問：“的MAC地址是什么？〞網(wǎng)絡(luò)上其他主機(jī)并不響應(yīng)ARP詢問，只有主機(jī)B接收到這個(gè)幀時(shí)，才向主機(jī)A做出這樣的回應(yīng)：“的MAC地址是bb-bb-bb-bb-bb-bb〞。這樣，主機(jī)A就知道了主機(jī)B的MAC地址，它就可以向主機(jī)B發(fā)送信息了。同時(shí)它還更新了自己的ARP緩存表，下次再向主機(jī)B發(fā)送信息時(shí)，直接從ARP緩存表里查找就可以了。ARP緩存表采用了老化機(jī)制，在一段時(shí)間內(nèi)如果表中的某一行沒有使用，就會(huì)被刪除，這樣可以大大減少ARP緩存表的長度，加快查詢速度。

從上面可以看出，ARP協(xié)議的基礎(chǔ)就是信任局域網(wǎng)內(nèi)所有的人，那么就很容易實(shí)現(xiàn)在以太網(wǎng)上的ARP欺騙。對(duì)目標(biāo)A進(jìn)行欺騙，A去Ping主機(jī)C卻發(fā)送到了DD-DD-DD-DD-DD-DD這個(gè)地址上。如果進(jìn)行欺騙的時(shí)候，把C的MAC地址騙為DD-DD-DD-DD-DD-DD，于是A發(fā)送到C上的數(shù)據(jù)包都變成發(fā)送給D的了。這不正好是D能夠接收到A發(fā)送的數(shù)據(jù)包了么，嗅探成功。

A對(duì)這個(gè)變化一點(diǎn)都沒有意識(shí)到，但是接下來的事情就讓A產(chǎn)生了疑心。因?yàn)锳和C連接不上了。D對(duì)接收到A發(fā)送給C的數(shù)據(jù)包可沒有轉(zhuǎn)交給C。

做“maninthemiddle〞，進(jìn)行ARP重定向。翻開D的IP轉(zhuǎn)發(fā)功能，A發(fā)送過來的數(shù)據(jù)包，轉(zhuǎn)發(fā)給C，好比一個(gè)路由器一樣。不過，假設(shè)D發(fā)送ICMP重定向的話就中斷了整個(gè)方案。

D直接進(jìn)行整個(gè)包的修改轉(zhuǎn)發(fā)，捕獲到A發(fā)送給C的數(shù)據(jù)包，全部進(jìn)行修改后再轉(zhuǎn)發(fā)給C，而C接收到的數(shù)據(jù)包完全認(rèn)為是從A發(fā)送來的。不過，C發(fā)送的數(shù)據(jù)包又直接傳遞給A，倘若再次進(jìn)行對(duì)C的ARP欺騙?，F(xiàn)在D就完全成為A與C的中間橋梁了，對(duì)于A和C之間的通訊就可以了如指掌了。

【故障現(xiàn)象】

當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)運(yùn)行ARP欺騙的木馬程序時(shí)，會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和路由器，讓所有上網(wǎng)的流量必須經(jīng)過病毒主機(jī)。其他用戶原來直接通過路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過病毒主機(jī)上網(wǎng)，切換的時(shí)候用戶會(huì)斷一次線。

切換到病毒主機(jī)上網(wǎng)后，如果用戶已經(jīng)登陸了效勞器，那么病毒主機(jī)就會(huì)經(jīng)常偽造斷線的假像，那么用戶就得重新登錄效勞器，這樣病毒主機(jī)就可以盜號(hào)了。

由于ARP欺騙的木馬程序發(fā)作的時(shí)候會(huì)發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶會(huì)感覺上網(wǎng)速度越來越慢。當(dāng)ARP欺騙的木馬程序停止運(yùn)行時(shí)，用戶會(huì)恢復(fù)從路由器上網(wǎng)，切換過程中用戶會(huì)再斷一次線。

【HiPER用戶快速發(fā)現(xiàn)ARP欺騙木馬】

在路由器的“系統(tǒng)歷史記錄〞中看到大量如下的信息（440以后的路由器軟件版本中才有此提示）：MACChged24

MACOld00:01:6c:36:d1:7f

MACNew00:05:5d:60:c7:18這個(gè)消息代表了用戶的MAC地址發(fā)生了變化，在ARP欺騙木馬開始運(yùn)行的時(shí)候，局域網(wǎng)所有主機(jī)的MAC地址更新為病毒主機(jī)的MAC地址（即所有信息的MACNew地址都一致為病毒主機(jī)的MAC地址），同時(shí)在路由器的“用戶統(tǒng)計(jì)〞中看到所有用戶的MAC地址信息都一樣。

如果是在路由器的“系統(tǒng)歷史記錄〞中看到大量MACOld地址都一致，則說明局域網(wǎng)內(nèi)曾經(jīng)出現(xiàn)過ARP欺騙（ARP欺騙的木馬程序停止運(yùn)行時(shí)，主機(jī)在路由器上恢復(fù)其真實(shí)的MAC地址）。

【在局域網(wǎng)內(nèi)查找病毒主機(jī)】

在上面我們已經(jīng)知道了使用ARP欺騙木馬的主機(jī)的MAC地址，那么我們就可以使用NBTSCAN工具來快速查找它。

NBTSCAN可以取到PC的真實(shí)IP地址和MAC地址，如果有〞ARP攻擊〞在做怪，可以找到裝有ARP攻擊的PC的IP/和MAC地址。

命令：“nbtscan-r/24〞（搜索整個(gè)/24網(wǎng)段,即-54）；或“nbtscan5-137〞搜索5-137網(wǎng)段，即5-37。輸出結(jié)果第一列是IP地址，最后一列是MAC地址。

NBTSCAN的使用范例：

假設(shè)查找一臺(tái)MAC地址為“000d870d585f〞的病毒主機(jī)。

1）將壓縮包中的nbtscan.exe和cygwin1.dll解壓縮放到c:下。

2）在Windows開始—運(yùn)行—翻開，輸入cmd（windows98輸入“command〞），在出現(xiàn)的DOS窗口中輸入：C:btscan-r/24（這里需要根據(jù)用戶實(shí)際網(wǎng)段輸入），回車。

3）通過查詢IP--MAC對(duì)應(yīng)表，查出“000d870d585f〞的病毒主機(jī)的IP地址為“23〞。

【解決思路】

1、不要把你的網(wǎng)絡(luò)平安信任關(guān)系建立在IP基礎(chǔ)上或MAC基礎(chǔ)上，（rarp同樣存在欺騙的問題），理想的關(guān)系應(yīng)該建立在IP+MAC基礎(chǔ)上。

2、設(shè)置靜態(tài)的MAC-->IP對(duì)應(yīng)表，不要讓主機(jī)刷新你設(shè)定好的轉(zhuǎn)換表。

3、除非很有必要，否則停止使用ARP，將ARP做為永久條目保存在對(duì)應(yīng)表中。

4、使用ARP效勞器。通過該效勞器查找自己的ARP轉(zhuǎn)換表來響應(yīng)其他機(jī)器的ARP播送。確保這臺(tái)ARP效勞器不被黑。

5、使用"proxy"代理IP的傳輸。

6、使用硬件屏蔽主機(jī)。設(shè)置好你的路由，確保IP地址能到達(dá)合法的路徑。（靜態(tài)配置路由ARP條目），注意，使用交換集線器和網(wǎng)橋無法阻止ARP欺騙。

7、管理員定期用響應(yīng)的IP包中獲得一個(gè)rarp請(qǐng)求，然后檢查ARP響應(yīng)的真實(shí)性。

8、管理員定期輪詢，檢查主機(jī)上的ARP緩存。

9、使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò)。注意有使用SNMP的情況下，ARP的欺騙有可能導(dǎo)致陷阱包喪失。

【HiPER用戶的解決方案】

建議用戶采用雙向綁定的方法解決并且防止ARP欺騙。

1、在PC上綁定路由器的IP和MAC地址：

1）首先，獲得路由器的內(nèi)網(wǎng)的MAC地址（例如HiPER網(wǎng)關(guān)地址54的MAC地址為0022aa0022aa）。

2）編寫一個(gè)批處理文件rarp.bat內(nèi)容如下：@echooff

arp-d

arp-s5400-22-aa-00-22-aa將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為您自己的網(wǎng)關(guān)IP地址和MAC地址即可。

將這個(gè)批處理軟件拖到“windows--開始--程序--啟動(dòng)〞中。

3）如果是網(wǎng)吧，可以利用收費(fèi)軟件效勞端程序（pubwin或者萬象都可以）發(fā)送批處理文件rarp.bat到所有客戶機(jī)的啟動(dòng)目錄。Windows2000的默認(rèn)啟動(dòng)目錄為“C:\DocumentsandSettingsAllUsers「開始」菜單程序啟動(dòng)〞。

2、在路由器上綁定用戶主機(jī)的IP和MAC地址（440以后的路由器軟件版本支持）：

在HiPER管理界面--高級(jí)配置--用戶管理中將局域網(wǎng)每臺(tái)主機(jī)均作綁定。發(fā)貼者dengguo時(shí)間：HYPERLINK\o"permanentlink"下午6:25HYPERLINK0評(píng)論標(biāo)簽：HYPERLINKARP欺騙,HYPERLINKARP欺騙攻擊,HYPERLINKARP緩存HYPERLINK局域網(wǎng)受到ARP欺騙攻擊的解決方法【故障現(xiàn)象】當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)運(yùn)行ARP欺騙的木馬程序時(shí)，會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和平安網(wǎng)關(guān)，讓所有上網(wǎng)的流量必須經(jīng)過病毒主機(jī)。其他用戶原來直接通過平安網(wǎng)關(guān)上網(wǎng)現(xiàn)在轉(zhuǎn)由通過病毒主機(jī)上網(wǎng)，切換的時(shí)候用戶會(huì)斷一次線。切換到病毒主機(jī)上網(wǎng)后，如果用戶已經(jīng)登陸了傳奇效勞器，那么病毒主機(jī)就會(huì)經(jīng)常偽造斷線的假像，那么用戶就得重新登錄傳奇效勞器，這樣病毒主機(jī)就可以盜號(hào)了。由于ARP欺騙的木馬程序發(fā)作的時(shí)候會(huì)發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶會(huì)感覺上網(wǎng)速度越來越慢。當(dāng)ARP欺騙的木馬程序停止運(yùn)行時(shí)，用戶會(huì)恢復(fù)從平安網(wǎng)關(guān)上網(wǎng)，切換過程中用戶會(huì)再斷一次線?！究焖俨檎摇吭赪ebUIà系統(tǒng)狀態(tài)à系統(tǒng)信息à系統(tǒng)歷史記錄中，看到大量如下的信息:MACSPOOF00MACOld00:01:6c:36:d1:7fMACNew00:05:5d:60:c7:18這個(gè)消息代表了用戶的MAC地址發(fā)生了變化，在ARP欺騙木馬開始運(yùn)行的時(shí)候，局域網(wǎng)所有主機(jī)的MAC地址更新為病毒主機(jī)的MAC地址(即所有信息的MACNew地址都一致為病毒主機(jī)的MAC地址)。同時(shí)在平安網(wǎng)關(guān)的WebUIà高級(jí)配置à用戶管理à讀ARP表中看到所有用戶的MAC地址信息都一樣，或者在WebUIà系統(tǒng)狀態(tài)à用戶統(tǒng)計(jì)中看到所有用戶的MAC地址信息都一樣。如果是在WebUIà系統(tǒng)狀態(tài)à系統(tǒng)信息à系統(tǒng)歷史記錄中看到大量MACOld地址都一致，則說明局域網(wǎng)內(nèi)曾經(jīng)出現(xiàn)過ARP欺騙(ARP欺騙的木馬程序停止運(yùn)行時(shí)，主機(jī)在平安網(wǎng)關(guān)上恢復(fù)其真實(shí)的MAC地址)。在上面我們已經(jīng)知道了使用ARP欺騙木馬的主機(jī)的MAC地址，那么我們就可以使用NBTSCAN(下載地址:)工具來快速查找它。NBTSCAN可以取到PC的真實(shí)IP地址和MAC地址，如果有〞傳奇木馬〞在做怪，可以找到裝有木馬的PC的IP/和MAC地址。命令:“nbtscan-r/24〞(搜索整個(gè)/24網(wǎng)段,即-54);或“nbtscan5-137〞搜索5-137網(wǎng)段，即5-37。輸出結(jié)果第一列是IP地址，最后一列是MAC地址。NBTSCAN的使用范例:假設(shè)查找一臺(tái)MAC地址為“000d870d585f〞的病毒主機(jī)。1)將壓縮包中的nbtscan.exe和cygwin1.dll解壓縮放到c:\下。2)在Windows開始à運(yùn)行à翻開，輸入cmd(windows98輸入“command〞)，在出現(xiàn)的DOS窗口中輸入:C:\nbtscan-r/24(這里需要根據(jù)用戶實(shí)際網(wǎng)段輸入)，回車。3)通過查詢IP--MAC對(duì)應(yīng)表，查出“000d870d585f〞的病毒主機(jī)的IP地址為“23〞?！窘鉀Q方法】采用雙向綁定的方法解決并且防止ARP欺騙。1、在PC上綁定平安網(wǎng)關(guān)的IP和MAC地址：1）首先，獲得平安網(wǎng)關(guān)的內(nèi)網(wǎng)的MAC地址（例如HiPER網(wǎng)關(guān)地址54的MAC地址為0022aa0022aa）。2）編寫一個(gè)批處理文件rarp.bat內(nèi)容如下：@echooffarp-darp-s5400-22-aa-00-22-aa將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為實(shí)際使用的網(wǎng)關(guān)IP地址和MAC地址即可。將這個(gè)批處理軟件拖到“windowsà開始à程序à啟動(dòng)〞中。3）如果是網(wǎng)吧，可以利用收費(fèi)軟件效勞端程序（pubwin或者萬象都可以）發(fā)送批處理文件rarp.bat到所有客戶機(jī)的啟動(dòng)目錄。Windows2000的默認(rèn)啟動(dòng)目錄為“C:\DocumentsandSettings\AllUsers「開始」菜單程序啟動(dòng)〞。2、在平安網(wǎng)關(guān)上綁定用戶主機(jī)的IP和MAC地址：在WebUIà高級(jí)配置à用戶管理中將局域網(wǎng)每臺(tái)主機(jī)均作綁定。發(fā)貼者dengguo時(shí)間：HYPERLINK\o"permanentlink"下午6:24HYPERLINK0評(píng)論標(biāo)簽：HYPERLINKARP欺騙,HYPERLINK防范ARP攻擊HYPERLINK局域網(wǎng)ARP欺騙的應(yīng)對(duì)一、故障現(xiàn)象及原因分析

情況一、當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)感染了ARP病毒時(shí)，會(huì)向本局域網(wǎng)內(nèi)（指某一網(wǎng)段，比方：這一段）所有主機(jī)發(fā)送ARP欺騙攻擊謊稱自己是這個(gè)網(wǎng)端的網(wǎng)關(guān)設(shè)備，讓原本流向網(wǎng)關(guān)的流量改道流向病毒主機(jī)，造成受害者正常上網(wǎng)。

情況二、局域網(wǎng)內(nèi)有某些用戶使用了ARP欺騙程序（如：網(wǎng)絡(luò)執(zhí)法官,QQ盜號(hào)軟件等）發(fā)送ARP欺騙數(shù)據(jù)包，致使被攻擊的電腦出現(xiàn)突然不能上網(wǎng)，過一段時(shí)間又能上網(wǎng)，反復(fù)掉線的現(xiàn)象。

關(guān)于APR欺騙的具體原理請(qǐng)看我收集的資料ARP欺騙的原理

二、故障診斷

如果用戶發(fā)現(xiàn)以上疑似情況，可以通過如下操作進(jìn)行診斷：

點(diǎn)擊“開始〞按鈕->選擇“運(yùn)行〞->輸入“arp–d〞->點(diǎn)擊“確定〞按鈕，然后重新嘗試上網(wǎng)，如果能恢復(fù)正常，則說明此次掉線可能是受ARP欺騙所致。

注：arp-d命令用于去除并重建本機(jī)arp表。arp–d命令并不能抵御ARP欺騙，執(zhí)行后仍有可能再次遭受ARP攻擊。

三、故障處理

1、中毒者：建議使用趨勢(shì)科技SysClean工具或其他殺毒軟件去除病毒。

2、被害者：(1)綁定網(wǎng)關(guān)mac地址。具體方法如下：

1）首先，獲得路由器的內(nèi)網(wǎng)的MAC地址（例如網(wǎng)關(guān)地址54的MAC地址為0022aa0022aa）。2）編寫一個(gè)批處理文件AntiArp.bat內(nèi)容如下：@echooffarp-darp-s5400-22-aa-00-22-aa將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為您自己的網(wǎng)關(guān)IP地址和MAC地址即可，計(jì)算機(jī)重新啟動(dòng)后需要重新進(jìn)行綁定，因此我們可以將該批處理文件AntiArp.bat文件拖到“windows--開始--程序--啟動(dòng)〞中。這樣開機(jī)時(shí)這個(gè)批處理就被執(zhí)行了。

(2)使用ARP防火墻(例如AntiArp)軟件抵御ARP攻擊。

AntiArp軟件會(huì)在提示框內(nèi)出現(xiàn)病毒主機(jī)的MAC地址

四，找出ARP病毒源

第一招：使用Sniffer抓包

在網(wǎng)絡(luò)內(nèi)任意一臺(tái)主機(jī)上運(yùn)行抓包軟件，捕獲所有到達(dá)本機(jī)的數(shù)據(jù)包。如果發(fā)現(xiàn)有某個(gè)IP不斷發(fā)送

ARPRequest請(qǐng)求包，那么這臺(tái)電腦一般就是病毒源。原理：無論何種ARP病毒變種，行為方式有兩種，一是欺騙網(wǎng)關(guān)，二是欺騙網(wǎng)內(nèi)的所有主機(jī)。最終的結(jié)果是，在網(wǎng)關(guān)的ARP緩存表中，網(wǎng)內(nèi)所有活動(dòng)主機(jī)的MAC地址均為中毒主機(jī)的MAC地址；網(wǎng)內(nèi)所有主機(jī)的ARP緩存表中，網(wǎng)關(guān)的MAC地址也成為中毒主機(jī)的MAC地址。前者保證了從網(wǎng)關(guān)到網(wǎng)內(nèi)主機(jī)的數(shù)據(jù)包被發(fā)到中毒主機(jī)，后者相反，使得主機(jī)發(fā)往網(wǎng)關(guān)的數(shù)據(jù)包均發(fā)送到中毒主機(jī)。

第二招：使用arp-a命令任意選兩臺(tái)不能上網(wǎng)的主機(jī)，在DOS命令窗口下運(yùn)行arp-a命令。例如在結(jié)果中，兩臺(tái)電腦除了網(wǎng)關(guān)的IP，MAC地址對(duì)應(yīng)項(xiàng)，都包含了86的這個(gè)IP，則可以斷定86這臺(tái)主機(jī)就是病毒源。原理：一般情況下，網(wǎng)內(nèi)的主機(jī)只和網(wǎng)關(guān)通信。正常情況下，一臺(tái)主機(jī)的ARP緩存中應(yīng)該只有網(wǎng)關(guān)的MAC地址。如果有其他主機(jī)的MAC地址，說明本地主機(jī)和這臺(tái)主機(jī)最后有過數(shù)據(jù)通信發(fā)生。如果某臺(tái)主機(jī)（例如上面的86）既不是網(wǎng)關(guān)也不是效勞器，但和網(wǎng)內(nèi)的其他主機(jī)都有通信活動(dòng)，且此時(shí)又是ARP病毒發(fā)作時(shí)期，那么，病毒源也就是它了。

第三招：使用tracert命令在任意一臺(tái)受影響的主機(jī)上，在DOS命令窗口下運(yùn)行如下命令：tracert48。假定設(shè)置的缺省網(wǎng)關(guān)為，在跟蹤一個(gè)外網(wǎng)地址時(shí)，第一跳卻是86，那么，86就是病毒源。原理：中毒主機(jī)在受影響主機(jī)和網(wǎng)關(guān)之間