新型ARP?
ARP是别人电脑上中毒了 你杀你的毒当然杀不出来了 下面是在网上找的 我们宿舍也是中了ARP都半年多了还是有 没办法 这个东西是中了ARP的电脑本身不掉线 只是速度慢
什么是ARP?
ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。
什么是ARP欺骗?
从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。
近期,一种新型的“ ARP 欺骗”木马病毒正在校园网中扩散,严重影响了校园网的正常运行。感染此木马的计算机试图通过“ ARP 欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。ARP欺骗木马的中毒现象表现为:使用校园网时会突然掉线,过一段时间后又会恢复正常。比如客户端状态频频变红,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。如果校园网是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp -d后,又可恢复上网。ARP欺骗木马十分猖狂,危害也特别大,各大学校园网、小区网、公司网和网吧等局域网都出现了不同程度的灾情,带来了网络大面积瘫痪的严重后果。ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。
如何检查和处理“ ARP 欺骗”木马的方法
1 .检查本机的“ ARP 欺骗”木马染毒进程
同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键,选择“任务管理器”,点选“进程”标签。察看其中是否有一个名为“ MIR0.dat ”的进程。如果有,则说明已经中毒。右键点击此进程后选择“结束进程”。参见右图。
2 .检查网内感染“ ARP 欺骗”木马染毒的计算机
在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令:
ipconfig
记录网关 IP 地址,即“ Default Gateway ”对应的值,例如“ 59.66.36.1 ”。再输入并执行以下命令:
arp –a
在“ Internet Address ”下找到上步记录的网关 IP 地址,记录其对应的物理地址,即“ Physical Address ”值,例如“ 00-01-e8-1f-35-54 ”。在网络正常时这就是网关的正确物理地址,在网络受“ ARP 欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。
也可以扫描本子网内的全部 IP 地址,然后再查 ARP 表。如果有一个 IP 对应的物理地址与网关的相同,那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。
3 .设置 ARP 表避免“ ARP 欺骗”木马影响的方法
本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上边介绍的方法确定正确的网关 IP 地址和网关物理地址,然后在 “命令提示符”窗口中输入并执行以下命令:
arp –s 网关 IP 网关物理地址
4.态ARP绑定网关
步骤一:
在能正常上网时,进入MS-DOS窗口,输入命令:arp -a,查看网关的IP对应的正确MAC地址, 并将其记录下来。
注意:如果已经不能上网,则先运行一次命令arp -d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话)。一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp -a。
步骤二:
如果计算机已经有网关的正确MAC地址,在不能上网只需手工将网关IP和正确的MAC地址绑定,即可确保计算机不再被欺骗攻击。
要想手工绑定,可在MS-DOS窗口下运行以下命令:
arp -s 网关IP 网关MAC
例如:假设计算机所处网段的网关为192.168.1.1,本机地址为192.168.1.5,在计算机上运行arp -a后输出如下:
Cocuments and Settingsarp -a
Interface:192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 dynamic
其中,00-01-02-03-04-05就是网关192.168.1.1对应的MAC地址,类型是动态(dynamic)的,因此是可被改变的。
被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC。如果希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找该攻击的机器做准备。
手工绑定的命令为:
arp -s 192.168.1.1 00-01-02-03-04-05
绑定完,可再用arp -a查看arp缓存:
Cocuments and Settingsarp -a
Interface: 192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 static
这时,类型变为静态(static),就不会再受攻击影响了。
但是,需要说明的是,手工绑定在计算机关机重启后就会失效,需要再次重新绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,把病毒杀掉,才算是真正解决问题。
5 .作批处理文件
在客户端做对网关的arp绑定,具体操作步骤如下:
步骤一:
查找本网段的网关地址,比如192.168.1.1,以下以此网关为例。在正常上网时,“开始→运行→cmd→确定”,输入:arp -a,点回车,查看网关对应的Physical Address。
比如:网关192.168.1.1 对应00-01-02-03-04-05。
步骤二:
编写一个批处理文件rarp.bat,内容如下:
@echo off
arp -d
arp -s 192.168.1.1 00-01-02-03-04-05
保存为:rarp.bat。
步骤三:
运行批处理文件将这个批处理文件拖到“Windows→开始→程序→启动”中,如果需要立即生效,请运行此文件。
注意:以上配置需要在网络正常时进行
6.使用安全工具软件
及时下载Anti ARP Sniffer软件保护本地计算机正常运行。具体使用方法可以在网上搜索。
如果已有病毒计算机的MAC地址,可使用NBTSCAN等软件找出网段内与该MAC地址对应的IP,即感染病毒的计算机的IP地址,然后报告单位的网络中心对其进行查封。
或者利用单位提供的集中网络防病毒系统来统一查杀木马。另外还可以利用木马杀客等安全工具进行查杀。
7.应急方案
网络管理管理人员利用上面介绍的ARP木马检测方法在局域网的交换机上查出受感染该病毒的端口后,立即关闭中病毒的端口,通过端口查出相应的用户并通知其彻底查杀病毒。而后,做好单机防范,在其彻底查杀病毒后再开放相应的交换机端口,重新开通上网。
附录一
清华大学校园网络安全响应小组编的一个小程序
下载地址:
清华大学校园网络安全响应小组编了一个小程序,它可以保护您的计算机在同一个局域网内部有ARP欺骗木马计算机的攻击时,保持正常上网。具体使用方法:
1、 程序运行后请先选择网卡,选定网卡后点击“选定”按钮。
2、 选定网卡后程序会自动获取您机器的网关地址。
3、获得网关地址后请点击获取MAC地址按钮获取正确的网关MAC地址。
4、 确认网关的MAC地址后请点击连接保护,程序开始保护您的机器。
5、 点击程序右上角的叉,程序自动隐藏到系统托盘内。
6、要完全退出程序请在系统托盘中该程序图标上点击右键选择EXIT。
注意:
1、这个程序只是一个ARP攻击保护程序,即受ARP木马攻击时保持自己计算机的MAC地址不被恶意篡改,从而在遭受攻击时网络不会中断。本程序并不能清除已经感染的ARP木马,要预防感染或杀除木马请您安装正版的杀毒软件!
附录二
Anti Arp Sniffer 的用法
下载地址:
双击Antiarp文件,出现图二所示对话框。
图二
输入网关地址(网关地址获取方式:[开始] --[程序]-- [附件]菜单下调出“命令提示符”,输入ipconfig,其中Default Gateway即为网关地址);点击获取网关MAC地址,点击自动防护保证当前网卡与网关的通信不被第三方监听。
点击恢复默认,然后点击防止地址冲突,如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数据包。
右击[我的电脑]--[管理]--点击[事件查看器]--点击[系统]--查看来源为[TcpIP]---双击事件可以看到显示地址发生冲突,并记录了该MAC地址,请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-),输入完成之后点击[防护地址冲突],为了使MAC地址生效请禁用本地网卡然后再启用网卡,在CMD命令行中输入Ipconfig /all,查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符,如果成功将不再会显示地址冲突。
注:1、如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡;本软件不支持多网卡,部分网卡可能更改MAC会无效。
ARP病毒猖獗不衰,传统的双向绑定的方法不足以应付新的变种,为了探讨和研究解决ARP病毒的方法,偶建了一个群给,群号是27425242,QQ群共享里有一些文章和软件,欢迎各位网友加入!
各位朋友,偶其实是菜鸟哦,新出来的ARP病毒在我所在的校园网还没有出现过,所以我也就不晓得如何对付啦,呵呵,想不到这篇文章受到这么多人的关注,希望能对大家多少点帮助
关于arp的问题
局域网中ARP病毒的防御和清除(一)
7月5日,国内最大的计算机反病毒软件供应商江民科技发布了2007年上半年十大病毒排行及病毒
疫情报告。据统计,从2007年1月1日到2007年6月 30日,一种主要是针对局域网用户,通过伪造的ARP
数据包,严重干扰网络的正常运行的ARP病毒,已经仅次于位居第三的“威金”系列病毒(最出名的当
属 “熊猫烧香”),在排行榜中名列第四。病毒疫情报告还显示,我国计算机病毒疫情主要呈现的四
大特征之一的ARP病毒所使用的欺骗技术,正在被越来越多的病毒所使用,成为局域网安全的新杀手,
是病毒未来发展的新趋势。
ARP全称为Address Resolution Protocol,地址解析协议。ARP病毒是一种新型的“ ARP 欺骗”
木马病毒,病毒主机通过伪造的IP地址和MAC地址,向目标主机发出伪造的ARP响应包,从而更改了目
标主机ARP缓存中的IP-MAC条目,欺骗目标主机对本地的ARP缓存进行更新,将应答中的IP和MAC地址存
储在ARP缓存中实现对目标主机的ARP欺骗。当局域网内有病毒主机在运行ARP欺骗的木马程序时,就会
欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机,这势必造成局域网内大面积
的网络中断或中间人攻击(也称会话劫持),具体表现为客户端状态频频变红、用户频繁断网、IE 浏
览器频繁出错以及一些常用软件出现故障等问题,更有甚者,局域网的所有用户原来直接通过路由器
上网,现在转由通过病毒主机上网,切换的时候用户会断一次线。当病毒主机上网后,如果用户已经
登陆了传奇等游戏服务器或者其他需要输入个人私密资料的重要网页,那么病毒主机就会经常伪造断
线的假像,当用户就得重新登录服务器后,病毒主机就可以盗号了,从而给用户带来极大的损失,ARP
病毒的危害之大由此可见一斑了。
一 、ARP病毒电脑的定位
检测ARP中毒电脑的几种常用方法有:
1. 命令行法
我们只要在受影响的电脑中查询一下当前网关的MAC地址,就知道中毒电脑的MAC地址了,在cmd(Wind
ows98中输入“command”)命令提示行下输入查询命令为arp -a。
这时,由于这个电脑的ARP表是错误的记录,因此,该MAC地址不是真正网关的MAC地址,而是中毒电脑
的MAC地址!这时,再根据网络正常时,全网的 IP—MAC地址对照表,查找中毒电脑的IP地址就可以了
。由此可见,在网络正常的时候,保存一个全网电脑的IP—MAC地址对照表是多么的重要。建议下载使
用NBTSCAN 工具扫描全网段的IP地址和MAC地址,保存下来,以备后用。
但是如果情形和我们校园网一样,没有对IP地址和MAC地址进行绑订,甚至MAC地址也没有记录,现在
就算知道了IP地址,也无法找到病毒主机。临时处理对策:在能上网时,进入MS-DOS窗口,输入命令
:arp –a
查看网关IP对应的正确MAC地址,将其记录下来;如果已经不能上网,则先运行一次命令arp –d将arp
缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉
(禁用网卡或拔掉网线),再运行arp –a。
2. 工具软件法
网上有很多ARP病毒定位工具,如CISCO515E,其中做得较好的是ARP防火墙。打开ARP防火墙,输入网
关IP地址后,再点击红色框内的“枚举 MAC”按钮,即可获得正确网关的MAC地址,接着点击“自动保
护”按钮,即可保护当前网卡与网关的正常通信。当局域网中存在ARP欺骗时,该数据包会被 Anti
ARP Sniffer记录,该软件会以气泡的形式报警。这时,我们再根据欺骗机的MAC地址,对比查找全网
的IP-MAC地址对照表,即可快速定位出中毒电脑。
3. Sniffer 抓包嗅探法
当局域网中有ARP病毒欺骗时,往往伴随着大量的ARP欺骗广播数据包,这时,流量检测机制应该能够
很好的检测出网络的异常举动,此时Ethereal 这样的抓包工具就能派上用场。从图中的红色框内的信
息可以看出,192.168.0.XXX 这台电脑正向全网发送大量的ARP广播包,一般的讲,局域网中有电脑发
送ARP广播包的情况是存在的,但是如果不停的大量发送,就很可疑了。而这台192.168.0.XXX 电脑正
是一个ARP中毒电脑。
此外,在Win XP的Support Tools有一个Netcap工具(netcap.exe),它和Netmon.exe一样也能够捕获
网络信息。但只可以看到连接数,却不能看到连接机器名及IP。而Win2000/2003中的网络监视器就可
以抓取网络中的数据包,先查出发送arp数据的电脑的IP(可能是假的)及MAC地址,然后找对应的机器就
很容易找到中毒的机器了。
4.IP地址冲突法
运行 tracert –d 找出作崇的主机IP地址;设置与作崇主机相同的IP,然后造成IP
地址冲突,使中毒主机报警然后找到这个主机。
二、ARP病毒的防御和清除
1. 应急处理
客户机中毒后,可先保证网络正常运行,方法有:
●在中毒客户端主机运行 arp -d ,清除arp列表,可暂时恢复该主机正常网络通讯。
●在中毒客户端主机进行针对网关的静态IP-MAC地址绑定,命令arp -s 网关ip 网关mac,为避免计算
机重启后记录失效,可编写一个批处理文件rarp1.bat,内容如下:
@echo off
arp -d
arp -s 您自己的网关Ip地址和MAC地址
将这个批处理软件拖到“windows--开始--程序--启动”中。
●编辑一个arp2.bat文件,内容如下:arp.exe s**.**.**.**(网关ip) ************(网关MAC地
址)end,让网络用户点击。
●编辑一个注册表问题,键值如下:Windows Registry Editor Version
5.00[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]"MAC"="arp
—s网关IP地址网关MAC地址",然后保存成Reg文件以后在每个客户端上点击导入注册表。
●写一个批处理,定时刷新arp缓存表
脚本代码如下:
主程序arp3.bat
@echo off
cscript sleep.vbs
arp -d
exit
辅助计时程序 sleep.vbs
wscript.sleep 30000
就这样,把代码复制到记事本里,然后分别保存为arp3.bat,其中的30000 可以改的更大些。
2、解决思路
● 不要把你的网络安全信任关系建立在IP基础上或MAC基础上,(RARP同样存在欺骗的问题),
理想的关系应该建立在IP+MAC基础上。
●设置静态的MAC--IP对应表,不要让主机刷新你设定好的转换表。
● 除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
● 使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP
服务器不被黑。
● 使用\'proxy\'代理IP的传输。
● 使用硬件屏蔽主机。设置好你的路由,确保IP地址能到达合法的路径。(静态配置路由ARP条
目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
●管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。
● 管理员定期轮询,检查主机上的ARP缓存。
●下载使用ARP防火墙。(2007-07-18 ARP防火墙单机版 v4.2beta4 发布 ;2007-07-11 ARP防
火墙网络版 v3.1.1 发布)
●可下载系统补丁:WINXP系统ARP病毒补丁 2KB WIN2000系统ARP病毒补丁 30.8MB。
三、几点建议
1、病毒源,对病毒源头的机器进行处理,杀毒或重新装系统。此操作比较重要,解决了ARP攻击的源
头PC机的问题,可以保证内网免受攻击。
2、网吧管理员检查局域网病毒,安装杀毒软件(江民/瑞星,必须要更新病毒代码),对机器进行病
毒扫描。
3、给系统安装补丁程序,通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service
Pack)。
4、给系统管理员账户设置足够复杂的强密码,最好能是12位以上,字母+数字+符号的组合;也可以禁
用/删除一些不使用的账户。
5、经常更新杀毒软件(病毒库),设置允许的可设置为每天定时自动更新。安装并使用网络防火墙软
件,网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的
入侵。部分盗版Windows用户不能正常安装补丁,不妨通过使用网络防火墙等其它方法来做到一定的防
护。
6、关闭一些不需要的服务,条件允许的可关闭一些没有必要的共享,也包括C$、D$等管理共享。完全
单机的用户也可直接关闭Server服务。
7、不要随便点击打开QQ、MSN等聊天工具上发来的链接信息,不要随便打开或运行陌生、可疑文件和
程序,如邮件中的陌生附件,外挂程序。
ARP地址欺骗木马病毒专杀工具下载及其防治解决方案2007年06月17日 星期日 上午 11:50
近期,一种新型的“ ARP 欺骗”木马病毒正在校园网中扩散,严重影响了校园网的正常运行。感染此木马的计算机试图通过“ ARP 欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。ARP欺骗木马的中毒现象表现为:使用校园网时会突然掉线,过一段时间后又会恢复正常。比如客户端状态频频变红,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。如果校园网是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp -d后,又可恢复上网。ARP欺骗木马十分猖狂,危害也特别大,各大学校园网、小区网、公司网和网吧等局域网都出现了不同程度的灾情,带来了网络大面积瘫痪的严重后果。ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。
什么是ARP?
ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。
什么是ARP欺骗?
从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。
如何检查和处理“ ARP 欺骗”木马的方法
1 .检查本机的“ ARP 欺骗”木马染毒进程
同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键,选择“任务管理器”,点选“进程”标签。察看其中是否有一个名为“ MIR0.dat ”的进程。如果有,则说明已经中毒。右键点击此进程后选择“结束进程”。参见上图。
2 .检查网内感染“ ARP 欺骗”木马染毒的计算机
在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令:
ipconfig
记录网关 IP 地址,即“ Default Gateway ”对应的值,例如“ 59.66.36.1 ”。再输入并执行以下命令:
arp –a
在“ Internet Address ”下找到上步记录的网关 IP 地址,记录其对应的物理地址,即“ Physical Address ”值,例如“ 00-01-e8-1f-35-54 ”。在网络正常时这就是网关的正确物理地址,在网络受“ ARP 欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。
也可以扫描本子网内的全部 IP 地址,然后再查 ARP 表。如果有一个 IP 对应的物理地址与网关的相同,那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。
3 .设置 ARP 表避免“ ARP 欺骗”木马影响的方法
本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上边介绍的方法确定正确的网关 IP 地址和网关物理地址,然后在 “命令提示符”窗口中输入并执行以下命令: 字串1
arp –s 网关 IP 网关物理地址
4.态ARP绑定网关
步骤一:
在能正常上网时,进入MS-DOS窗口,输入命令:arp -a,查看网关的IP对应的正确MAC地址, 并将其记录下来。
注意:如果已经不能上网,则先运行一次命令arp -d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话)。一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp -a。
步骤二:
如果计算机已经有网关的正确MAC地址,在不能上网只需手工将网关IP和正确的MAC地址绑定,即可确保计算机不再被欺骗攻击。
要想手工绑定,可在MS-DOS窗口下运行以下命令:
arp -s 网关IP 网关MAC
例如:假设计算机所处网段的网关为192.168.1.1,本机地址为192.168.1.5,在计算机上运行arp -a后输出如下:
Cocuments and Settingsarp -a
Interface:192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 dynamic
其中,00-01-02-03-04-05就是网关192.168.1.1对应的MAC地址,类型是动态(dynamic)的,因此是可被改变的。 字串1
被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC。如果希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找该攻击的机器做准备。
手工绑定的命令为:
arp -s 192.168.1.1 00-01-02-03-04-05
绑定完,可再用arp -a查看arp缓存:
Cocuments and Settingsarp -a
Interface: 192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 static
这时,类型变为静态(static),就不会再受攻击影响了。
但是,需要说明的是,手工绑定在计算机关机重启后就会失效,需要再次重新绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,把病毒杀掉,才算是真正解决问题。
5 .作批处理文件
在客户端做对网关的arp绑定,具体操作步骤如下:
步骤一:
查找本网段的网关地址,比如192.168.1.1,以下以此网关为例。在正常上网时,“开始→运行→cmd→确定”,输入:arp -a,点回车,查看网关对应的Physical Address。
比如:网关192.168.1.1 对应00-01-02-03-04-05。
步骤二:
编写一个批处理文件rarp.bat,内容如下:
@echo off
arp -d
arp -s 192.168.1.1 00-01-02-03-04-05
保存为:rarp.bat。
步骤三:
运行批处理文件将这个批处理文件拖到“Windows→开始→程序→启动”中,如果需要立即生效,请运行此文件。
注意:以上配置需要在网络正常时进行
6.使用安全工具软件
及时下载Anti ARP Sniffer软件保护本地计算机正常运行。具体使用方法可以在网上搜索。
如果已有病毒计算机的MAC地址,可使用NBTSCAN等软件找出网段内与该MAC地址对应的IP,即感染病毒的计算机的IP地址,然后报告单位的网络中心对其进行查封。
或者利用单位提供的集中网络防病毒系统来统一查杀木马。另外还可以利用木马杀客等安全工具进行查杀。
7.应急方案
网络管理管理人员利用上面介绍的ARP木马检测方法在局域网的交换机上查出受感染该病毒的端口后,立即关闭中病毒的端口,通过端口查出相应的用户并通知其彻底查杀病毒。而后,做好单机防范,在其彻底查杀病毒后再开放相应的交换机端口,重新开通上网。
附录一
清华大学校园网络安全响应小组编的一个小程序
下载地址:
清华大学校园网络安全响应小组编了一个小程序,它可以保护您的计算机在同一个局域网内部有ARP欺骗木马计算机的攻击时,保持正常上网。具体使用方法:
1、 程序运行后请先选择网卡,选定网卡后点击“选定”按钮。
2、 选定网卡后程序会自动获取您机器的网关地址。
3、获得网关地址后请点击获取MAC地址按钮获取正确的网关MAC地址。
4、 确认网关的MAC地址后请点击连接保护,程序开始保护您的机器。
5、 点击程序右上角的叉,程序自动隐藏到系统托盘内。
6、要完全退出程序请在系统托盘中该程序图标上点击右键选择EXIT。
注意:
1、这个程序只是一个ARP攻击保护程序,即受ARP木马攻击时保持自己计算机的MAC地址不被恶意篡改,从而在遭受攻击时网络不会中断。本程序并不能清除已经感染的ARP木马,要预防感染或杀除木马请您安装正版的杀毒软件!
附录二
Anti Arp Sniffer 的用法
下载地址:
双击Antiarp文件,出现图二所示对话框。
图二
输入网关地址(网关地址获取方式:[开始] --[程序]-- [附件]菜单下调出“命令提示符”,输入ipconfig,其中Default Gateway即为网关地址);点击获取网关MAC地址,点击自动防护保证当前网卡与网关的通信不被第三方监听。
点击恢复默认,然后点击防止地址冲突,如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数据包。
右击[我的电脑]--[管理]--点击[事件查看器]--点击[系统]--查看来源为[TcpIP]---双击事件可以看到显示地址发生冲突,并记录了该MAC地址,请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-),输入完成之后点击[防护地址冲突],为了使MAC地址生效请禁用本地网卡然后再启用网卡,在CMD命令行中输入Ipconfig /all,查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符,如果成功将不再会显示地址冲突。
注:1、如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡;本软件不支持多网卡,部分网卡可能更改MAC会无效。
本文转载自“可可电脑网”
补充:我的电脑是在学校的局域网。我知道是局域网内有人的机子中了ARP欺骗木马(我可以确定不是我的机子,因为我已经把整个硬盘格式化重装系统了)
我装了ARP防火墙,能拦住ARP攻击,但仍然会断网,郁闷
我用了ARP专杀工具,也没用,还绑定了MAC地址,也没什么效果
用一些禁止P2P的工具虽然也有效但容易引起局域网风暴 数据爆增 并且有人不停的拿P2P工具捣乱 你也是没办法的 建议你进入路由 把网内所有IP和MAC码绑定 这样P2P工具就没办法欺骗.要查到这个人也很简单 在DOS下输入 arp -a(或者-S,忘了) 查看除了路由外的IP 如果除了路由IP还有别的 那就是那个人了.
或者可以试着下载P2P终结者,用其中的网络剪刀手,查一下他的IP.
另外 你可以去下载 彩影安全护盾 可以保持你的机器和路由不会被欺骗,还可以安装arp保护神和arp卫士
更多详细信息请参考ARP欺骗病毒专题:
ARP防火墙 单机版4.1.1下载:
ARP的作用
地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。
arp协议的作用:
主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。
地址解析协议是建立在网络中各个主机互相信任的基础上的,网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存;
由此攻击者就可以向某一主机发送伪ARP应答报文,使其发送的信息无法到达预期的主机或到达错误的主机,这就构成了一个ARP欺骗。
ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。NDP用于在IPv6中代替地址解析协议。
扩展资料
ARP欺骗防御措施:
1、不要把网络安全信任关系建立在IP基础上或MAC基础上(RARP同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。
2、设置静态的MAC--IP对应表,不要让主机刷新设定好的转换表。
3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
5、使用“proxy”代理IP的传输。
6、使用硬件屏蔽主机。设置好路由,确保IP地址能到达合法的路径(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
7、管理员定期用响应的IP包中获得一个RARP请求,然后检查ARP响应的真实性。
8、管理员定期轮询,检查主机上的ARP缓存。
9、使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。
10、若感染ARP病毒,可以通过清空ARP缓存、指定ARP对应关系、添加路由信息、使用防病毒软件等方式解决。
NDP与ARP的区别:
IPv4中地址解析协议是独立的协议,负责IP地址到MAC地址的转换,对不同的数据链路层协议要定义不同的地址解析协议。IPv6中NDP包含了ARP的功能,且运行于因特网控制信息协议ICMPv6上,更具有一般性,包括更多的内容,而且适用于各种数据链路层协议;
地址解析协议以及ICMPv4路由器发现和ICMPv4重定向报文基于广播,而NDP的邻居发现报文基于高效的组播和单播
参考资料:百度百科-ARP (地址解析协议)
关于ARP的攻击问题
ARP攻击方式ARP攻击,是指攻击者利用地址解析协议本身的运行机制而发动的攻击行为。包括进行对主机发动IP冲突攻击、数据包轰炸,切断局域网上任何一台主机的网络连接等。[5]主要有以盗取数据为主要目的的ARP欺骗攻击,还有以捣乱破坏为目的的ARP泛洪攻击两种。争对这两种主要攻击方式,本文作者又细分为以下几种ARP攻击类型:
1. IP地址冲突制造出局域网上有另一台主机与受害主机共享一个IP的假象。由于违反了唯一性要求,受害主机会自动向用户弹出警告对话框。大量的攻击数据包能令受害主机耗费大量的系统资源。对于windows操作系统,只要接收到一个ARP数据包,不管该ARP数据包符不符合要求,只要该ARP数据包所记录的源ip地址同本地主机相同但MAC地址不同,windows系统就会弹出ip地址冲突的警告对话框。根据ip地址冲突的攻击特征描述,这种类型的ARP攻击主要有以下几种:
(1)单播型的IP地址冲突:链路层所记录的目的物理地址为被攻击主机的物理地址,这样使得该ARP数据包只能被受攻击主机所接收而不被局域网内的其它主机所接收实现隐蔽式攻击。
(2)广播型的IP地址冲突:链路层所记录的目的物理地址为广播地址,这样使得局域网内的所有主机都会接受到该ARP数据包,虽然该ARP数据包所记录的目的ip地址不是受攻击主机的ip地址,但是由于该ARP数据包为广播数据包,这样受攻击主机也会接收到从而弹出ip地址冲突的警告对话框。
2 ARP泛洪攻击 攻击主机持续把伪造的MAC-IP映射对发给受害主机,对于局域网内的所有主机和网关进行广播,抢占网络带宽和干扰正常通信。这种攻击方式的主要攻击特征包含(1)通过不断发送伪造的ARP广播数据报使得交换机拼于处理广播数据报耗尽网络带宽。(2)令局域网内部的主机或网关找不到正确的通信对象,使得正常通信被阻断。(3)用虚假的地址信息占满主机的ARP高速缓存空间,造成主机无法创建缓存表项,无法正常通信,这种攻击特征作者将其命名为ARP溢出攻击。ARP泛洪攻击不是以盗取用户数据为目的,它是以破坏网络为目的,属于损人不利己的行为。
ARP溢出攻击
ARP溢出攻击的特征主要有:(1)所发送的伪造MAC-IP映射对的ip地址是非本地网的虚拟不存在的ip地址但MAC地址是固定的,由于当操作系统接收到一个源ip地址在ARP高速缓存表中不存在的ARP数据包时,就会在缓存表中创建一个对应MAC-IP的入口项。
(2)所发送的伪造MAC-IP映射对的ip地址是非本地网的虚拟不存在的ip地址而且MAC地址也是虚拟变化的。发送这种类型的攻击数据包会引起交换机的CAM表溢出。由于交换机是通过学习进入各端口数据帧的源MAC地址来构建CAM表,将各端口和端口所连接主机的MAC地址的对应关系进行记录,因而可根据CAM表来决定数据帧发往哪个端口。如果攻击源持续向交换机发送大量有错误的MAC地址ARP数据包,就会破坏端口与MAC的对应关系,并导致CAM表溢出。在这种情形之下,缺少防范措施的交换机就会以广播的模式处理报文,形成泛洪向所有接口转发通信信息流。[6]最终使得交换机变成HUB,将交换式的网络变成广播式的网络,使得网络带宽急剧下降。
nmap十条自带命令的作用分别是什么啊?刚学求大神指点!
1、Intense scan nmap -T4 -A -v:作用强烈的扫描。
2、Intensescan plus UDP:强烈的扫描,加上udp协议扫描。
3、Intense scan, all TCP ports:对目标的所有端口进行强烈的扫描。
4、.Intensescan, no ping:对目标进行强烈的扫描,不进行主机发现。
5、Ping scan :在发现主机后,不进行端口扫描。
6、Quick scan:快速扫描。
7、Quick traceroute:快速扫描,不扫端口返回每一跳的主机ip。
8、Quickscan plus:更快速的扫描。
9、Slow comprehensive scan:慢速综合性扫描。
10、Regular scan:常规扫描。
参考资料来源:百度百科-nmap
路由器安全日志 ARP扫描: 主机 192.168.0.101 硬件地址 11:114C:48:3C:68正在扫描内网。扫描速度: 251个包/
...下载一个端口扫描工具呗,多着呢,SuperScan,X-Scan等等都行,扫描从192.168.0.1-192.168.0.254就行了 ...可能是路由自动分配的 在192.168.0...
0条大神的评论