ARP攻击的原理与解决方法如何在局域网内查找病毒主机

《ARP攻击的原理与解决方法如何在局域网内查找病毒主机》由会员分享，可在线阅读，更多相关《ARP攻击的原理与解决方法如何在局域网内查找病毒主机（19页珍藏版）》请在装配图网上搜索。

1、ARP攻击原理与解决方法第3版：网内如何查找病毒主机局域网内有人使用ARP欺骗的木马程序（比如：魔兽世界，天堂，劲舞团等盗号的软件，某些外挂中也被恶意加载了此程序）。以下是分析和解决方法。【故障原理】 要了解故障原理，我们先来了解一下ARP协议。 在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。 ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目

2、标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下所示。主机 IP地址 MAC地址A 192.168.16.1 aa-aa-aa-aa-aa-aaB 192.168.16.2 bb-bb-bb-bb-bb-b

3、bC 192.168.16.3 cc-cc-cc-cc-cc-ccD 192.168.16.4 dd-dd-dd-dd-dd-dd我们以主机A（192.168.16.1）向主机B（192.168.16.2）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.16.2的MAC地址是什么？”网络

4、上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。 从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗，A去Ping主机C却发送到了DD

5、-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候，把C的MAC地址骗为DD-DD-DD-DD-DD-DD，于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么，嗅探成功。 A对这个变化一点都没有意识到，但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。 做“man in the middle”，进行ARP重定向。打开D的IP转发功能，A发送过来的数据包，转发给C，好比一个路由器一样。不过，假如D发送ICMP重定向的话就中断了整个计划。 D直接进行整个包的修改转发，捕获到A发送给C的数据包，全部进行修改

6、后再转发给C，而C接收到的数据包完全认为是从A发送来的。不过，C发送的数据包又直接传递给A，倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了，对于A和C之间的通讯就可以了如指掌了。 【故障现象】 当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。 切换到病毒主机上网后，如果用户已经登陆了服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录服务器，这样病毒主机就可以盗号了。 由于ARP欺骗的木马程序发作的时候会发出大量的数据包

7、导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。 【HiPER用户快速发现ARP欺骗木马】 在路由器的“系统历史记录”中看到大量如下的信息（440以后的路由器软件版本中才有此提示）： MAC Chged 10.128.103.124 MAC Old 00:01:6c:36:d1:7f MAC New 00:05:5d:60:c7:18 这个消息代表了用户的MAC地址发生了变化，在ARP欺骗木马开始运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址（即所有信息的MAC Ne

8、w地址都一致为病毒主机的MAC地址），同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。 如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致，则说明局域网内曾经出现过ARP欺骗（ARP欺骗的木马程序停止运行时，主机在路由器上恢复其真实的MAC地址）。 【在局域网内查找病毒主机】 在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址，那么我们就可以使用NBTSCAN工具来快速查找它。 NBTSCAN可以取到PC的真实IP地址和MAC地址，如果有”ARP攻击”在做怪，可以找到装有ARP攻击的PC的IP/和MAC地址。 命令：“nbtscan -r 192.168.

9、16.0/24”（搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段，即192.168.16.25-192.168.16.137。输出结果第一列是IP地址，最后一列是MAC地址。 NBTSCAN的使用范例： 假设查找一台MAC地址为“000d870d585f”的病毒主机。 1）将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。 2）在Windows开始运行打开，输入cmd（windows98输入“command”

10、），在出现的DOS窗口中输入：C: btscan -r 192.168.16.1/24（这里需要根据用户实际网段输入），回车。3）通过查询IP-MAC对应表，查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。 【解决思路】1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上，（rarp同样存在欺骗的问题），理想的关系应该建立在IP+MAC基础上。 2、设置静态的MAC-IP对应表，不要让主机刷新你设定好的转换表。 3、除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。 4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响

11、应其他机器的ARP广播。确保这台ARP服务器不被黑。 5、使用proxy代理IP的传输。 6、使用硬件屏蔽主机。设置好你的路由，确保IP地址能到达合法的路径。（静态配置路由ARP条目），注意，使用交换集线器和网桥无法阻止ARP欺骗。 7、管理员定期用响应的IP包中获得一个rarp请求，然后检查ARP响应的真实性。 8、管理员定期轮询，检查主机上的ARP缓存。 9、使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丢失。 【HiPER用户的解决方案】建议用户采用双向绑定的方法解决并且防止ARP欺骗。 1、在PC上绑定路由器的IP和MAC地址： 1）首先，获得路由器的

12、内网的MAC地址（例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa）。 2）编写一个批处理文件rarp.bat内容如下： echo off arp -d arp -s 192.168.16.254 00-22-aa-00-22-aa 将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。 将这个批处理软件拖到“windows-开始-程序-启动”中。 3）如果是网吧，可以利用收费软件服务端程序（pubwin或者万象都可以）发送批处理文件rarp.bat到所有客户机的启动目录。Windows2000的默认启动目录为“C:Documen

13、ts and SettingsAll Users开始菜单程序启动”。 2、在路由器上绑定用户主机的IP和MAC地址（440以后的路由器软件版本支持）： 在HiPER管理界面-高级配置-用户管理中将局域网每台主机均作绑定。1定位ARP攻击源头主动定位方式：因为所有的ARP攻击源都会有其特征网卡会处于混杂模式，可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的，从而判断这台机器有可能就是“元凶”。定位好机器后，再做病毒信息收集，提交给趋势科技做分析处理。标注：网卡可以置于一种模式叫混杂模式（promiscuous），在这种模式下工作的网卡能够收到一切通过它的数据，而不管实

14、际上数据的目的地址是不是它。这实际就是Sniffer工作的基本原理：让网卡接收一切它所能接收的数据。被动定位方式：在局域网发生ARP攻击时，查看交换机的动态ARP表中的内容，确定攻击源的MAC地址；也可以在局域居于网中部署Sniffer工具，定位ARP攻击源的MAC。也可以直接Ping网关IP，完成Ping后，用ARP a查看网关IP对应的MAC地址，此MAC地址应该为欺骗的,使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址，如果有”ARP攻 击”在做怪，可以找到装有ARP攻击的PC的IP、机器名和MAC地址。命令：“nbtscan -r 192.168.16.0/24”（搜索

15、整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段，即192.168.16.25-192.168.16.137。输出结果第一列是IP地址，最后一列是MAC地址。NBTSCAN的使用范例：假设查找一台MAC地址为“000d870d585f”的病毒主机。1）将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。2）在Windows开始运行打开，输入cmd（windows98输入“command”），在出现的DOS窗口中输入：

16、C: btscan -r 192.168.16.1/24（这里需要根据用户实际网段输入），回车。3）通过查询IPMAC对应表，查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。通过上述方法，我们就能够快速的找到病毒源，确认其MAC机器名和IP地址。2防御方法a.使用可防御ARP攻击的三层交换机，绑定端口-MAC-IP，限制ARP流量，及时发现并自动阻断ARP攻击端口，合理划分VLAN，彻底阻止盗用IP、MAC地址，杜绝ARP的攻击。b.对于经常爆发病毒的网络，进行Internet访问控制，限制用户对网络的访问。此类ARP攻击程序一般都是从Internet下

17、载到用户终端，如果能够加强用户上网的访问控制，就能极大的减少该问题的发生。c.在发生ARP攻击时，及时找到病毒攻击源头，并收集病毒信息，可以使用趋势科技的SIC2.0，同时收集可疑的病毒样本文件，一起提交到趋势科技的TrendLabs进行分析，TrendLabs将以最快的速度提供病毒码文件，从而可以进行ARP病毒的防御。工作中碰到过几次内网ARP。现就其中的查找方法作如下分析：当一个网段有好几台服务器无法上网报障时，有可能是内网ARP，马上telnet 到三层交换机上(二层的不行)用show arp(华为设备用dis arp)可以查看到有几个IP地址的MAC地址相同;记下这几个IP后马上用sh

18、ow logging 命令(华为设备用dis logbuffer)查看日志你会发现其中有一个IP没有日志报错;这个IP就是内网ARP发起者;马上对它采取措施(交换机上shutdown连接此IP的端口或者直接关闭此IP的服务器查杀ARP后才插网线开机)。如果某台服务器经常有内网ARP时可以考虑为此服务器单独划分一个VLAN以阻断它对整个网段的影响;然后对它彻底处理。也可做端口镜像后在PC机上抓包分析;但笔者认为没有上面的方法来行快。如果没有三层交换设备的网络环境可以直接在PC机上抓包分析后做处理。实战：解决局域网ARP攻击造成的断网问题家里通过连接老妈学校的局域网上网（不用出上网费，_ ）从06

19、年8月起，局域网中上网经常性掉线，通过科来网络分析系统发现，局域网中出现了arp欺骗攻击。经过我不断查找资料，2月初终于实现完美预防，下面就做个总结，希望对其他人有帮助：）1. ARP概念ARP，全称Address Resolution Protocol，中文名为地址解析协议，它工作在数据链路层，在本层和硬件接口联系，同时对上层提供服务。IP数据包常通过以太网发送，以太网设备并不识别32位IP地址，它们是以48位以太网地址传输以太网数据包。因此，必须把IP目的地址转换成以太网目的地址。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得

20、的呢？它就是通过地址解析协议获得的。ARP协议用于将网络中的IP地址解析为的硬件地址（MAC地址，每个网卡一个，据我观察分析，装系统时系统自动给予编号，形如00-03-0F-01-3E-0A），以保证通信的顺利进行。1. 1 ARP和RARP报头结构ARP和RARP使用相同的报头结构，如图1所示。（图1ARP/RARP报头结构）硬件类型字段：指明了发送方想知道的硬件接口类型，以太网的值为1；协议类型字段：指明了发送方提供的高层协议类型，IP为0800（16进制）；硬件地址长度和协议长度：指明了硬件地址和高层协议地址的长度，这样ARP报文就可以在任意硬件和任意协议的网络中使用；操作字段：用来表示

21、这个报文的类型，ARP请求为1，ARP响应为2，RARP请求为3，RARP响应为4；发送方的硬件地址（0-3字节）：源主机硬件地址的前3个字节；发送方的硬件地址（4-5字节）：源主机硬件地址的后3个字节；发送方IP（0-1字节）：源主机硬件地址的前2个字节；发送方IP（2-3字节）：源主机硬件地址的后2个字节；目的硬件地址（0-1字节）：目的主机硬件地址的前2个字节；目的硬件地址（2-5字节）：目的主机硬件地址的后4个字节；目的IP（0-3字节）：目的主机的IP地址。1.2 ARP工作原理1. 首先，每台主机都会在自己的ARP缓冲区 (ARP Cache)中建立一个 ARP列表，以表示IP地址

22、和MAC地址的对应关系。 2. 当源主机需要将一个数据包要发送到目的主机时，会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址，如果有就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。3. 网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发

23、送一个 ARP响应数据包，告诉对方自己是它需要查找的MAC地址； 4. 源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。例如：A的地址为：IP：192.168.1.1 MAC: AA-AA-AA-AA-AA-AAB的地址为：IP：192.168.1.2 MAC: BB-BB-BB-BB-BB-BB根据上面的所讲的原理，我们简单说明这个过程：A要和B通讯，A就需要知道B的以太网地址，于是A发送一个ARP请求广播（谁是192.168.1.2 ，请告诉192.16

24、8.1.1），当B收到该广播，就检查自己，结果发现和自己的一致，然后就向A发送一个ARP单播应答（192.168.1.2 在BB-BB-BB-BB-BB-BB）。1.3 ARP通讯模式通讯模式（Pattern Analysis）：在网络分析中，通讯模式的分析是很重要的，不同的协议和不同的应用都会有不同的通讯模式。更有些时候，相同的协议在不同的企业应用中也会出现不同的通讯模式。ARP在正常情况下的通讯模式应该是：请求 - 应答 - 请求 - 应答，也就是应该一问一答。 2. 常见ARP攻击类型个人认为常见的ARP攻击为两种类型：ARP扫描和ARP欺骗。2.1 ARP扫描（ARP请求风暴）通讯模式

25、（可能）：请求 - 请求 - 请求 - 请求 - 请求 - 请求 - 应答 - 请求 - 请求 - 请求.描述：网络中出现大量ARP请求广播包，几乎都是对网段内的所有主机进行扫描。大量的ARP请求广播可能会占用网络带宽资源；ARP扫描一般为ARP攻击的前奏。出现原因（可能）：*病毒程序，侦听程序，扫描程序。*如果网络分析软件部署正确，可能是我们只镜像了交换机上的部分端口，所以大量ARP请求是来自与非镜像口连接的其它主机发出的。*如果部署不正确，这些ARP请求广播包是来自和交换机相连的其它主机。2.2 ARP欺骗ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的

26、时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。所以在网络中，有人发送一个自己伪造的ARP应答，网络可能就会出现问题。这可能就是协议设计者当初没考虑到的！2.2.1 欺骗原理假设一个网络环境中，网内有三台主机，分别为主机A、B、C。主机详细信息如下描述：A的地址为：IP：192.168.1.1 MAC: AA-AA-AA-AA-AA-AAB的地址为：IP：192.168.1.2 MAC: BB-BB-BB-BB-BB-BBC的地址为：IP：192.168.1.3 MAC: CC-CC-CC-CC-CC-CC正常情况下A和C之间进行通讯，但是此时B向A发送一个

27、自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.1.3（C的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A被欺骗了），这时B就伪装成C了。同时，B同样向C发送一个ARP应答，应答包中发送方IP地址四192.168.1.1（A的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（A的MAC地址本来应该是AA-AA-AA-AA-AA-AA），当C收到B伪造的ARP应答，也会更新本地ARP缓存（C也被欺骗了），这时B就伪

28、装成了A。这样主机A和C都被主机B欺骗，A和C之间通讯的数据都经过了B。主机B完全可以知道他们之间说的什么：）。这就是典型的ARP欺骗过程。注意：一般情况下，ARP欺骗的某一方应该是网关。2.2.2 两种情况ARP欺骗存在两种情况：一种是欺骗主机作为“中间人”，被欺骗主机的数据都经过它中转一次，这样欺骗主机可以窃取到被它欺骗的主机之间的通讯数据；另一种让被欺骗主机直接断网。第一种：窃取数据（嗅探）通讯模式：应答 - 应答 - 应答 - 应答 - 应答 - 请求 - 应答 - 应答 -请求-应答.描述：这种情况就属于我们上面所说的典型的ARP欺骗，欺骗主机向被欺骗主机发送大量伪造的ARP应答包进

29、行欺骗，当通讯双方被欺骗成功后，自己作为了一个“中间人“的身份。此时被欺骗的主机双方还能正常通讯，只不过在通讯过程中被欺骗者“窃听”了。出现原因（可能）：*木马病毒（例如一款传奇木马）*嗅探*人为欺骗第二种：导致断网通讯模式：应答 - 应答 - 应答 - 应答 - 应答 - 应答 - 请求描述：这类情况就是在ARP欺骗过程中，欺骗者只欺骗了其中一方，如B欺骗了A，但是同时B没有对C进行欺骗，这样A实质上是在和B通讯，所以A就不能和C通讯了，另外一种情况还可能就是欺骗者伪造一个不存在地址进行欺骗。对于伪造地址进行的欺骗，在排查上比较有难度，这里最好是借用TAP设备（呵呵，这个东东好像有点贵勒），

30、分别捕获单向数据流进行分析！出现原因（可能）：* 木马病毒（同上）*人为破坏*一些网管软件的控制功能3. 常用的防护方法3.1对于arp攻击的解决思路1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上，（rarp同样存在欺骗的问题），理想的关系应该建立在IP+MAC基础上。2、设置静态的MAC-IP对应表，不要让主机刷新你设定好的转换表。3、除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。5、使用proxy代理IP的传输。6、使用硬件屏蔽主机。设置好你

31、的路由，确保IP地址能到达合法的路径。（静态配置路由ARP条目），注意，使用交换集线器和网桥无法阻止ARP欺骗。7、管理员定期用响应的IP包中获得一个rarp请求，然后检查ARP响应的真实性。8、管理员定期轮询，检查主机上的ARP缓存。9、使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丢失。3.2我个人的解决方案及结果目前对于ARP攻击防护问题出现最多是绑定IP和MAC和使用ARP防护软件，也出现了具有ARP防护功能的路由器。3.2.1 静态绑定 最常用的方法就是做IP和MAC静态绑定，在网内把主机和网关都做IP和MAC绑定。 欺骗是通过ARP的动态实时的规则

32、欺骗内网机器，所以我们把ARP全部设置为静态可以解决对内网PC的欺骗，同时在网关也要进行IP和MAC的静态绑定，这样双向绑定才比较保险。方法：对每台主机进行IP和MAC地址静态绑定。通过命令，arp -s可以实现 “arp s IP MAC地址 ”。例如：“arp s 192.168.10.1 AA-AA-AA-AA-AA-AA”。如果设置成功会在PC上面通过执行 arp -a 可以看到相关的提示：Internet Address Physical Address Type 192.168.1.1 AA-AA-AA-AA-AA-AA static(静态) 一般不绑定,在动态的情况下： Inte

33、rnet Address Physical Address Type 192.168.1.1 AA-AA-AA-AA-AA-AA dynamic(动态)说明：对于网络中有很多主机，如果我们这样每一台都去做静态绑定，工作量是非常大的。这种静态绑定，在电脑每次重起后，都必须重新在绑定，虽然也可以做一个批处理文件，放在启动文件夹下，随系统启动运行。打开记事本，将下面代码写入记事本，保存时起名为 *.bat。echo off arp -darp -s IP地址 MAC地址这种方法经我的实验，结果并不令人满意，仍然经常断网。3.2.2 使用ARP防护软件目前关于ARP类的防护软件出的比较多了，我向大家推

34、荐Antiarp（原anti arp sniffer）。除了本身来检测出ARP攻击外，防护的工作原理是一定频率向网络广播正确的ARP信息。这个软件最新版本为ARP防火墙单机版4.0 Beta4，及ARP防火墙网络版V3.0.0.1，下面为我使用单机版AntiARP Stand-alone Edition的方法。安装运行后，点击面板上的软件设置按钮，出现图二界面，设置主动防御为警戒，网关IP/MAC可以自动获取或手动设置，我推荐手动设置。左侧一般选项按提示设置就可。点击开始保护就可高枕无忧。注：我的电脑安装有虚拟机及蓝牙上网设备，在使用时软件开机自动运行后，反而无法获得DHCP指派的IP地址，只

35、有自动私有地址。所以我用手动启动，也可用软件 startup Delayer 定制启动的顺序及延时。图二本方法经我的使用证实，完全解决了断网问题，是个很不错的个人防护方法。注：对于ARP防火墙软件，请点此访问官方网站。3.2.3 具有ARP防护功能的路由器这类路由器以前听说的很少，对于这类路由器中提到的ARP防护功能，其实它的原理就是定期的发送自己正确的ARP信息。但是路由器的这种功能对于真正意义上的攻击，是不能解决的。ARP的最常见的特征就是掉线，一般情况下不需要处理一定时间内可以回复正常上网，因为ARP欺骗是有老化时间的，过了老化时间就会自动的回复正常。现在大多数路由器都会在很短时间内不停

36、广播自己的正确ARP信息，使受骗的主机回复正常。但是如果出现攻击性ARP欺骗(其实就是时间很短的量很大的欺骗ARP，1秒有个几百上千的)，它是不断的发起ARP欺骗包来阻止内网机器上网，即使路由器不断广播正确的包也会被他大量的错误信息给淹没。可能你会有疑问：我们也可以发送比欺骗者更多更快正确的ARP信息啊？如果攻击者每秒发送1000个ARP欺骗包，那我们就每秒发送1500个正确的ARP信息！面对上面的疑问，我们仔细想想，如果网络拓扑很大，网络中接了很多网络设备和主机，大量的设备都去处理这些广播信息，那网络使用起来好不爽，再说了会影响到我们工作和学习。ARP广播会造成网络资源的浪费和占用。如果该网

37、络出了问题，我们抓包分析，数据包中也会出现很多这类ARP广播包，对分析也会造成一定的影响。4.治标还要治本，对于apr攻击的根本解决方案还是找到中毒主机或主动发送攻击的个人。对于中毒电脑要进行彻底的杀毒，对于主动攻击的个人要严重警告，直至报警解决。下面谈谈如何确定攻击主机。我使用了nbtscan及WinArpAttacker3.50 来定位攻击主机。4.1 NBTSCAN的使用范例：假设查找一台MAC地址为“000d870d585f”的病毒主机。1.将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:/下。2.在Windows开始运行打开，输入cmd（windows98输

38、入“command”），在出现的DOS窗口中输入：C:/nbtscan -r 192.168.1.1/24（这里需要根据用户实际网段输入），回车。C:/Documents and Settings/ALANC:/nbtscan -r 192.168.1.1/24 Warning: -r option not supported under Windows. Running without it. Doing NBT name scan for addresses from 192.168.1.1/24 IP address NetBIOS Name Server User MAC addres

39、s - 192.168.1.0 Sendto failed: Cannot assign requested address 192.168.1.50 SERVER 00-e0-4c-4d-96-c6 192.168.1.111 LLF ADMINISTRATOR 00-22-55-66-77-88 192.168.1.121 UTT-HIPER 00-0d-87-26-7d-78 192.168.1.175 JC 00-07-95-e0-7c-d7 192.168.1.193 test123 test123 00-0d-87-0d-58-5f3.通过查询IP-MAC对应表，查出“000d87

40、0d585f”的病毒主机的IP地址为“192.168.1.193”。在我的附件压缩包中还有一个图形界面的该软件，但是有些主机没有能够发现，还是命令行的比较保险。4.2 WinArpAttacker3.50（卡巴等杀毒软件会报告该软件为恶意程序或病毒）这个软件为英文软件，其实可以作为arp攻击软件，但用来查找局域网中的主机也很不错。打开软件后，如有多个网络连接要在opinion中设置使用哪个网络连接。点击scan即可快速扫描局域网中的主机，并显示其IP、mac和arp的接收发送情况。对于该软件的其他功能有兴趣的可以自行研究。有一点我要说说，在arp攻击的防护中，我也采用了用该软件攻击攻击者主机的

41、方法，但是效果不理想，当你攻击时可以连上网，但是你又不能总是攻击而不做其他事情，所以只被我用来查找主机。当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和安全网关，让所有上网的流量必须经过病毒主机。其他用户原来直接通过安全网关上网现在转由通过病毒主机上网，切换的时候用户会断一次线。 切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。 由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停

42、止运行时，用户会恢复从安全网关上网，切换过程中用户会再断一次线。 【快速查找】在WebUI“系统状态系统信息”系统历史记录中，看到大量如下的信息: MAC SPOOF 192.168.16.200 MAC Old 00:01:6c:36:d1:7f MAC New 00:05:5d:60:c7:18 这个消息代表了用户的MAC地址发生了变化，在ARP欺骗木马开始运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址)。 同时在安全网关的WebUI“高级配置”“用户管理”读ARP表中看到所有用户的MAC地址信息都一样，或者在W

43、ebUI系统状态用户统计中看到所有用户的MAC地址信息都一样。 如果是在WebUI“系统状态”系统信息”系统历史记录中看到大量MAC Old地址都一致，则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时，主机在安全网关上恢复其真实的MAC地址)。 在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址，那么我们就可以使用NBTSCAN(下载地址: NBTSCAN可以取到PC的真实IP地址和MAC地址，如果有”传奇木马”在做怪，可以找到装有木马的PC的IP/和MAC地址。 命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段

44、, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段，即192.168.16.25-192.168.16.137。输出结果第一列是IP地址，最后一列是MAC地址。 NBTSCAN的使用范例: 假设查找一台MAC地址为“000d870d585f”的病毒主机。 1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。 2)在Windows开始运行打开，输入cmd(windows98输入“command”)，在出现的DOS窗口中输入:C:nbtscan -r 19

45、2.168.16.1/24(这里需要根据用户实际网段输入)，回车。 3)通过查询IP-MAC对应表，查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。 【解决办法】 采用双向绑定的方法解决并且防止ARP欺骗。 1、在PC上绑定安全网关的IP和MAC地址： 1）首先，获得安全网关的内网的MAC地址（例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa）。 2）编写一个批处理文件rarp.bat内容如下： echo off arp -d arp -s 192.168.16.254 00-22-aa-00-22-aa 将文件中

46、的网关IP地址和MAC地址更改为实际使用的网关IP地址和MAC地址即可。 将这个批处理软件拖到“windows“开始-程序-启动”中。 3）如果是网吧，可以利用收费软件服务端程序（pubwin或者万象都可以）发送批处理文件rarp.bat到所有客户机的启动目录。Windows2000的默认启动目录为“C:Documents and SettingsAll Users开始菜单程序启动”。 2、在安全网关上绑定用户主机的IP和MAC地址： 在WebUI-高级配置-用户管理中将局域网每台主机均作绑定。使用AntiArp软件抵御ARP攻击。 先查明本机的网关IP地址，可通过以下操作获取：点击“开始”按

47、钮-选择“运行”-输入“cmd”点击“确定”-输入“ipconfig”按回车，“Default ateway”后的IP地址就是网关地址。 运行AntiArp，在管理右栏那“网关地址”里填入刚才查到的IP地址，然后点击“获取MAC”，检查网关IP地址和MAC地址无误后，点击“自动保护”。 2. 除用AntiArp软件外，也可以用arp命令抵御ARP攻击（也就是手动修改了）： 先打开命令提示符窗口（方法如上），然后用“arp a”命令查出默认网关和mac地址 运行arp a 命令后会得出类似如下列表 Internet Address Physical Address Type 222.200.11

48、2.1 00-e0-fc-22-ab-c2 dynamic 其中Internet Address就是默认网关，Physical Address就是mac地址 然后就用“arp -s 默认网关 mac地址”进行绑定 例如: arp s 222.200.112.1 00-e0-fc-22-ab-c2 不过因为这重启机后是不起作用的，如需开机就自行绑定arp，则需利用bat处理文件 该bat文件写法如下: echo off arp -d arp -s 网关IP地址 网关MAC地址 然后再将该bat文件加入“启动”项，系统启动后会自动执行arp命令绑定网关。ARP 病毒攻击症状： 有时候无法正常上网，

49、有时候有好了，包括访问网上邻居也是如此，拷贝文件无法完成，出现错误；局域网内的ARP 包爆增，使用Arp 查询的时候会发现不正常的Mac 地址，或者是错误的Mac 地址对应，还有就是一个Mac 地址对应多个IP 的情况也会有出现。 ARP 攻击的原理： ARP 欺骗攻击的包一般有以下两个特点，满足之一可视为攻击包报警:第一以太网数据包头的源地址、目标地址和ARP 数据包的协议地址不匹配。或者，ARP数据包的发送和目标地址不在自己网络网卡MAC 数据库内，或者与自己网络MAC 数据库MAC/IP 不匹配。这些统统第一时间报警，查这些数据包(以太网数据包)的源地址(也有可能伪造)，就大致知道那台机

50、器在发起攻击了。现在有网络管理工具比如网络执法官、P2P 终结者也会使用同样的方式来伪装成网关，欺骗客户端对网关的访问，也就是会获取发到网关的流量，从而实现网络流量管理和网络监控等功能，同时也会对网络管理带来潜在的危害，就是可以很容易的获取用户的密码等相关信息。 处理办法： 通用的处理流程： 1 .先保证网络正常运行 方法一：编辑个*.bat 文件内容如下： arp.exe s *.*.*.*（网关ip） * * * * *（ 网关mac 地址） end 让网络用户点击就可以了!办法二：编辑一个注册表问题，键值如下： Windows Registry Editor Version 5.00 H

51、KEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun mac=arp s 网关IP 地址网关Mac 地址 然后保存成Reg 文件以后在每个客户端上点击导入注册表。2 找到感染ARP 病毒的机器。 a：在电脑上ping 一下网关的IP 地址，然后使用ARP a 的命令看得到的网关对应 的MAC 地址是否与实际情况相符，如不符，可去查找与该MAC 地址对应的电脑。 b：使用抓包工具，分析所得到的ARP 数据报。有些ARP 病毒是会把通往网关的路径指向自己，有些是发出虚假ARP 回应包来混淆网络通信。第一种处理比较容易，第二种处理比较困

52、难，如果杀毒软件不能正确识别病毒的话，往往需要手工查找感染病毒的电脑和手工处理病毒，比较困难。 c：使用mac 地址扫描工具，nbtscan 扫描全网段IP 地址和MAC 地址对应表，有助于判断感染ARP 病毒对应MAC 地址和IP 地址。 预防措施： 1，及时升级客户端的操作系统和应用程式补丁； 2，安装和更新杀毒软件。 4，如果网络规模较少，尽量使用手动指定IP 设置，而不是使用DHCP 来分配IP 地址。 5，如果交换机支持，在交换机上绑定MAC 地址与IP 地址。（不过这个实在不是好主意）局域网内ARP病毒的查杀解决方法最近一段时间以来,局域网内经常出现断网现象,症状主要为QQ可以联接

53、,但是网页打不开,或者打开速度特别慢,如果关机后重启可以在短时间能浏览网页,但时间稍稍一长立刻又无法打开网页. 在网上查找了很长时间,知道这种情况是ARP病毒造成的!这种状况并不是说有个叫ARP的病毒,而是由于中毒主机在上网浏览网页的过程中带有木马或者恶意程序之类,而导致局域网内其它机器在上网时指向的网关没有正确地指向到正常网关,反而指向了中毒主机所致,在短时间内没有好办法可以起到免疫或查杀的方案。 由于一般局域网内主机数量较多，网络管理员很难能找到带毒主机，所以查杀此病毒非常困难，经过一段时间的摸索，我采用了如下方法进行判断及查杀！ 在已知局域网有ARP传播的情况下，选择一台主机，进行同一网

54、段的IP地址扫描及对应的MAC地址的扫描！通过扫描可以查看到一般中毒主机会和网关的MAC完全相同，比如某网段中网关地址为192.168.0.254，那么可以用过IP扫描查找到某一IP地址所对应的MAC和网关MAC完全相同，这时可以确认中毒机器的IP地址。如果网管手上有IP地址对应的机器的话，可以通过IP地址快速找到相关主机！网络解毒剂DIY步骤一. 在能上网时，进入MS-DOS窗口，输入命令：arp a 查看网关IP对应的正确MAC地址，将其记录下来。注：如果已经不能上网，则先运行一次命令arp d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话），一旦能上网就立即将网络断掉

55、（禁用网卡或拔掉网线），再运行arp a。步骤二. 如果已经有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令：arp s 网关IP 网关MAC例如：假设计算机所处网段的网关为192.168.1.25，本机地址为192.168.1.11在计算机上运行arp a后输出如下：C:Documents and Settingsarp -aInterface: 192.168.1.11 - 0x2Internet Address Physical Address Type192.168.1.25 00-01-02-

56、03-04-05 dynamic其中00-01-02-03-04-05就是网关192.168.1.25对应的MAC地址，类型是动态（dynamic）的，因此是可被改变。被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC，如果大家希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找做准备。手工绑定的命令为：arp s 192.168.1.25 00-01-02-03-04-05绑定完，可再用arp a查看arp缓存，C:Documents and Settingsarp -aInterface: 192.168.1.11 - 0x2Internet Ad

57、dress Physical Address Type192.168.1.25 00-01-02-03-04-05 static这时，类型变为静态（static），就不会再受攻击影响了。但是，需要说明的是，手工绑定在计算机关机重开机后就会失效，需要再绑定。所以，要彻底根除攻击，只有找出网段内被病毒感染的计算机，令其杀毒，方可解决。局域网ARP病毒快速诊断及解决方案最近ARP病毒极为猖獗，许多校园网及网吧因受到攻击而导致网络缓慢、时断时续或者彻底无法上网。笔者的单位近期也不幸遭遇到了ARP病毒攻击，刚开始经过反复检查网线，及网络状况，发现并无断线的情况，无奈之后上网查找资料才确定系ARP病毒捣鬼

58、。 病毒故障现象及诊断 情况一：在局域网中当有用户木马程序通过ARP欺骗对网络进行攻击，中毒的计算机会根据该网络的设置，克隆一个服务器或者路由器的IP地址和MAC地址出来，以此来截获网内发往外网的数据，这是典型的ARP欺骗案例。在攻击的过程中，被攻击的电脑常表现为突然不能上网，过段时间又能上网，常会反复掉线。 情况二：在局域网中某台电脑感觉ARP病毒后，会在网络中不断地向其实计算机发送ARP欺骗，让原本流向网关的流量改道流向病毒主机，造成受害者上网网速变慢,经常出现掉线的情况。 情况三：在局域网当有ARP欺骗发生时，在IP地址设置正常的情况下，可能电脑会显示“IP地址冲突”。 如网络用户在使用

59、计算机过程中，突然发现无法上网，可以先禁用网卡，然后再启用，如果启用之后能上网，就有可能是ARP病毒所致。 另外，也可以通过下如操作进行诊断：点击开始按钮-选择运行-输入arp -d-点击确定按钮，然后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。 注：arp -d命令用于清除并重建本机arp表。arp -d命令并不能抵御ARP欺骗，执行后仍有可能再次遭受ARP攻击。 图1 故障解决办法 可以使用ARP -S命令捆绑IP地址和MAC地址，将网内所有客户端都按找这个方法做好捆绑，确保其的唯一性。 编写批处理文件如下： echo OFF if %n0=arp exit if %n0=Arp exit if %n0=ARP exit echo 正在获取本机信息. :IP FOR /f skip=13 tokens=15 usebackq %i in (ipconfig /all) do Set IP=%i & GOTO MAC :MAC echo IP:%IP% FOR /f skip=13 tokens=12 usebackq %i in (ipconfig /all) do Set MAC=%i & GOTO GateIP :GateIP echo MAC:%MAC%