关于ARP防御之双绑批处理集合
@echo off
:::读取本机Mac地址
if exist ipconfig.txt del ipconfig.txt
ipconfig /all >ipconfig.txt
if exist phyaddr.txt del phyaddr.txt
find "Physical Address" ipconfig.txt >phyaddr.txt
for /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M :::::::::读取本机ip地址
if exist IPAddr.txt del IPaddr.txt
find "IP Address" ipconfig.txt >IPAddr.txt
for /f "skip=2 tokens=15" %%I in (IPAddr.txt) do set IP=%%I :::::::::绑定本机IP地址和MAC地址
arp -s %IP% %Mac%
:::::::::读取网关地址
if exist GateIP.txt del GateIP.txt
find "Default Gateway" ipconfig.txt >GateIP.txt
for /f "skip=2 tokens=13" %%G in (GateIP.txt) do set GateIP=%%G ping %GateIP% -n 1
:::::::::读取网关Mac地址
if exist GateMac.txt del GateMac.txt
arp -a %GateIP% >GateMac.txt
for /f "skip=3 tokens=2" %%H in (GateMac.txt) do set GateMac=%%H :::::::::绑定网关Mac和IP
arp -s %GateIP% %GateMac%
:::::::::删除临时文件
del GateIP.txt
del GateMac.txt
del IPAddr.txt
del ipconfig.txt
del phyaddr.txt
exit
批处理有缺陷,有时不能实现真正意义的双绑!
以下是引用片段:
@echo off
::读取本机Mac地址
if exist ipconfig.txt del ipconfig.txt
ipconfig /all >ipconfig.txt
if exist phyaddr.txt del phyaddr.txt
find "Physical Address" ipconfig.txt >phyaddr.txt
for /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M ::读取本机ip地址
if exist IPAddr.txt del IPaddr.txt
find "IP Address" ipconfig.txt >IPAddr.txt
for /f "skip=2 tokens=15" %%I in (IPAddr.txt) do set IP=%%I
::绑定本机IP地址和MAC地址
arp -s %IP% %Mac%
::读取网关地址
if exist GateIP.txt del GateIP.txt
find "Default Gateway" ipconfig.txt >GateIP.txt
for /f "skip=2 tokens=13" %%G in (GateIP.txt) do set GateIP=%%G
::读取网关Mac地址
if exist GateMac.txt del GateMac.txt
arp -a %GateIP% >GateMac.txt
for /f "skip=3 tokens=2" %%H in (GateMac.txt) do set GateMac=%%H
::绑定网关Mac和IP
arp -s %GateIP% %GateMac%
arp -s 网关IP 网关MAC
exit
这个批处理要查询本机的ARP 缓存表,看里面是不是有网关的IP和MAC,有则能成功
绑定,但是没有的话就绑不定了!!!不过可以改进一下,达到双绑的目的,比如
加上arp -s 网关IP 网关MAC一行就可以了。。。
二、这个也不能实现真正意义的双绑,只能绑定本机IP和MAC
(多谢中国DOS联盟lxmxn提供)
以下是引用片段:
@echo off
for /f "delims=: tokens=2" %%a in (’ipconfig /all^|find "Physical Address"’) do set local_mac=% %a
for /f "delims=: tokens=2" %%a in (’ipconfig /all^|find "IP Address"’) do set local_ip=%%a
for /f "delims=: tokens=2" %%a in (’ipconfig /all^|find "Default Gateway"’) do set gate_ip=%%a fo* /* %%* in (’getmac /nh /s %local_ip%’) do set gate_mac=%%a
arp -s %local_ip% %local_mac%
arp -s %gate_ip% %gate_mac% (这个地方有问题,改进中……)
经测试,此批处理不能绑定网关IP和MAC,只能绑定本机IP和MAC
三、这个还不是很清楚,我要测试才行的,目前所知也能绑定本机IP和MAC
(多谢中国DOS联盟everest79提供)
以下是引用片段:
@ECHO OFF
SETLOCAL ENABLEDELAYEDEXPANSION
for /f "tokens=2 delims=[]=" %%i in (’nbtstat -a %COMPUTERNAME%’) do call set local=!loca l!%%i
for /f "tokens=3" %%i in (’netstat -r^|find " 0.0.0.0"’) do set gm=%%i
for /f "tokens=1,2" %%i in (’arp -a %gm%^|find /i /v "inter"’) do set gate=%%i %%j
arp -s %gate%
arp -s %local%
arp -s 网关IP 网关MAC
这个批处理可以绑定网关IP和MAC,但是还是有缺陷,要依赖于本机上存在的ARP缓存!改进方法为在最后加一个arp -s 网关IP和MAC!
四、这个是一个兄弟的博客上找到的,原理和第一个一样,只是改进了一点点!
这个P通过ping网关三次得到了网关的MAC其实以上的批都可以通过这个来搞定网关的IP和MAC,
但是如果开机的时候正在发生ARP欺骗的话这样你绑的IP和MAC就是错的,不能上网了。。
不过这种情况很少,发过来试一下先吧!
以下是引用片段:
@echo off
:::::::::::::清除所有的ARP缓存
arp -d
:::::::::::::读取本地连接配置
ipconfig /all>ipconfig.txt
:::::::::::::读取内网网关的IP
for /f "tokens=13" %%I in (’find "Default Gateway" ipconfig.txt’) do set GatewayIP=%%I
:::::::::::::PING三次内网网关
ping %GatewayIP% -n 3
:::::::::::::读取与网关arp缓存
arp -a|find "%GatewayIP%">arp.txt
:::::::::::::读取网关MAC并绑定
for /f "tokens=1,2" %%I in (’find "%GatewayIP%" arp.txt’) do if %%I==%GatewayIP% arp -s % %I %%J
:::::::::::::读取本机的 IP+MAC
for /f "tokens=15" %%i in (’find "IP Address" ipconfig.txt’) do set ip=%%i
for /f "tokens=12" %%i in (’find "Physical Address" ipconfig.txt’) do set mac=%%i
:::::::::::::绑定本机的 IP+MAC
arp -s %ip% %mac%
:::::::::::::删除所有的临时文件
del ipconfig.txt
del arp.txt
exit
以上P可以配合路由上对客户机的IP和MAC进行绑定实现完全防ARP,只是单绑下面机和网关IP及MAC
没有多大用处,关于路由上面的,因为大家用的路由不一样,所以这个就不写了!
一个批处理搞定所有客户机arp绑定客户机互绑
今天凌晨又中arp了内网超卡偶尔部分机器瞬断注:本网吧有双绑
可能又是arp新变种吧打开cmd- arp -a 一看
多了一个动态arp 192.168.1.161
这个机器只是一台普通客户机而已马上赶过去打开他的任务管理器一看
多了一个进程约64M(什么名字没记) 重启机器
OK内网马上正常
临时解决办法
因本网吧客户机有启动批处理
添加:
if %~n0==arp exit
if %~n0==Arp exit
if %~n0==ARP exit
:IP
FOR /f "skip=13 tokens=15 usebackq " %%i in (`ipconfig /all`) do Set IP=%%i && GOTO MAC
:MAC
FOR /f "skip=13 tokens=12 usebackq " %%i in (`ipconfig /all`) do Set MAC=%%i && GOTO GateIP
:GateIP
arp -s %IP% %MAC%
rem \\sever\log$ \\server 就是你的服务器名 \log$这个服务器目录要有写权限这是把服务器上的ip-mac文件拷到本机
copy \\server\log$\ip-mac.bat c:\
find /c /i "%ip% %mac%" c:\ip-mac.bat
if errorlevel 8 goto exit
if errorlevel 7 goto exit
if errorlevel 6 goto exit
if errorlevel 5 goto exit
if errorlevel 4 goto exit
if errorlevel 3 goto exit
if errorlevel 2 goto exit
if errorlevel 1 goto Write
if errorlevel 0 goto exit
:Write
echo 正在写入ip-mac表
echo arp -s %IP% %MAC% >>\\server\log$\ip-mac.bat 2>nul
c:\ip-mac.bat
exit
:exit
@echo ip-mac表正确将退出系统
c:\ip-mac.bat
exit
雕虫小技在此献丑了原理很简单每台机器先绑定自身静态ip 再把本机的ip 传到服务器的共享目录批处理文件中然后所有机器启动时再运行这个批处理
这样所有内网客户机ip和mac都会自动绑定写得仓促有问题的地方欢迎网盟兄弟们共同探讨
静态绑定网关MAC 简单方法:手工绑定: (1).确定用户计算机所在网段 (2).查出用户网段网关IP (3).根据网关IP查出用户网段网关Mac,本地查询: (4).用命令arp -s 网关IP 网关MAC静态绑定网关IP和MAC 举例: (1).确定用户计算机所在网段 开始->程序->附件->命令提示符,打开命令提示符窗口,输入ipconfig命令,查出用户正常分配到的IP地址: 本机IP: 10.13.2.62 网关IP: 10.13.2.254 (2).IP为10.13.3.254 的网关的MAC地址为00-0b-46-01-01-00 (4).在命令提示符窗口中输入以下命令 arp –d //清空ARP缓存 arp -s 10.13.2.254 00-0b-46-01-01-00 //静态绑定网关MAC地址arp –a //查看ARP缓存记录
=============================================== 由于手工绑定在计算机关机重启后就会失效,需要再次重新绑定 可以采用批处理的方式,完成上述步骤,同时使之开机运行即可 使用arp命令静态绑定网关MAC,格式如下: arp -s 网关IP 网关MAC 如果觉得每次手动输入比较复杂,您可以编写一个简单的批处理文件然后让它每次开机时自动运行, 批处理文件如下: ----------------------------------- @echo off echo 'arp set' arp -d arp -s 网关IP 网关MAC exit ------------------------------------
开发与应用 计算机与信息技术 ·7· ARP 攻击的分析与防范 吴勇 李祥 (贵州大学 计算机软件与理论研究所,贵州 贵阳 550025) 摘 要 介绍了ARP协议工作原理,分析了ARP协议的弱点,阐述了基于ARP进行网络攻击的主要方式,并给出了应 对措施。提出构造ARP应答包进行ARP欺骗的具体方法。 关键词 ARP协议;ARP欺骗;ICMP重定位;静态ARP表;地址解析;libnet 1 引言 网络上的计算机之间是通过IP地址通信的,但是IP地址是位于网络层的逻辑地址,计算机之间要想真的进行数据交换必须知道它的物理地址,ARP就是将逻辑地址转换成物理地址的一个协议。因此ARP的协议的安全就显的非常重要。现在对ARP攻击最常用的一种方式就是ARP欺骗,在这种攻击方式下,攻击方可以通过伪造ARP请求与应答更新目标主机的ARP缓存从而骗过目标机。使目标机的数据包发给攻击者。攻击者就可以对截获的数据包的内容进行分析破解目标机的信息。 2 ARP 协议 计算机之间主要是通过IP地址通信,IP地址是一个逻辑地址,通过IP地址就可以找到目标网络,但是在一个网络内部的计算机之间进行最终的数据交换时就必须经过物理MAC地址才能识别具体的一台主机,这时我们就需要ARP协议把需要通信的目标主机的IP地址解析为与之对应的硬件物理地址。 2.1 ARP 协议的基本工作原理 一台连入互连网的计算机拥有两个地址。一个是IP地址,它是一个网络层使用的协议并且独立于网络底层。每一台在互联网上的计算机都必须有一个惟一IP地址。IP地址是一个可以通过软件设置的逻辑地址。另一个地址是网卡地址MAC 地址。MAC地址是一个固定在网卡中的全球独一无二的地址。通过MAC地址,以太网就能独立于上层协议收发数据。当两台主机进行通信时,IP数据被封装成以太帧格式的一个个的数据包,这些数据包通过数据链路层进行传送,ARP消息就被封装在以太帧的数据部分。每一台基于TCP/IP协议的主机都有一个ARP缓存表。里面包括硬件类型,硬件地址长度,操作号,源IP地址与MAC地址,目的IP地址与MAC地址。如果一台主机甲要与另一台主机乙进行数据通信,且它们位于一个网段时,它们之间的具体通信过程如下:甲查看自己的ARP缓存表,寻找乙机器的相关信息,如果找到的话,就使用表中与乙的IP地址对应的MAC地址来通信;若查找失败,就会向局域网中发送一个以太网的广播帧,往帧中填充甲主机的IP地址和MAC地址,乙主机的IP地址等字段形成一个ARP请求。此时此网段内的所有机器都会收到此请求,但只有乙主机收到后发现此请求中有自己的IP地址从而作出响应。它先刷新自己的ARP缓存,以便提高以后的通信效率,而后生成一个ARP应答帧将自己的MAC地址填充进去发送给甲主机。甲收到后将乙的ARP信息写入自己的ARP缓存中。若不在同一网段,此过程分为两个阶段,第一阶段甲会广播一个ARP请求来得到本地网关的MAC地址,然后将数据发送到网关。再判断网关与乙是否在同一网段。如果是就进入第二阶段查找IP/MAC,转发数据否则继续广播ARP请求。(如图1) 当一台机器更换了新网卡后,就会通知网内其它主机,使之更新各自的ARP表项使IP地址和新的MAC地址保持一致。因此每台机器在启动时都会发一个以太网广播帧通知其它主机及时更新ARP缓存。 第一阶段 第二阶段 图1 不同网段的ARP攻击
ARP静态绑定批处理文件脚本详细讲解 网上流传了很多对付ARP欺骗的批处理脚本,本文是对比较流行的一个脚本加以注释和讲解,希望对广大51CTO网友和网管员有用。 网上流传了很多对付ARP欺骗的批处理脚本,本文是对比较流行的一个脚本加以注释和讲解,希望对广大51CTO网友和网管员有用。原批处理文件如下: @echo off if exist ipconfig.txt del ipconfig.txt ipconfig /all >ipconfig.txt if exist phyaddr.txt del phyaddr.txt find "Physical Address" ipconfig.txt >phyaddr.txt for /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M if exist IPAddr.txt del IPaddr.txt find "IP Address" ipconfig.txt >IPAddr.txt for /f "skip=2 tokens=15" %%I in (IPAddr.txt) do set IP=%%I arp -s %IP% %Mac% del ipaddr.txt del ipconfig.txt del phyaddr.txt exit 现在以//开头的为我的解释 @echo off //关闭命令回显
if exist ipconfig.txt del ipconfig.txt //如果存在ipconfig.txt 这个文件就对其进行删除 ipconfig /all >ipconfig.txt //把ipconfig /all 命令的显示结果写入ipconfig.txt if exist phyaddr.txt del phyaddr.txt //如果存在phyaddr.txt 这个文件就对其进行删除 find "Physical Address" ipconfig.txt >phyaddr.txt //在ipconfig.txt 文件里查找Physical Address 字段的内容并将其字段内容写入phyaddr.txt for /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M //在phyaddr.txt 文件中从第一行象下跳两行,也就是从第三行开始,从第12个符号处取值,并把该值设置成MAC 变量,举个例子:Physical Address. . . . . . . . . : 00-E0-FC-0C-A8-4F,每一个连续的数值为一个符号 符号1:Physical 符号2:Address. 符号3:. 符号4:. 符号5:. 符号6:. 符号7:. 符号8:. 符号9:.
ARP绑定网关及批处理 一.WINDOWS下绑定ARP绑定网关 步骤一: 在能正常上网时,进入MS-DOS窗口,输入命令:arp -a,查看网关的IP对应的正确MA C地址,并将其记录下来。 注意:如果已经不能上网,则先运行一次命令arp -d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话)。一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp -a。 步骤二: 如果计算机已经有网关的正确MAC地址,在不能上网只需手工将网关IP和正确的MAC地址绑定,即可确保计算机不再被欺骗攻击。 要想手工绑定,可在MS-DOS窗口下运行以下命令: arp -s 网关IP 网关MAC 例如:假设计算机所处网段的网关为192.168.1.1,本机地址为192.168.1.5,在计算机上运行arp -a后输出如下: Cocuments and Settings>arp -a Interface:192.168.1.5 --- 0x2 Internet Address Physical Address Type 192.168.1.1 00-01-02-03-04-05 dynamic 其中,00-01-02-03-04-05就是网关192.168.1.1对应的MAC地址,类型是动态(dynamic)的,因此是可被改变的。 被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC。如果希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找该攻击的机器做准备。 手工绑定的命令为: arp -s 192.168.1.1 00-01-02-03-04-05 绑定完,可再用arp -a查看arp缓存: Cocuments and Settings>arp -a Interface: 192.168.1.5 --- 0x2 Internet Address Physical Address Type 192.168.1.1 00-01-02-03-04-05 static 这时,类型变为静态(static),就不会再受攻击影响了。 但是,需要说明的是,手工绑定在计算机关机重启后就会失效,需要再次重新绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,把病毒杀掉,才算是真正解决问题。作批处理文件 在客户端做对网关的arp绑定,具体操作步骤如下: 步骤一: 查找本网段的网关地址,比如192.168.1.1,以下以此网关为例。在正常上网时,“开始→运行→cmd→确定”,输入:arp -a,点回车,查看网关对应的Physical Address。 比如:网关192.168.1.1 对应00-01-02-03-04-05。 步骤二: 编写一个批处理文件rarp.bat,内容如下:
防护arp攻击软件最终版-Antiarp安全软件 使用方法: 1、填入网关IP地址,点击〔获取网关地址〕将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。注意:如出现ARP欺骗提示,这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包,如果您想追踪攻击来源请记住攻击者的MAC地址,利用MAC地址扫描器可以找出IP 对应的MAC地址. 2、IP地址冲突 如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数据包,才会出现IP冲突的警告,利用Anti ARP Sniffer可以防止此类攻击。 3、您需要知道冲突的MAC地址,Windows会记录这些错误。查看具体方法如下: 右击[我的电脑]--[管理]--点击[事件查看器]--点击[系统]--查看来源为[TcpIP]---双击事件可以看到显示地址发生冲突,并记录了该MAC地址,请复制该MAC地址并填入Anti ARP Sniffer 的本地MAC地址输入框中(请注意将:转换为-),输入完成之后点击[防护地址冲突],为了使MAC地址生效请禁用本地网卡然后再启用网卡,在CMD命令行中输入Ipconfig /all,查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符,如果更改失败请与我联系。如果成功将不再会显示地址冲突。 注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。 全中文界面,绿色不用安装 附件: [Antiarp安全软件] Antiarp.rar (2006-4-25 17:03, 353.06 K) 该附件被下载次数103 可惜传不上去。 解决ARP攻击一例 【故障现象】 当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。 切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。 由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行
图解ASA防火墙上进行ARP绑定(图) 目前我公司使用的网络全是静态IP地址,在公司里面有一台ASA5505防火墙,应领导要求,在该防火墙上面要限制某部份用户不能使用某些应用(如QQ农场等),而领导的计算机不做任何限制。为了实现这些功能,我们需要在ASA 5505防火墙上面做ARP绑定,然后再使用访问控帛列表来对这些IP地址与MAC地址进行限制。具体配置很简单,那么下面就带大家一起来看看如何在ASA 5500防火墙上面配置ARP绑定呢? 很简单的几条命令,我们就实现将下面PC的IP地址与MAC地址进行绑定了。下面我们来测试一下看看。刚才上面的IP地址与MAC地址是我笔记本无线网卡的IP地址与MAC地址(如下图)。 我们ping 192.168.0.199(防火墙内网接口地址)看看能否正常通信。
从上图我们可以看见,通过我们的无线网卡能够正常的去与我们防火墙内部接口正常通信。那么下面我将我无线网卡上面的IP地址换至有线网卡上面再测试,这样我有线网卡的MAC地址就不能与防火墙上面设置的MAC 地址匹配(如下图)。 那么我们现在再来看看能不能正常进行通信呢(如下图) 从这里我们可以很明显的看见,他不能与我们防火墙进行通信,而这样就已经实现了IP地址与MAC地址对应以后才能正常通过防火墙出去。但是这样有一点我们大家很容易忽略的,就是我们只将我们需要用的地址进行IP与MAC绑定,而其他没有用的就没有绑,那么人有使用没有绑定IP地址与MAC地址的IP去访问互联网,是能够正常出去的。下面我们来试试,我现在将我的IP地址改成192.168.0.2,这个IP地址在我当前的网络中是没有使用的,在防火墙上面也没有对该IP地址进行MAC地址绑定。 这时候我们再ping一下防火墙的内网接口地址看看能否正常通信呢?
编号TS-08-0005 科来网络分析系统ARP攻击解决方案 版权所有 ? 2007 科来软件保留所有权利。 本文档属商业机密文件,所有内容均为科来软件国内技术支持部独立完成,属科来软件内部机密信息,未经科来软件做出明确书面许可,不得为任何目的、以任何形式或手段(包括电子、机械、复印、录音或其他形式)对本文档的任何部分进行复制、修改、存储、引入检索系统或者传播。 汪已明 科来软件 电话:86-28-85120922 传真:86-28-85120911 网址:https://www.doczj.com/doc/84219531.html, 电子邮件:support@https://www.doczj.com/doc/84219531.html, 地址:成都市高新区九兴大道6号高发大厦B幢1F 版权所有 ? 2007 科来软件. 保留所有权利 第1页 共6页
方案背景 目前,由于政府、企业、高校以及电子商务的蓬勃发展,使得网络已经融入到社会的各个领域;与此同时,网络用户的多样化,直接导致了蠕虫病毒和网络攻击的持续增多。在这种情况下,快速排查网络攻击,保障网络的持续可靠运行,已日益成为与国家、政府、企事业和个人的利益休戚相关的“大事情”。 自2006年以来,ARP攻击就以攻击方法简单、攻击速度快、攻击效果好而深受越来越多恶作剧者的青睐,从而导致近1年多的时间里,网络中的ARP攻击无处不在,各大论坛从未停止过ARP攻击的讨论,一些遭受过ARP攻击的用户甚至到了谈“ARP”色变的程度。 能否快速有效地排查ARP攻击,将直接导致网络的运行是否正常,其意义十分重大。接下来我们就详细地来看如何排查并预防ARP攻击。 ARP协议工作原理 ARP,全称Address Resolution Protocol,中文名为地址解析协议,它工作OSI参考模型的第2层(数据链路层),用于查找IP地址所对应物理网卡的MAC地址。 正常情况下,ARP协议的工作原理如下: 1.所有主机都在自己的缓冲区中建立一个IP地址和MAC地址的对应关系表,我们 称这个表为ARP表。 2.源主机需要发送一个数据包到目的主机时,首先检查自己的ARP表中是否存在该 目的IP地址对应的MAC地址,如果有,就将数据包发送到这个MAC地址所对应 的网卡;如果没有,就向本地网段中除自己以外的所有主机发起一个ARP请求广 播,以查询目的主机所对的MAC地址。 3.网络中的所有主机收到这个ARP请求后,都会检查数据包中的目的IP是否和自己 的IP地址一致。如果不相同,就丢弃该数据包;如果相同,该主机首先将源主机 的IP地址和MAC地址添加到自己的ARP表(ARP表中如果已经存在该IP的信 息,则将其覆盖),然后给源主机发送一个 ARP响应数据包,告诉对方自己是它 需要查找的MAC地址; 4.源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添 加到自己的ARP表,并同时将数据包发往目的主机所对应的网卡。 从上述的过程可知,正常情况下的ARP工作流程是一个请求,一个应答。 ARP攻击原理 根据攻击的严重程度,ARP攻击可以分为三种:ARP扫描、ARP中间人攻击和ARP 断网攻击。 版权所有 ? 2007 科来软件. 保留所有权利 第2页 共6页
通过NETSH命令解决网卡ARP学习不正常的案例 设备配置: 服务器端双网卡配置,ETH0 IP 192.168.8.253 255.255.255.0;ETH1 IP 10.3.0.8 255.255.255.0。所接设备为三台基站设备(服务器到基站由于传输需要经过两台交换机,一对光电转换),IP地址分别为192.168.8.112、192.168.8.113、192.168.8.114。服务器及基站均为静态固定IP。 故障表现: 网卡正常工作一段时间后,三台基站会相继掉线(三台基站不是同时掉),通过抓包软件,发现服务器能收到基站的广播包,但无法PING通,服务器运行arp -a 发现ETH0 网卡ARP表中丢失基站的映射信息。 通过常规手段在服务器运行ARP –S 192.168.8.X XX-XX-XX-XX-XX-XX后,提示命令无法执行。 故障分析: 重启基站/交换机后,基站与服务器能PING通,但过段时间后,仍会相断掉线,排除是基站设备和交换机的问题导致。故障定位于服务器所接网卡问题,但目前仍无得出是什么问题导致网卡的ARP学习不正常。 故障排除: 在服务器上运行命令netsh I I show in得到192.168.8.253所在的网卡IDX号 如图所示,ETH0所对应的IDX 为11 新建一个批处理文件导入服务器启动项,编辑以下信息并保存后,重启服务器 netsh -c "i i" add neighbors 11 192.168.8.112 基站MAC地址(格式为XX-XX-XX-XX-XX-XX)netsh -c "i i" add neighbors 11 192.168.8.113基站MAC地址(格式为XX-XX-XX-XX-XX-XX)netsh -c "i i" add neighbors 11 192.168.8.114基站MAC地址(格式为XX-XX-XX-XX-XX-XX)
ARP欺骗和攻击问题,是企业网络的心腹大患。关于这个问题的讨论已经很深入了,对ARP攻击的机理了解的很透彻,各种防范措施也层出不穷。 但问题是,现在真正摆脱ARP问题困扰了吗?从用户那里了解到,虽然尝试过各种方法,但这个问题并没有根本解决。原因就在于,目前很多种ARP防范措施,一是解决措施的防范能力有限,并不是最根本的办法。二是对网络管理约束很大,不方便不实用,不具备可操作性。三是某些措施对网络传输的效能有损失,网速变慢,带宽浪费,也不可取。 本文通过具体分析一下普遍流行的四种防范ARP措施,去了解为什么ARP问题始终不能根治。 上篇:四种常见防范ARP措施的分析 一、双绑措施 双绑是在路由器和终端上都进行IP-MAC绑定的措施,它可以对ARP欺骗的两边,伪造网关和截获数据,都具有约束的作用。这是从ARP欺骗原理上进行的防范措施,也是最普遍应用的办法。它对付最普通的ARP欺骗是有效的。 但双绑的缺陷在于3点:
1、 在终端上进行的静态绑定,很容易被升级的ARP攻击所捣毁,病毒的一个ARP –d命令,就可以使静态绑定完全失效。 2、 在路由器上做IP-MAC表的绑定工作,费时费力,是一项繁琐的维护工作。换个网卡或更换IP,都需要重新配置路由。对于流动性电脑,这个需要随时进行的绑定工作,是网络维护的巨大负担,网管员几乎无法完成。 3、 双绑只是让网络的两端电脑和路由不接收相关ARP信息,但是大量的ARP攻击数据还是能发出,还要在内网传输,大幅降低内网传输效率,依然会出现问题。 因此,虽然双绑曾经是ARP防范的基础措施,但因为防范能力有限,管理太麻烦,现在它的效果越来越有限了。 二、ARP个人防火墙 在一些杀毒软件中加入了ARP个人防火墙的功能,它是通过在终端电脑上对网关进行绑定,保证不受网络中假网关的影响,从而保护自身数据不被窃取的措施。ARP防火墙使用范围很广,有很多人以为有了防火墙,ARP攻击就不构成威胁了,其实完全不是那么回事。 ARP个人防火墙也有很大缺陷:
ARP攻击方式总结及其防御 1. ARP DDOS攻击 2. ARP 返回数据包欺骗 3. ARP 请求欺骗 4. ARP全网请求欺骗 5. ARP中间人欺骗 6. ARPIP地址冲突 7. ARP网关欺骗 8.ARP 交换机端口转发欺骗(最厉害,就是幻境网盾skiller的攻击方法) 在此我特意奉献给大家,还有些ARP的应用就靠大家去发现了,就不在大家面前说道了,后面我也把一些常见的防护方法说一下,各位也讨论下。 Arp –ddos攻击 其实就是连续大量发送正常ARP 请求包,耗费主机带宽,这种攻击在局域网里面意义不算太大,例如ADSL猫,发送ARP 请求,几分终就会让它死掉,这种数据包是属于正常包,不会被ARP防火墙和交换机过滤掉。 此解决方法,在一些交换机中做流量限制,我也不会做,不知道可行性,个人认为防护难度A++++ ARP 返回数据包欺骗 这种欺骗是最常见的一种欺骗,就是向主机发送ARP返回数据包,这种包把IP做成网关地址,发送端的物理地址是自己的或伪造的,让对方电脑的IP--MAC地址表出现错误,当IP报文把这个硬件地址添到数据中发送就会出现找不到正确的物理出口地址。
这种的防护比较简单,用ARP -S 绑定网关,还有就是用ARP 防火墙,不过这种欺骗可能会被路由器发送的正确的地址给覆盖掉。 ARP 请求欺骗 ARP 请求欺骗也是比较常见的,他是ARP的请求协议,在目的IP和MAC 地址上都没错误,错误是请求者的MAC地址有问题,并不真的 .这种欺骗和返回欺骗仅OP值不同。 防护办法和上面那种一样。 ARP全网请求欺骗 这种欺骗是请求欺骗和返回欺骗的更进一步延伸,原理就是把以太帧头的目标地址改成FF-FF-FF-FF-FF-FF就是广播到所有主机,源地址IP地址或是网关IP地址,物理地址是假的MAC地址,切记在目的IP中,是192.168.1.255组播地址。 这种防护方法和上面相同,网络执法管一类软件的全网阻断功能就是用这种方法实现。 ARP中间人欺骗 这种欺骗是在交换机下面进行的,有人说交换环境下面数据流是安全的,下面这种攻击方式就是针对交换机。 大概的流程是这样的,A B C三台电脑,A 和 C进行正常通讯,B发起中间攻击,B首先发送ARP欺骗告诉A我B就是C,然后告诉C我B就是A.这样A和C之间的数据传输过程就被B完全给查看到了,说起来有点罗唆,这种欺骗也要做一个数据转发机制,不然A和C之间的通讯就会断掉,如P2P 终结者就是这类欺骗。 ARPIP地址冲突
win7 下用arp命令绑定IP和MAC地址,提示“ARP 项添加失败: 拒绝访问”的解决方法。 在win7中,就算是用管理员登录了系统,运行程序的时候默认是只有普通权限的,要在CMD命令命口系统中进行一些重要的系统设置必须要以管理员的身份运行"CMD"程序。 在以前的WINDOWS系列系统中,都可以直接执行arp -s 命令绑定IP和MAC地址,但是在Win7下如果不是以管理员身份运行时会提示:“ARP 项添加失败:请求的操作需要提升。”注意窗口标题栏是没有管理员字样的。 以管理员身份运行CMD命令提示符是会显示管理员字样 但是就算以管理员身份运行也会提示错误信息“ARP 项添加失败: 拒绝访问。” (英文版提示:The ARP entry addition failed:Access is denied. )。 Win7下绑定IP和MAC地址操作和XP有所差别,Win7用户这时候就需要用netsh命令了。具体操作如下: 1、CMD中输入:netshii show in
然后找到“本地连接”对应的“Idx” (我的是“22”,下面neighbors后面的数字跟这里一致。) 2、下面在CMD输入:netsh -c "ii" add neighbors 22 “网关IP” “Mac地址“,这里22是idx号。注册前面"ii"的双引号是英文状输入,后面网关和MAC地址是不用双引号的。 ok,搞定! 再arp -a看看是不是已经绑定好了? 同理,在Win7上用arp -d并不能完全的删除绑定,必须使用netsh -c "ii" delete neighbors IDX(IDX 改为相应的数字)才可删除MAC地址绑定。 总结: 1、使用arp -a 命令查看网关的MAC网卡物理地址 2、使用netshii show in 命令查看本地连接的idx编号 3、使用netsh -c "ii" add neighbors 本地连接的idx “网关IP” “网关mac” 命令绑定 4、使用arp -a 查看结果
Arp攻击原理及防范 1.ARP协议简介 在局域网中,一台主机要和另一台主机进行通信,必须要知道另一台主机的IP地址,但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP地址的,只能识别其MAC地址。MAC地址是48位的,通常表示为12个16进制数,每2个16进制数之间用“-”或者冒号隔开,如:FF-FF-FF-FF-FF-FF就是一个MAC地址。每一块网卡都有其全球唯一的MAC地址,网卡之间发送数据,只能根据对方网卡的MAC地址进行发送,这时就需要一个将数据包中的IP地址转换成MAC地址的协议,而这个重要的任务将由ARP协议完成。 ARP全称为Address Resolution Protocol,即地址解析协议。所谓“地址解析”就是主机在发送数据包前将目标主机IP地址转换成目标主机MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。这时就涉及到一个问题,一个局域网中的电脑少则几台,多则上百台,这么多的电脑之间,如何能准确的记住对方电脑网卡的MAC地址,以便数据的发送呢?这就涉及到了另外一个概念,ARP 缓存表。在局域网的任何一台主机中,都有一个ARP缓存表,该表中保存这网络中各个电脑的IP地址和MAC地址的对照关系。当这台主机向同局域网中另外的主机发送数据的时候,会根据ARP缓存表里的对应关系进行发送。 下面,我们用一个模拟的局域网环境,来说明ARP欺骗的过程。 2.ARP欺骗过程: 如图(1)所示(在相册)局域网中有三台主机与交换机相连接,主机名分别为A、B、C,交换机为网关命名为S,IP如图所示。现在A与C进行通信,正常情况下通信过程如下:A 将自身的数据打包目地IP为C的IP,因为不知道C的MAC,所以A向全网发出ARP请求要求得到C的MAC,C收到广播报文后将自身的MAC地址发送给A,A得到C的MAC后将数据打包,封装目的为C的IP和MAC,然后将数据包发送给S;S收到该包后拆包得到C的MAC,然后再对照自身的ARP缓存表,将数据包发送给C,一次通信完成。 这样的机制看上去很完美,似乎整个局域网也天下太平,相安无事。但是,上述数据发送机制有一个致命的缺陷,即它是建立在对局域网中电脑全部信任的基础上的,也就是说它的假设前提是:无论局域网中那台电脑,其发送的ARP数据包都是正确的。那么这样就很危险了!因为局域网中并非所有的电脑都安分守己,往往有非法者的存在。此时A想得到C 的MAC向全网发送广播,C将自己的MAC发给A,而此时一直沉默的B也向全网发出广播报文,说自已的IP为192.168.0.4MAC为B的MAC即MAC_b,原本A得到的C的MAC是正确的,由于B不停的发送广播报文,但A不知道B的MAC是伪造的,导致A重新动态更新自己的ARP缓存表,此时A的ARP缓存表里记录了一条错误的记录,这就导致了A以后要发送给C的数据全部发给了B。这就是ARP欺骗中冒充主机的方式。 如果B冒充网关又会是什么情况呢?大家知道局域网中所有电脑上网都要通过网关转发数据才能登陆互联网。此时如果B向全网发送广播说我的IP为192.168.0.1 MAC为MAC_b 即B自己的MAC,由于局域网通信的前提条件是信任任何电脑发送的ARP广播包。这样局域网中的其它电脑都会更新自身的ARP缓存表,记录下192.168.0.1-MAC_b这样的记录,这样,当它们发送给网关,也就是IP地址为192.168.0.1这台电脑的数据,结果都会发送到MAC_b这台电脑中!这样,B就将会监听整个局域网发送给互联网的数据包! ARP病毒新的表现形式 由于现在的网络游戏数据包在发送过程中,均已采用了强悍的加密算法,因此这类ARP病毒在解密数据包的时候遇到了很大的难度。现在又新出现了一种ARP病毒,与以前的一样的是,该类ARP病毒也是向全网发送伪造的ARP欺骗广播,自身伪装成网关。但区别是,
ARP攻击防御目录 目录 第1章 ARP攻击防御功能介绍................................................................................................. 1-1 1.1 ARP攻击简介 ................................................................................................................... 1-1 1.2 ARP攻击防御 ................................................................................................................... 1-4 1.2.1 DHCP Snooping功能............................................................................................ 1-4 1.2.2 IP静态绑定功能..................................................................................................... 1-5 1.2.3 ARP入侵检测功能................................................................................................. 1-5 1.2.4 ARP报文限速功能................................................................................................. 1-6 1.2.5 CAMS下发网关配置功能...................................................................................... 1-6 1.3 ARP攻击防御配置指南.................................................................................................... 1-7 1.4 支持ARP攻击防御功能的产品列表................................................................................ 1-8第2章 ARP攻击防御配置举例................................................................................................. 2-1 2.1 DHCP监控模式下的ARP攻击防御配置举例 ................................................................ 2-1 2.1.1 组网需求................................................................................................................. 2-1 2.1.2 组网图..................................................................................................................... 2-2 2.1.3 配置思路................................................................................................................. 2-2 2.1.4 配置步骤................................................................................................................. 2-2 2.1.5 注意事项................................................................................................................. 2-6 2.2 认证模式下的ARP攻击防御配置举例............................................................................ 2-7 2.2.1 组网需求................................................................................................................. 2-7 2.2.2 组网图..................................................................................................................... 2-7 2.2.3 配置思路................................................................................................................. 2-8 2.2.4 配置步骤................................................................................................................. 2-8 2.2.5 注意事项............................................................................................................... 2-19
Computer Knowledge and Technology 电脑知识与技术网络通讯及安全本栏目责任编辑:冯蕾第6卷第3期(2010年1月)“ARP 攻击与防范”课程实验设计 宋星月 (辽宁金融职业学院信息技术系,辽宁沈阳110122) 摘要:针对“ARP 攻击与防范”课程教学,分析了ARP 协议及ARP 攻击的工作原理,提出了一种更好理解“ARP 攻击与防范”的课程实验设计方案。 关键词:ARP 协议;ARP 攻击;ARP 防范;实验设计 中图分类号:TP393文献标识码:A 文章编号:1009-3044(2010)03-611-02 Experimental Design of Courses Based on the ARP Attack and Prevention SONG Xing-yue (Department of Information Technology,Liaoning Finance Vocatinal College,Shenyang 110122,China) Abstract:Based on ARP attack and prevention courses teaching,analyzed the principle of ARP protocol and ARP attacks.A advanced experiment method about the ARP attack and prevention is introduced,and it is helpful for students to study ARP attack and prevention.Key words:ARP protocol;ARP attack;ARP prevention;experiment design 互联网是一个面向大众的开放系统,设计初衷是信息共享、开放、灵活和快速,对于信息的保密措施和系统的安全性考虑得并不完备,这些特性不可避免地引发一些网络安全问题,而且,这些问题随着信息技术的发展也就日益严重,如何有效地防范各种攻击,增强网络安全性,是一项重要的课题。 网络协议安全是网络安全中的重要领域,研究ARP 协议及其在网络攻防中的应用具有积极的意义。但ARP 攻击方式在不断变换,就连一些资深的网络管理员也为此感到十分头疼。更何况学校里没有实际工作经验的学生。基于此,本文设计了一套ARP 攻击与防范实验方案,增强学生对ARP 协议、ARP 攻击原理的理解,并提高对网络实际操作和故障解决的能力。 1ARP 协议工作原理 ARP 协议,全称Address Resolution Protocol ,中文名是地址解析协议,它工作在OSI 模型的数据链路层,用于将IP 地址转化为网络接口的硬件地址(MAC 地址)。无论是任何高层协议的通信,最终都将转换为数据链路层硬件地址的通讯。 当网络中一台主机要向另一台主机或者路由器发送数据时,会首先检查自己ARP 列表中是否存在该IP 地址对应的MAC 地址,如有,就直接将数据包发送到该MAC 地址;如无,就向本地网段发起一个ARP 请求的广播包,查询此目的主机对应的MAC 地址,此ARP 请求数据包里包括源主机的IP 地址、硬件地址、以及目的主机的IP 地址。网络中所有的主机收到该ARP 请求后,会检查数据包中的目的IP 是否和自己的IP 地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC 地址和IP 地址添加到自己的ARP 列表中,如果ARP 表中已经存在该IP 的信息,则将其覆盖,然后给源主机发送一个ARP 响应数据包,告诉对方自己是它需要查找的MAC 地址;源主机收到这个ARP 响应数据包后,将得到的目的主机的IP 地址和MAC 地址添加到自己的ARP 列表中,并以超时则删除的策略加以维护。 ARP 协议是建立在信任局域网内所有结点的基础上的,它很高效,但却不安全。它不会检查自己是否发过请求包,也不管(其实也不知道)是否是合法的应答,只要收到目标MAC 是自己的ARP Reply 包或ARP 广播包都会接受并缓存,这就为欺骗提供了可能。 2ARP 攻击原理 ARP 欺骗的核心思想是向目标主机发送伪造的ARP 应答,并使目标主机接收应答中伪造的IP 地址与MAC 地址之间的映射对,以此更新目标主机ARP 缓存。2.1ARP 攻击过程 设在同一网段的三台主机:A 、B 、C 。其IP 地址和MAC 地址映射关系如表1 所示。 假设A 与B 是信任关系,A 欲向B 发送数据包。攻击方C 通过前期准备,收 集信息,发现B 的漏洞,使B 暂时无法工作。然后C 发送一个源IP 地址为192.168.0.3源MAC 地址为BB:BB:BB;BB:BB:BB 的包给A 。由于大多数的操作系统在接收到ARP 应答后会及时更新ARP 缓存,而不考虑是否发出过真实的ARP 请求,所以A 接收到应答后,就更新它的ARP 缓存,建立新的IP/MAC 地址映射对,即192.168.0.2→CC:CC:CC:CC:CC:CC 。这样,A 就将发往B 的数据包发向了C ,这就是典型的ARP 欺骗过程。 收稿日期:2009-11-19 作者简介:宋星月(1978-),女,内蒙古人,讲师,东北大学硕士研究生,研究方向为计算机网络技术。 表1同网段主机IP/MAC 对应表ISSN 1009-3044Computer Knowledge and Technology 电脑知识与技术Vol.6,No.3,January 2010,pp.611-612E-mail:info@https://www.doczj.com/doc/84219531.html, https://www.doczj.com/doc/84219531.html, Tel:+86-551-56909635690964611