下载文档原格式
由于ARP病毒的种种网络特性,可以采用一些技术手段进行网络中ARP病毒欺骗数据包免疫。
即便网络中有ARP中毒电脑,在发送欺骗的ARP数据包,其它电脑也不会修改自身的ARP缓存表,数据包始终发送给正确的网关,普遍使用的一种方式是“双向绑定法”。
双向绑定法,顾名思义,就是要在两端绑定IP-MAC 地址,其中一端是在路由器中,绑定下面局域网内部计算机的IP和MAC地址,具体步骤如下:一、路由器绑电脑首先在路由器上绑定内网计算机,主要操作界面如下图:点击上图中的扫描按钮,便可在路由器上绑定内网目前开启的计算机,如已绑定完所有需要上外网的PC机,便可把下面的“禁止未被IP/MAC地址绑定的主机通过”勾选。
二、电脑绑路由器另外一端则是局域网中的每个客户机,在客户端设置网关的静态ARP信息,这叫PC机IP-MAC绑定。
1.首先通过arp –a 查看正确的网关IP地址和MAC地址,如下图:2.其次用arp –s 网关IP地址网关MAC地址的方式,在计算机上绑定,如下图:3.在PC上绑定也可以按下面方法做:1)首先,获得路由器的内网的MAC地址(例如网关地址172.16.1.254的MAC地址为0022aa0022ee)。
2)编写一个批处理文件rarp.bat内容如下:@echooffarp-darp-s172.16.1.25400-22-aa-00-22-ee将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC 地址即可。
将这个批处理软件拖到“windows--开始--程序--启动”中。
这样即减轻了一台台设置的麻烦,也避免了由于电脑重新启动使得数据又要重做的麻烦。
当然最好电脑要有还原卡和保护系统,使得这个批处理不会被随意删除掉。
ARP攻击防范与解决方案ARP(Address Resolution Protocol)攻击是一种常见的网络攻击手段,攻击者通过伪造ARP响应包,将目标主机的IP地址与自己的MAC地址进行绑定,从而实现中间人攻击、数据篡改等恶意行为。
为了保障网络安全,我们需要了解ARP 攻击的原理和防范方法。
一、ARP攻击原理1.1 ARP攻击原理:攻击者发送伪造的ARP响应包,欺骗目标主机将攻击者的MAC地址与目标主机的IP地址进行绑定。
1.2 中间人攻击:攻击者获取目标主机的通信数据,进行篡改或窃取敏感信息。
1.3 数据劫持:攻击者截取目标主机的通信数据,对数据进行篡改或篡改。
二、ARP攻击的危害2.1 窃取敏感信息:攻击者可以窃取目标主机的敏感信息,如账号密码、银行卡信息等。
2.2 数据篡改:攻击者可以篡改目标主机的通信数据,导致数据不一致或损坏。
2.3 网络拒绝服务:攻击者可以通过ARP攻击导致网络拥堵,影响网络正常运行。
三、ARP攻击防范方法3.1 ARP缓存监控:定期监控网络设备的ARP缓存表,及时发现异常ARP绑定。
3.2 静态ARP绑定:在网络设备上设置静态ARP绑定表,限制ARP响应包的发送。
3.3 ARP防火墙:使用ARP防火墙软件,对网络中的ARP流量进行监控和过滤。
四、ARP攻击解决方案4.1 使用ARP检测工具:如ARPWatch、ArpON等工具,检测网络中的ARP 攻击行为。
4.2 网络隔离:将网络划分为多个子网,减少ARP攻击的影响范围。
4.3 加密通信:使用加密通信协议,保护通信数据的安全性。
五、总结5.1 ARP攻击是一种常见的网络攻击手段,对网络安全造成严重威胁。
5.2 了解ARP攻击的原理和危害,采取相应的防范措施是保障网络安全的重要举措。
5.3 通过监控ARP缓存、设置静态ARP绑定、使用ARP防火墙等方法,可以有效防范和解决ARP攻击。
防止恶意软件控制为了给大家带来良好的网络环境,阻止P2P终结者等恶意控制软件破坏局域网网络环境,并且市面上的arp防火墙,如:彩影arp,金山arp等对P2P终结者并无多大防御作用。
现在我们就来做一下网关与客户机的双向IP&MAC绑定来搞定它。
在操作过程中,请关掉arp防火墙(暂时),因为它对我们的操作有一定的影响。
等操作完成之后再打开。
若安装有彩影arp的用户,请不要让它在开机自动运行(方法下面有),可以开机后手动运行。
首先声明一点,绑定IP和MAC是为了防止arp欺骗,防御P2P终结者控制自己的电脑(网速),对自己的电脑没有一点负面影响。
不想绑定的同学可以不绑定,以自愿为原则。
但是若被控制网速,自己躲在屋里哭吧!(开玩笑)。
好了废话不多说,开始我们的客户机IP与MAC绑定教程吧!一.首先将路由即网关的IP和MAC查看下(路由IP一般都是192.168.1.1):开始→运行→cmd(回车)→arp/a就会出现如下图信息:其中第一个192.168.1.1即为路由IP,后面就是路由的MAC二.查看自己的IP和MAC有以下两种方法:①右键网上邻居→属性→右键本地连接→状态→支持→详细信息里面的实际地址即为自己的MAC地址,IP地址即为自己的IP地址。
②开始→运行→cmd(回车)→ipconfig/all(回车)会出来信息,如图:其中本地连接(以太网连接)里面的physical Address即为自己的MAC ,IPAddress即为自己的IP地址。
三.不让彩影arp防火墙开机运行的方法(后面用到):开始→运行→msconfig(回车)→启动→将Antiarp.exe(彩影arp程序)前面的勾去掉→确定→退出而不重新启动→OK!启动里面的启动项目就是你安的软件的名称,命令就是你安在了哪里。
这样开机就不会自动运行它了,要想运行,手动打开桌面上它的程序就行。
若要恢复开机自动运行彩影arp,在启动中,将勾重新勾上就行了(不推荐)!若是不想让其他程序开机运行,和本操作一样!四.以管理员身份运行CMD(一般都是管理员身份,不是的很少,这个基本用不到)在命令界面(即进入CMD以后)直接按ctral+shift+(回车)就行了。
ARP攻击原理简析及防御措施网络欺骗攻击作为一种非常专业化的攻击手段,给网络安全管理者,带来严峻的考验。
网络安全的战场已经从互联网蔓延到用户内部的网络,特别是局域网。
目前利用ARP欺骗的木马病毒在局域网中广泛传播,导致网络随机掉线甚至整体瘫痪,通讯被窃听,信息被篡改等严重后果。
0x1 简介网络欺骗攻击作为一种非常专业化的攻击手段,给网络安全管理者,带来严峻的考验。
网络安全的战场已经从互联网蔓延到用户内部的网络,特别是局域网。
目前利用ARP欺骗的木马病毒在局域网中广泛传播,导致网络随机掉线甚至整体瘫痪,通讯被窃听,信息被篡改等严重后果。
0x2 ARP协议概述ARP协议(address resolution protocol)地址解析协议一台主机和另一台主机通信,要知道目标的IP地址,但是在局域网中传输数据的网卡却不能直接识别IP地址,所以用ARP解析协议将IP地址解析成MAC 地址。
ARP协议的基本功能就是通过目标设备的IP地址,来查询目标设备的mac地址。
在局域网的任意一台主机中,都有一个ARP缓存表,里面保存本机已知的此局域网中各主机和路由器的IP地址和MAC地址的对照关系。
ARP缓存表的生命周期是有时限的(一般不超过20分钟)。
举个例子:假设局域网中有四台主机主机A想和主机B通信主机A会先查询自己的ARP缓存表里有没有B的联系方式,有的话,就将mac-b 地址封装到数据包外面,发送出去。
没有的话,A会向全网络发送一个ARP广播包,大声询问:我的IP地址是192.168.0.2,硬件地址是mac-a,我想知道IP地址是192.168.0.3的硬件地址是多少?此时,局域网内所有主机都收到了,B收到后会单独私密回应:我是192.168.0.3,我的硬件地址是mac-b,其他主机不会理A的此时A知道了B的信息,同时也会动态的更新自身的缓存表0x3 ARP协议的缺陷ARP协议是建立在信任局域网内所有节点的基础上的,他的效率很高。
ARP命令详解和解决ARP攻击(双向绑定)ARP命令详解和解决ARP攻击(双向绑定)显示和修改“地址解析协议(ARP)”缓存中的项目。
ARP 缓存中包含一个或多个表,它们用于存储IP 地址及其经过解析的以太网或令牌环物理地址。
计算机上安装的每一个以太网或令牌环网络适配器都有自己单独的表。
如果在没有参数的情况下使用,则arp 命令将显示帮助信息。
语法arp[-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]]参数-a[ InetAddr] [ -N IfaceAddr]显示所有接口的当前 ARP 缓存表。
要显示特定 IP 地址的 ARP 缓存项,请使用带有 InetAddr 参数的 arp -a,此处的 InetAddr 代表 IP 地址。
如果未指定InetAddr,则使用第一个适用的接口。
要显示特定接口的 ARP 缓存表,请将 -N IfaceAddr 参数与 -a 参数一起使用,此处的 IfaceAddr 代表指派给该接口的 IP 地址。
-N 参数区分大小写。
-g[ InetAddr] [ -N IfaceAddr]与 -a 相同。
-d InetAddr [IfaceAddr]删除指定的 IP 地址项,此处的 InetAddr 代表 IP 地址。
对于指定的接口,要删除表中的某项,请使用IfaceAddr 参数,此处的IfaceAddr 代表指派给该接口的 IP 地址。
要删除所有项,请使用星号(*) 通配符代替 InetAddr。
-s InetAddr EtherAddr [IfaceAddr]向ARP 缓存添加可将IP 地址InetAddr 解析成物理地址EtherAddr 的静态项。
要向指定接口的表添加静态 ARP 缓存项,请使用 IfaceAddr 参数,此处的 IfaceAddr 代表指派给该接口的 IP 地址。
如何有效的防止ARP攻击但问题是,现在真正摆脱ARP问题困扰了吗?从用户那里熟悉到,尽管尝试过各类方法,但这个问题并没有根本解决。
原因就在于,目前很多种ARP防范措施,一是解决措施的防范能力有限,并不是最根本的办法。
二是对网络管理约束很大,不方便不有用,不具备可操作性。
三是某些措施对网络传输的效能有缺失,网速变慢,带宽浪费,也不可取。
本文通过具体分析一下普遍流行的四种防范ARP措施,去熟悉为什么ARP问题始终不能根治。
上篇:四种常见防范ARP措施的分析一、双绑措施双绑是在路由器与终端上都进行IP-MAC绑定的措施,它能够对ARP欺骗的两边,伪造网关与截获数据,都具有约束的作用。
这是从ARP欺骗原理上进行的防范措施,也是最普遍应用的办法。
它应付最普通的ARP欺骗是有效的。
但双绑的缺陷在于3点:1、在终端上进行的静态绑定,很容易被升级的ARP攻击所捣毁,病毒的一个ARP –d命令,就能够使静态绑定完全失效。
2、在路由器上做IP-MAC表的绑定工作,费时费力,是一项繁琐的保护工作。
换个网卡或者更换IP,都需要重新配置路由。
关于流淌性电脑,这个需要随时进行的绑定工作,是网络保护的巨大负担,网管员几乎无法完成。
3、双绑只是让网络的两端电脑与路由不接收有关ARP信息,但是大量的ARP攻击数据还是能发出,还要在内网传输,大幅降低内网传输效率,依然会出现问题。
因此,尽管双绑曾经是ARP防范的基础措施,但由于防范能力有限,管理太烦恼,现在它的效果越来越有限了。
二、ARP个人防火墙在一些杀毒软件中加入了ARP个人防火墙的功能,它是通过在终端电脑上对网关进行绑定,保证不受网络中假网关的影响,从而保护自身数据不被窃取的措施。
ARP防火墙使用范围很广,有很多人以为有了防火墙,ARP攻击就不构成威胁了,事实上完全不是那么回事。
ARP个人防火墙也有很大缺陷:1、它不能保证绑定的网关一定是正确的。
假如一个网络中已经发生了ARP欺骗,有人在伪造网关,那么,ARP个人防火墙上来就会绑定这个错误的网关,这是具有极大风险的。
ARP攻击原理与防御措施ARP攻击指的是利用ARP协议的漏洞进行网络攻击的行为。
ARP(Address Resolution Protocol)是一种用于将IP地址解析为物理地址的协议,它常用于局域网中的设备通信。
由于ARP是一个无验证的协议,攻击者可以通过伪造ARP响应包,将正常的IP地址与错误的MAC地址进行绑定,从而导致网络通信的中断、劫持、篡改等问题。
ARP攻击的主要原理是攻击者发送伪造的ARP响应包,将自己的MAC地址绑定到目标的IP地址上,使得合法的网络流量被重定向到攻击者的机器上。
攻击者可以通过嗅探网络流量,窃取敏感信息,甚至修改通信内容。
为了防止ARP攻击,可以采取以下措施:1. 静态ARP表:在网络中建立一份静态的ARP表,将每个IP地址与其对应的MAC地址进行绑定。
这样,当收到ARP响应包时,可以与静态ARP表进行对比,如果发现不一致,则拒绝该ARP响应包。
2. 动态ARP检测:可以通过网络安全设备来监测并检测网络中的ARP流量。
当发现异常的ARP流量时,可以立即采取相应的防御措施,比如报警、封锁源IP等。
3. 网络隔离:将网络划分为不同的VLAN或子网,限制不同子网之间的通信。
这样可以减少ARP攻击的影响范围,使得攻击者无法对整个网络进行攻击。
4. ARP防火墙:使用ARP防火墙可以对网络中的ARP流量进行过滤和检测。
配置正确的ARP过滤规则,以阻止伪造的ARP响应包进入网络。
5. 安全策略:在网络中建立明确的安全策略,限制局域网中任意设备发送ARP响应包。
只允许授权的设备进行ARP响应,可以防止恶意ARP响应包的发送。
6. ARP缓存定期清理:定期清理网络设备的ARP缓存,以避免缓存中的ARP条目被攻击者篡改。
及时清理ARP缓存可以及时发现异常情况,并将其纳入防御范围。
ARP攻击是一种常见的网络攻击手段。
通过采取适当的防御措施,可以有效减少ARP攻击的风险,提高网络的安全性。
ARP攻击防范与解决方案一、背景介绍ARP(地址解析协议)是在局域网中解决IP地址和MAC地址之间映射关系的协议。
然而,ARP协议的设计缺陷导致了ARP攻击的出现。
ARP攻击是一种常见的网络安全威胁,攻击者通过发送伪造的ARP响应包来篡改网络中的ARP缓存表,从而实现中间人攻击、拒绝服务攻击等恶意行为。
为了保护网络安全,我们需要采取相应的防范与解决方案。
二、防范ARP攻击的措施1. 使用静态ARP表静态ARP表是一种手动配置的ARP表,将IP地址和MAC地址的映射关系固定在ARP表中,可以有效防止ARP缓存污染攻击。
管理员可以根据网络拓扑结构手动添加ARP表项,并定期检查和更新。
2. 使用ARP欺骗检测工具ARP欺骗检测工具可以实时监测网络中的ARP请求和响应,检测是否存在异常的ARP活动。
当检测到ARP欺骗行为时,可以及时发出警报并采取相应的防御措施。
3. 使用静态ARP绑定静态ARP绑定是将特定IP地址和MAC地址的映射关系绑定在ARP表中,使得ARP缓存表中的映射关系不易被篡改。
管理员可以手动配置静态ARP绑定,确保网络中重要主机的ARP映射关系的安全性。
4. 使用网络入侵检测系统(IDS)网络入侵检测系统可以实时监测网络流量,检测是否存在异常的ARP活动。
当检测到ARP攻击行为时,可以自动触发警报,并采取相应的防御措施,如断开与攻击者的连接。
5. 使用虚拟局域网(VLAN)虚拟局域网可以将网络划分为多个逻辑上的独立网络,不同的VLAN之间无法直接通信,从而有效隔离了网络流量,减少了ARP攻击的风险。
三、解决ARP攻击的方法1. 及时更新操作系统和网络设备的补丁厂商会定期发布针对操作系统和网络设备的安全补丁,这些补丁通常包含了对已知漏洞的修复。
及时安装这些补丁可以有效减少ARP攻击的风险。
2. 使用网络流量监测工具网络流量监测工具可以实时监测网络流量,检测是否存在异常的ARP活动。
当检测到ARP攻击行为时,可以及时发出警报并采取相应的解决措施。
arp攻击与防护措施及解决方案为有效防范ARP攻击,确保网络安全,特制定ARP攻击与防护措施及解决方案如下:1.安装杀毒软件安装杀毒软件是防范ARP攻击的第一步。
杀毒软件可以帮助检测和清除ARP病毒,保护网络免受ARP攻击。
在选择杀毒软件时,应确保其具有实时监控和防御ARP攻击的功能。
2.设置静态ARP设置静态ARP是一种有效的防护措施。
通过在计算机上手动设置静态ARP表,可以避免网络中的ARP欺骗。
在设置静态ARP时,需要将计算机的MAC地址与IP地址绑定,以便在接收到ARP请求时进行正确响应。
3.绑定MAC地址绑定MAC地址可以防止ARP攻击。
在路由器或交换机上,将特定设备的MAC地址与IP地址绑定,可以确保只有该设备能够通过ARP协议解析IP地址。
这种绑定可以提高网络安全性,避免未经授权的设备接入网络。
4.限制IP访问限制IP访问可以防止ARP攻击。
通过设置访问控制列表(ACL),可以限制特定IP地址的网络访问权限。
这样可以避免网络中的恶意节点发送ARP请求,确保网络通信的安全性。
5.使用安全协议使用安全协议可以进一步提高网络安全性。
例如,使用IEEE802.IX协议可以验证接入网络的设备身份,确保只有授权用户可以访问网络。
此外,还可以使用其他安全协议,如SSH或VPN等,以加密网络通信,防止A RP攻击。
6.配置网络设备配置网络设备是防范ARP攻击的重要环节。
在路由器、交换机等网络设备上,可以设置ARP防护功能,例如ARP欺骗防御、ARP安全映射等。
这些功能可以帮助识别并防御ARP攻击,保护网络免受ARP 病毒的侵害。
7.定期监控网络定期监控网络是确保网络安全的有效手段。
通过监控网络流量、异常IP连接等指标,可以及时发现ARP攻击的迹象。
一旦发现ARP 攻击,应立即采取措施清除病毒,修复漏洞,并重新配置网络设备以确保安全性。
8.制定应急预案制定应急预案有助于快速应对ARP攻击。
应急预案应包括以下几个方面:(1)确定应急响应小组:建立一个专门负责网络安全问题的小组,明确其职责和权限。
天天网吧ARP双向绑定IP解决掉线的办法一、采用客户机及网关服务器上进行静态ARP绑定的办法来解决:1.在所有的客户端机器上做网关服务器的ARP静态绑定。
首先在网关服务器(代理主机)的电脑上查看本机MAC地址C:\WINNT\system32>ipconfig /allDescription . . . : Intel(R) PRO/100B PCI Adapter (TX)Physical Address. . . . . . . . . : 00-03-47-97-35-EADhcp Enabled. . . . . . . . . . . : NoIP Address. . . . . . . . . . . . : 192.168.1.246Subnet Mask . . . . . . . . . . . : 255.255.0.0然后在客户机器的DOS命令下做网关ARP的静态绑定C:\WINNT\system32>arp -s 192.168.1.246 00-03-47-97-35-EA以上ARP的静态绑定最后做成一个ARP.BAT自启动文件将这个批处理软件拖到“windows--开始--程序--启动”中。
如果是网吧,可以利用收费软件服务端程序发送批处理文件arp.bat到所有客户机的启动目录。
Windows2000的默认启动目录为“C:Documents and SettingsAll Users「开始」菜单程序启动”。
@echo offarp -darp -s 192.168.1.246 00-03-47-97-35-EA2.在网关服务器上做客户机器的ARP静态绑定首先在所有的客户端机器上查看IP和MAC地址,命令如上。
然后在网关主机上做所有客户端服务器的ARP静态绑定。
如:C:\winnt\system32> arp –s 192.168.0.24 00-50-da-8a-62-2cC:\winnt\system32> arp –s 192.168.0.25 00-05-5d-ff-a8-87C:\winnt\system32> arp –s 192.168.0.X ………………………三、IP和MAC进行绑定后,更换网卡需要重新绑定,因此建议在客户机安装杀毒软件来解决此类问题。
ARP攻击的原理及防御方法!网络管理员必备技能ARPARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的网络层,负责将某个IP地址解析成对应的MAC 地址。
ARP攻击特点•ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行•ARP攻击的局限性•ARP攻击仅能在以太网(局域网如:机房、内网、公司网络等)进行•无法对外网(互联网、非本区域内的局域网)进行攻击攻击原理ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
攻击者向电脑A发送一个伪造的ARP响应,告诉电脑A:电脑B 的IP地址192.168.0.2对应的MAC地址是00-aa-00-62-c6-03,电脑A信以为真,将这个对应关系写入自己的ARP缓存表中,以后发送数据时,将本应该发往电脑B的数据发送给了攻击者。
同样的,攻击者向电脑B也发送一个伪造的ARP响应,告诉电脑B:电脑A的IP地址192.168.0.1对应的MAC地址是00-aa-00-62-c6-03,电脑B也会将数据发送给攻击者。
至此攻击者就控制了电脑A和电脑B之间的流量,他可以选择被动地监测流量,获取密码和其他涉密信息,也可以伪造数据,改变电脑A和电脑B之间的通信内容。
为了解决ARP攻击问题,可以在网络中的交换机上配置802.1x协议。
IEEE 802.1x是基于端口的访问控制协议,它对连接到交换机的用户进行认证和授权。
ARP绑定网关及批处理ARP绑定网关及批处理一.WINDOWS下绑定ARP绑定网关步骤一:在能正常上网时,进入MS-DOS窗口,输入命令:arp -a,查看网关的IP对应的正确MAC地址,并将其记录下来。
注意:如果已经不能上网,则先运行一次命令arp -d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话)。
一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp -a。
步骤二:步骤二:如果计算机已经有网关的正确MAC地址,在不能上网只需手工将网关IP和正确的MAC地址绑定,即可确保计算机不再被欺骗攻击。
要想手工绑定,可在MS-DOS窗口下运行以下命令:arp -s 网关IP 网关MAC例如:假设计算机所处网段的网关为192.168.1.1,本机地址为192.168.1.5,在计算机上运行arp -a后输出如下:Cocuments and Settings>arp -aInterface:192.168.1.5 --- 0x2Internet Address Physical Address Type192.168.1.1 00-01-02-03-04-05 dynamic其中,00-01-02-03-04-05就是网关192.168.1.1对应的MAC地址,类型是动态(dynamic)的,因此是可被改变的。
被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC。
如果希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找该攻击的机器做准备。
手工绑定的命令为:arp -s 192.168.1.1 00-01-02-03-04-05绑定完,可再用arp -a查看arp缓存:Cocuments and Settings>arp -aInterface: 192.168.1.5 --- 0x2Internet Address Physical Address Type192.168.1.1 00-01-02-03-04-05 static这时,类型变为静态(static),就不会再受攻击影响了。
通过自助双向绑定方案实现ARP攻击防御的研究
杨静
【期刊名称】《电脑知识与技术》
【年(卷),期】2010(006)035
【摘要】自2006年ARP攻击第一次出现以来,ARP攻击问题就没有彻底被解决过,ARP攻击的综合防御方案也一直是各类网络安全研究的热点.双向静态绑定是一个有效的ARP攻击的解决方案,但是现有的防御方案研究中没有一个行之有效的双向绑定工具.该文分析了现有ARP攻击的主要防御方案,提出了存在的主要问题,并在此基础上对通过开发程序实现自助双向绑定,来进行ARP攻击的防御进行了研究,给出了相应的程序核心代码.
【总页数】5页(P9994-9997,10020)
【作者】杨静
【作者单位】江苏联合职业技术学院,徐州财经分院,江苏,徐州,221008
【正文语种】中文
【中图分类】TP311
【相关文献】
1.PPPOE技术在校园网ARP攻击防御方案中的应用研究 [J], 王晓妮;韩建刚
2.ARP攻击的原理分析及防御方案 [J], 陈禹航
3.基于免疫网络的ARP攻击防御方案研究 [J], 王晓妮;韩建刚
4.浅谈校园网ARP攻击防御解决方案 [J], 刁绫
5.基于免疫网络的ARP攻击防御方案研究与实施 [J], 王晓妮;韩建刚
因版权原因,仅展示原文概要,查看原文内容请购买。
做ARP双向绑定网络病毒之所以能以惊人的速度传播,是因为它们都有极强的利用漏洞攻击网络上其他机器的能力,而局域网ARP漏洞攻击,则是目前暴发流行的各种网络病毒最常用的招数,包括目前正在大规模暴发的“机器狗”,也正是利用ARP漏洞在局域网中传染开去。
ARP(Address Resolution Protocol)又被称为地址转换协议,是用来实现IP 地址与本地网络认识的物理地址(以太网MAC 地址)之间的映射。
在以太网络中有一张表格,通常称为ARP 缓冲(ARP cache),来维持每个MAC 地址与其相应的IP 地址之间的对应关系。
ARP 提供一种形成该对应关系的规则以及提供双向地址转换。
ARP协议很像一个思想不坚定容易被骗的人,就像一个快递员,要送信给"张三",只在马路上问"张三住那儿?",并投递给最近和他说"我就是!"或"张三住那间!",来决定如何投递一样。
在一个人人诚实的地方,快递员的工作还是能正常进行;但若是旁人看快递物品值钱,想要欺骗取得的话,快递员这种工作方式就会带来混乱了。
常见ARP攻击对象有两种,一是网络网关,二是局域网上的计算机。
攻击网络网关就好比发送错误的地址信息给快递员,让快递员失去正确目标,所有信件无法正常送达;而攻击一般计算机就是直接和人谎称自己就是快递员,让用户把需要传送的物品传送给发动攻击的计算机。
由于一般的计算机及路由器的ARP协议的意志都不坚定,因此只要有恶意计算机在局域网持续发出错误的ARP讯息,就会让计算机及路由器信以为真,作出错误的传送网络包动作。
一般的ARP欺骗攻击就是以这样的方式,造成网络运作不正常,达到盗取用户密码或破坏网络运作的目的。
而要从根本上彻底解决这种欺骗攻击,唯一的办法就是对局域网中的每台机器包括网关在内进行ARP地址双向绑定。
首先说网关的绑定,这个比较简单,一般的网关路由器或者代理软件均有ARP绑定功能,以笔者使用的路由器为例,绑定的界面简单直观选择静态ARP绑定设置后出现表单在此填入需要绑定的IP地址和MAC地址,然后保存即可。
双绑是对付ARP攻击最好的办法,也是成本最低的办法,什么ARP防火墙都是白搭,因为防火墙只是防御本机,对路由器丝毫没有防御,而且防火墙阻断攻击环,本来攻击环不断你还可以从伪代理上网,攻击环断了反而上不去了通过ARP映射表来观察网络中计算机的MAC地址和IP地址的映射关系,并可选定欲控制的计算机条目进行配置。
arp绑定设置可以防止ARP攻击,因为ARP病毒可以伪IP为代理服务器(但MAC地址还是本机的),如果没有绑定的话,内部局域网的会不停的访问中了ARP病毒的电脑,自然你就上不了网了!如果绑定了之后,MAC地址和IP地址就一一对应了,防ARP攻击的目的就达到了!。
局域网中有这个提示是正常的,不用管他,防火墙已经拦截了。
有人用P2P工具控制你的网速呢,或者是局域网有机器中病毒了也会有这样的提示,不过不用担心的。
不过对方如果用幻境网盾的话就拦截不住了,如果有一天觉得上网特别慢或者老掉线可以用这个“防ARP欺骗利器加强版”来防御。
有问题给我发信息,有帮助就请采纳,谢谢!你这是校内网或者是局域网吧,可能是局域网中的某个人用P2P工具耍的一些小聪明,可以考虑将ip地址固定,不要设置自动获取ip,单纯用360卫士可以拦截,不必在意。
不知道对你有没有帮助你好ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
ARP攻击主要是存在于局域网网络中,局域网中若有一个人感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
不过我不得不说你还是不要做了因为你攻击了别人的网的话是违法的你会从中带给别人损失严重的话会犯罪建议还是不要攻击别人为好因为局域网一般都是公司的网。
ARP攻击原理与防御措施一、ARP攻击原理ARP(地址解析协议)攻击是一种网络攻击行为,攻击者通过ARP欺骗技术,篡改网络设备之间的通信过程,以达到窃取、篡改、丢弃数据等目的。
ARP协议是将IP地址映射为MAC地址的协议,攻击者通过ARP欺骗技术在网络中发送伪造的ARP响应报文,让网络中其他设备将数据发送到攻击者指定的IP地址上,从而实现对数据的窃取和篡改。
由于ARP协议是基于信任的协议,没有对ARP响应报文进行认证,因此攻击者很容易通过ARP欺骗技术进行攻击。
ARP攻击主要有以下几种形式:1. ARP欺骗攻击:攻击者发送伪造的ARP响应报文,将目标设备的IP地址映射到攻击者的MAC地址上,导致网络中其他设备把数据发送到攻击者的设备上。
2. ARP洪泛攻击:攻击者在网络中发送大量伪造的ARP请求和ARP响应报文,导致网络中其他设备处理大量无效的ARP信息,影响网络正常通信。
ARP攻击会对网络造成以下危害:1. 窃取信息:攻击者通过ARP攻击可以窃取网络中其他设备的通信数据,获取敏感信息。
2. 篡改信息:攻击者可以篡改网络中的通信数据,造成数据丢失、损坏等问题。
3. 拒绝服务攻击:ARP攻击也可以导致网络中的设备无法正常通信,影响网络正常运行。
三、ARP攻击防御措施为了有效防御网络中的ARP攻击,我们可以采取以下措施:1. 使用静态ARP绑定:在网络设备中设置静态ARP绑定表,将IP地址和MAC地址进行绑定,避免被篡改。
2. ARP检测工具:在网络中部署ARP检测工具,对网络中的ARP请求和ARP响应进行监测,发现异常情况及时进行处理。
3. 更新网络设备:及时更新网络设备的固件和软件,缓解网络设备对ARP攻击的容易受攻击性。
5. 避免信任环境:尽量避免在公共网络、未知Wi-Fi环境下接入网络,减少受到ARP 攻击的风险。
6. 配置网络设备安全策略:合理配置网络设备的安全策略,限制网络中的设备对ARP 协议的滥用。
ARP攻击的防范与解决方案目录1.故障现象 (1)2.故障原理 (1)3.在局域网内查找病毒主机方法 (2)3.1在PC上绑定路由器的IP和MAC地址 (3)3.2在路由器上绑定用户主机的IP和MAC地址 (3)3.3关闭并重启端口检测功能 (4)“Trojan.PSW.LMir.qh”传奇杀手木马病毒,俗称“ARP欺骗攻击”,其主要通过伪造IP 地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle”进行ARP重定向和嗅探攻击。
1. 故障现象间断性断网,网速变慢,本机IP地址和MAC地址发生变化。
当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。
其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。
切换到病毒主机上网后,如果用户已经登陆了服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录服务器,这样病毒主机就可以盗号了。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。
当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。
2. 故障原理要了解故障原理,我们先来了解一下ARP协议。
在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。
ARP 协议对网络安全具有重要的意义。
通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。
在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。
在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。
关于ARP防御之双绑批处理集合@echo off:::读取本机Mac地址if exist ipconfig.txt del ipconfig.txtipconfig /all >ipconfig.txtif exist phyaddr.txt del phyaddr.txtfind "Physical Address" ipconfig.txt >phyaddr.txtfor /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M :::::::::读取本机ip地址if exist IPAddr.txt del IPaddr.txtfind "IP Address" ipconfig.txt >IPAddr.txtfor /f "skip=2 tokens=15" %%I in (IPAddr.txt) do set IP=%%I :::::::::绑定本机IP地址和MAC地址arp -s %IP% %Mac%:::::::::读取网关地址if exist GateIP.txt del GateIP.txtfind "Default Gateway" ipconfig.txt >GateIP.txtfor /f "skip=2 tokens=13" %%G in (GateIP.txt) do set GateIP=%%G ping %GateIP% -n 1:::::::::读取网关Mac地址if exist GateMac.txt del GateMac.txtarp -a %GateIP% >GateMac.txtfor /f "skip=3 tokens=2" %%H in (GateMac.txt) do set GateMac=%%H :::::::::绑定网关Mac和IParp -s %GateIP% %GateMac%:::::::::删除临时文件del GateIP.txtdel GateMac.txtdel IPAddr.txtdel ipconfig.txtdel phyaddr.txtexit批处理有缺陷,有时不能实现真正意义的双绑!以下是引用片段:@echo off::读取本机Mac地址if exist ipconfig.txt del ipconfig.txtipconfig /all >ipconfig.txtif exist phyaddr.txt del phyaddr.txtfind "Physical Address" ipconfig.txt >phyaddr.txtfor /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M ::读取本机ip地址if exist IPAddr.txt del IPaddr.txtfind "IP Address" ipconfig.txt >IPAddr.txtfor /f "skip=2 tokens=15" %%I in (IPAddr.txt) do set IP=%%I::绑定本机IP地址和MAC地址arp -s %IP% %Mac%::读取网关地址if exist GateIP.txt del GateIP.txtfind "Default Gateway" ipconfig.txt >GateIP.txtfor /f "skip=2 tokens=13" %%G in (GateIP.txt) do set GateIP=%%G::读取网关Mac地址if exist GateMac.txt del GateMac.txtarp -a %GateIP% >GateMac.txtfor /f "skip=3 tokens=2" %%H in (GateMac.txt) do set GateMac=%%H::绑定网关Mac和IParp -s %GateIP% %GateMac%arp -s 网关IP 网关MACexit这个批处理要查询本机的ARP 缓存表,看里面是不是有网关的IP和MAC,有则能成功绑定,但是没有的话就绑不定了!!!不过可以改进一下,达到双绑的目的,比如加上arp -s 网关IP 网关MAC一行就可以了。
二、这个也不能实现真正意义的双绑,只能绑定本机IP和MAC(多谢中国DOS联盟lxmxn提供)以下是引用片段:@echo offfor /f "delims=: tokens=2" %%a in (’ipconfig /all^|find "Physical Address"’) do set local_mac=% %afor /f "delims=: tokens=2" %%a in (’ipconfig /all^|find "IP Address"’) do set local_ip=%%afor /f "delims=: tokens=2" %%a in (’ipconfig /all^|find "Default Gateway"’) do set gate_ip=%%a fo* /* %%* in (’getmac /nh /s %local_ip%’) do set gate_mac=%%aarp -s %local_ip% %local_mac%arp -s %gate_ip% %gate_mac% (这个地方有问题,改进中……)经测试,此批处理不能绑定网关IP和MAC,只能绑定本机IP和MAC三、这个还不是很清楚,我要测试才行的,目前所知也能绑定本机IP和MAC(多谢中国DOS联盟everest79提供)以下是引用片段:@ECHO OFFSETLOCAL ENABLEDELAYEDEXPANSIONfor /f "tokens=2 delims=[]=" %%i in (’nbtstat -a %COMPUTERNAME%’) do call set local=!loca l!%%ifor /f "tokens=3" %%i in (’netstat -r^|find " 0.0.0.0"’) do set gm=%%ifor /f "tokens=1,2" %%i in (’arp -a %gm%^|find /i /v "inter"’) do set gate=%%i %%jarp -s %gate%arp -s %local%arp -s 网关IP 网关MAC这个批处理可以绑定网关IP和MAC,但是还是有缺陷,要依赖于本机上存在的ARP缓存!改进方法为在最后加一个arp -s 网关IP和MAC!四、这个是一个兄弟的博客上找到的,原理和第一个一样,只是改进了一点点!这个P通过ping网关三次得到了网关的MAC其实以上的批都可以通过这个来搞定网关的IP和MAC,但是如果开机的时候正在发生ARP欺骗的话这样你绑的IP和MAC就是错的,不能上网了。
不过这种情况很少,发过来试一下先吧!以下是引用片段:@echo off:::::::::::::清除所有的ARP缓存arp -d:::::::::::::读取本地连接配置ipconfig /all>ipconfig.txt:::::::::::::读取内网网关的IPfor /f "tokens=13" %%I in (’find "Default Gateway" ipconfig.txt’) do set GatewayIP=%%I:::::::::::::PING三次内网网关ping %GatewayIP% -n 3:::::::::::::读取与网关arp缓存arp -a|find "%GatewayIP%">arp.txt:::::::::::::读取网关MAC并绑定for /f "tokens=1,2" %%I in (’find "%GatewayIP%" arp.txt’) do if %%I==%GatewayIP% arp -s % %I %%J:::::::::::::读取本机的 IP+MACfor /f "tokens=15" %%i in (’find "IP Address" ipconfig.txt’) do set ip=%%ifor /f "tokens=12" %%i in (’find "Physical Address" ipconfig.txt’) do set mac=%%i:::::::::::::绑定本机的 IP+MACarp -s %ip% %mac%:::::::::::::删除所有的临时文件del ipconfig.txtdel arp.txtexit以上P可以配合路由上对客户机的IP和MAC进行绑定实现完全防ARP,只是单绑下面机和网关IP及MAC没有多大用处,关于路由上面的,因为大家用的路由不一样,所以这个就不写了!一个批处理搞定所有客户机arp绑定客户机互绑今天凌晨又中arp了内网超卡偶尔部分机器瞬断注:本网吧有双绑可能又是arp新变种吧打开cmd- arp -a 一看多了一个动态arp 192.168.1.161这个机器只是一台普通客户机而已马上赶过去打开他的任务管理器一看多了一个进程约64M(什么名字没记) 重启机器OK内网马上正常临时解决办法因本网吧客户机有启动批处理添加:if %~n0==arp exitif %~n0==Arp exitif %~n0==ARP exit:IPFOR /f "skip=13 tokens=15 usebackq " %%i in (`ipconfig /all`) do Set IP=%%i && GOTO MAC:MACFOR /f "skip=13 tokens=12 usebackq " %%i in (`ipconfig /all`) do Set MAC=%%i && GOTO GateIP:GateIParp -s %IP% %MAC%rem \\sever\log$ \\server 就是你的服务器名 \log$这个服务器目录要有写权限这是把服务器上的ip-mac文件拷到本机copy \\server\log$\ip-mac.bat c:\find /c /i "%ip% %mac%" c:\ip-mac.batif errorlevel 8 goto exitif errorlevel 7 goto exitif errorlevel 6 goto exitif errorlevel 5 goto exitif errorlevel 4 goto exitif errorlevel 3 goto exitif errorlevel 2 goto exitif errorlevel 1 goto Writeif errorlevel 0 goto exit:Writeecho 正在写入ip-mac表echo arp -s %IP% %MAC% >>\\server\log$\ip-mac.bat 2>nulc:\ip-mac.batexit:exit@echo ip-mac表正确将退出系统c:\ip-mac.batexit雕虫小技在此献丑了原理很简单每台机器先绑定自身静态ip 再把本机的ip 传到服务器的共享目录批处理文件中然后所有机器启动时再运行这个批处理这样所有内网客户机ip和mac都会自动绑定写得仓促有问题的地方欢迎网盟兄弟们共同探讨。
