自制批处理文件 抵御ARP攻击

实验I ARP攻击的攻、判、防ARP攻击不是病毒——几乎所有的杀毒软件对之都无可奈何；但却胜似病毒——因它轻可造成通信变慢、网络瘫痪，重会造成信息的泄密。

多年来，ARP攻击一直存在，却没有一个好的解决办法。

很多网络用户深受其害，网管人员更是无从下手、苦不堪言。

本实验从分析ARP协议和欺骗原理入手，告诉读者如何实施ARP攻击，如何判断正在遭受ARP 攻击，如何防范和解决ARP攻击。

1. ARP协议及欺骗原理（1）以太网的工作原理。

以太网中，数据包被发送出去之前，首先要进行拆分（把大的包进行分组）、封装（在Network层添加源IP地址和目标的IP地址，在Data Link层添加源MAC地址和下一跳的MAC地址），变成二进制的比特流，整个过程如图I-1所示。

数据包到达目标后再执行与发送方相反的过程，把二进制的比特流转变成帧，解封装（Data Link层首先比较目标的MAC是否与本机网卡的MAC相同或者是广播MAC，如相同则去除帧头，再把数据包传给Network层，否则丢弃；Network层比较目的地IP地址是否与本机相同，相同则继续处理，否则丢弃）。

如果发送方和接收方位于同一个网络内，则下一跳的MAC就是目标的MAC，如发送方和接收方不在同一个网络内，则下一跳的MAC就是网关的MAC。

从这个过程不难发现，以太网中数据的传速仅知道目标的IP地址是不够的，还需要知道下一跳的MAC地址，这需要借助于另外一下协议，ARP（地址解析协议）。

图I-1 数据的封装和解封装（2）ARP的工作原理。

计算机发送封装数据之前，对比目标IP地址，判断源和目标在不在同一个网段，如在同一网段，则封装目标的MAC；如不在同一网段，则封装网关的MAC。

封装之前，查看本机的ARP缓存，看有没有下一跳对应的IP和MAC映射条目，如有，则直接封装；如没有，则发送ARP查询包。

ARP查询和应答包的格式如图I-2所示，查询包中：“以太网目的地址”为0xffffffffffff广播地址，“以太网源地址”为本机网卡的MAC地址，“帧类型”为0x0806表示ARP应答或请求，“硬件类型”为0x0001表示以太网地址，“协议类型”为0x0800表示IP地址，“OP”为ARP的请求或应答，ARP请求包的OP值为1，ARP应答包的OP值为2，“发送端以太网地址”为发送者的MAC地址，“发送端IP”为发送者的IP地址，“目的以太网地址”这里为0x000000000000，“目的IP”为查询MAC地址的IP。

arp攻击（网络剪刀手.网络执行法管）的解决方法.因为网络剪刀手等工具的原理就是利用了ARP欺骗，所以，只要防止了ARP欺骗也等于防止了网络剪刀手。

解决办法：应该把你的网络安全信任关系建立在IP+MAC地址基础上，设置静态的MAC-地址->IP对应表，不要让主机刷新你设定好的转换表。

先在网上找一些MAC地址查找器，然后用编辑软件编辑一下编写成下面的批处理文件，@echo offarp -darp -s 192.168.5.10 00:0A:EB:C1:9B:89arp -s 192.168.5.11 00:05:5D:09:41:09arp -s 192.168.5.12 52:54:AB:4F:24:9Darp -s 192.168.5.34 00:E0:4C:82:06:60arp -s 192.168.5.35 00:E0:4C:62:F4:7Carp -s 192.168.5.36 02:E0:4C:A0:F6:A2。

arp -s 192.168.5.201 00:10:5C:B9:AD:99arp -s 192.168.5.215 00:0A:EB:10E:74arp -s 192.168.5.220 00:E0:4C:5B:CF:49arp -s 192.168.5.221 00:118:AE:8F:C5arp -s 192.168.5.223 00:11:2F:E4:32:EB（将文件中的IP地址和MAC地址更改为您自己的网络IP地址和MAC地址即可。

）保存下来，如果有人更新了你的arp，你就运行一下你的批处理文件就行了，，防范网络剪刀手等工具的办法！因为网络剪刀手等工具的原理就是利用了ARP欺骗，所以，只要防止了ARP欺骗也等于防止了网络剪刀手。

解决办法(一)：应该把你的网络安全信任关系建立在IP+MAC地址基础上，设置静态的MAC-地址->IP对应表，不要让主机刷新你设定好的转换表。

防止arp欺骗木马病毒小案例一．Arp病毒简介近期，一种新的“ARP欺骗”木马病毒（比如：传奇盗号的软件，某些传奇外挂中也被恶意加载了此程序）在互联网上扩散，不少客户局域网中都已发现机器感染此病毒，表现为用户频繁断网、线路严重丢包，IE浏览器频繁出错以及一些常用软件出现故障等问题。

Arp欺骗原理要谈ARP欺骗，首先要说一下arp的运行机制，通常主机发送一个ip包之前，它要到自己的ARP缓存表中寻找是否有目标主机的IP地址，如果找到了，也就知道了目标主机的MAC地址，然后直接发送；如果没有找到，该主机就发送一个ARP广播包目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“xxx.xxx.xxx.xx1的MAC地址是什么？”ip为xxx.xxx.xxx.xx1的主机响应这个广播，应答ARP广播为：“我是xxx.xxx.xxx.xx1,我的mac为xxxxxxxxxx2"这样，主机A就知道了主机B的MAC地址，可以通信了。

同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，可以直接在ARP缓存表里查找。

ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。

当我们设定一个目标进行ARP欺骗时，也就是设置一主机C捕获主机A发送给主机B 的通信数据包，如果C能够接收到A发送的数据包，那么第一步嗅探成功了。

但是主机A 并没有意识到主机B没有接受到主机A发送的数据包。

假如主机C进行ICMP重定向，那么他可以直接进行整个包的修改，捕获到主机A发送给主机B的数据包，全部进行修改后再转发给主机B，而主机B接收到的数据包完全认为是从主机A发送来的。

这样主机C就完成了ARP欺骗。

中毒现象当某台主机中了这类ARP欺骗的病毒/木马程序后，会不定期发送仿冒的ARP响应数据报文。

这种报文会欺骗所在网段的主机和交换机，让其他用户上网的流量必须经过病毒主机。

用简单CMD命令防御ARP攻击和DNS欺骗
点开始——运行—输入CMD确定。

好了，我们现在来看下我们的arp列表。

输入arp -a
看到我的列表，里边就一条纪录，就是我的网关的IP地址和MAC 地址
在被攻击的时候，攻击主机会发送一个ARP包，里边有真实的IP 地址和伪造的MAC地址。

如果伪造的是网关的MAC地址后果就是我们这个网内所有的机器都上不了网
做法就是我们手动绑定一个正确的MAC地址
做法，在网络正常的情况下输入arp -d清空ARP列表
我们PING下网关（注意：每个局域网的网关可能都不一样。

默认是192.168.1.1也有192.168.0.1等等）
ping通后再看下ARP表，又出来了。

这个就是真实的MAC地址。

好，现在绑定
arp -s 192.168.0.1 00-1d-0f-6f-7b-2a
但这样我们电脑在关机后就没了。

所以我们现在做个批处理并让电脑开机自动运行
新建立一个文本文件写入
arp -d
arp -s 192.168.0.1 00-1d-0f-6f-7b-2a 保存
点开始——设置——控制面板——文件夹选项，选择查看
把隐藏已知文件类型的扩展名的钩去掉
然后把刚才保存的文本文件改名叫arp.bat
然后确定
打开我的电脑——C——Documents and Settings——Administrator——开始」菜单——程序——启动。

把arp.bat复制到这里边就可以了。

C:\Documents and Settings\Administrator\「开始」菜单\程序\启动。

轻轻松松对付ARP网络攻击图解教程最近很多用户反映，上网总是掉线。

显示IP冲突，出现有MAC地些在攻击。

据我们监测发现是有些用户在使用某些软件造成的。

比如：网络执法官等。

为了解决这一问题，请广大用户使用下列方法，避免再次受到攻击。

具体方法如下：1. 打开电脑的启动项目录。

具体操作是点击“开始”→“程序”→“启动”右键单击选择“打开所有用户”。

如图：1.将出现以下目录。

右键单击选择“新建”→“文本文档”。

如图：1. 然后会出现一个新建文本文档，打开它。

在其中输入如下内容：arp –darp –darp –darp –s 192.168.1.1 00-e0-eb-81-81-85arp –s 192.168.1.100 00-0a-45-1c-c7-8e(注：以上的红色部分为本机的网关IP与MAC的对映关系，兰色部分本机IP与MAC的对映关系。

具体的值各用户会有不同。

请不要照以上完全抄写!如何查看本的IP与MAC以及网关的IP与MAC以下将做介绍。

)如何查看本的IP与MAC以及网关的IP与MAC点击“开始”→“运行”。

在打开中输入cmda. 点击确定后将出现下图所示。

然后在其中输入ipconfig/all 如图：c. 然后继续输入arp –a 可以查看网关的MAC地址。

如图：4. 编写完以后，点击“文件”→“另存为”。

注意文件名一定要是*.bat 如arp.bat 保存类型注意要选择所有类型。

点击保存就可以了。

最后删除之前创建的“新建文本文档”就可以。

5.最后重新启动一下电脑就可以。

局域网受到ARP欺骗攻击时的解决方法介绍【故障现象】当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和安全网关，让所有上网的流量必须经过病毒主机。

其他用户原来直接通过安全网关上网现在转由通过病毒主机上网，切换的时候用户会断一次线。

切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。

由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。

当ARP欺骗的木马程序停止运行时，用户会恢复从安全网关上网，切换过程中用户会再断一次线。

【快速查找】在WebUIà系统状态à系统信息à系统历史记录中，看到大量如下的信息:MAC SPOOF 192.168.16.200MAC Old 00:01:6c:36:d1:7fMAC New 00:05:5d:60:c7:18这个消息代表了用户的MAC地址发生了变化，在ARP欺骗木马开始运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址)。

同时在安全网关的WebUIà高级配置à用户管理à读ARP表中看到所有用户的MAC地址信息都一样，或者在WebUIà系统状态à用户统计中看到所有用户的MAC地址信息都一样。

如果是在WebUIà系统状态à系统信息à系统历史记录中看到大量MAC Old 地址都一致，则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时，主机在安全网关上恢复其真实的MAC地址)。

在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址，那么我们就可以使用NBTSCAN(下载地址:/upload/nbtscan.rar)工具来快速查找它。

arp攻击(arp攻击解决办法)如果你发现经常网络掉线，或者发现自己的网站所有页面都被挂马，但到服务器上，查看页面源代码，却找不到挂马代码，就要考虑到是否自己机器或者同一IP段中其他机器是否中了ARP病毒。

除了装ARP防火墙以外，还可以通过绑定网关的IP和MAC来预防一下。

如果你发现经常网络掉线，或者发现自己的网站所有页面都被挂马，但到服务器上，查看页面源代码，却找不到挂马代码，就要考虑到是否自己机器或者同一IP段中其他机器是否中了ARP病毒。

除了装ARP防火墙以外，还可以通过绑定网关的IP和MAC来预防一下。

这个方法在局域网中比较适用：你所在的局域网里面有一台机器中了ARP病毒，它伪装成网关，你上网就会通过那台中毒的机器，然后它过一会儿掉一次线来骗取别的机器的帐户密码什么的东西。

下面是手动处理方法的简要说明：如何检查和处理“ ARP 欺骗”木马的方法1．检查本机的“ ARP 欺骗”木马染毒进程同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键，选择“任务管理器”，点选“进程”标签。

察看其中是否有一个名为“ MIR0.dat ”的进程。

如果有，则说明已经中毒。

右键点击此进程后选择“结束进程”。

2．检查网内感染“ ARP 欺骗”木马染毒的计算机在“开始” - “程序” - “附件”菜单下调出“命令提示符”。

输入并执行以下命令：ipconfig记录网关IP 地址，即“Default Gateway ”对应的值，例如“ 59.66.36.1 ”。

再输入并执行以下命令：arp –a在“ Internet Address ”下找到上步记录的网关IP 地址，记录其对应的物理地址，即“ Physical Address ”值，例如“ 00-01-e8-1f-35-54 ”。

在网络正常时这就是网关的正确物理地址，在网络受“ ARP 欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。

本文部分内容来自网络整理，本司不为其真实性负责，如有异议或侵权请及时联系，本司将立即删除！== 本文为word格式，下载后可方便编辑和修改！ ==怎么处理ARP的攻击技巧导语：一起来学习一下如何处理ARP的攻击技巧。

以下是小编精心整理的有关电脑技巧的知识，希望对大家有所帮助。

从原理和应用谈解决ARP攻击的方法：很多网吧和企业网络不稳，无故掉线，经济蒙受了很大的损失。

根据情况可以看出这是一种存在于网络中的一种普遍问题。

出现此类问题的主要原因就是遭受了ARP攻击。

现在ARP不只是协议的简写，还成了掉线的代名词。

由于其变种版本之多，传播速度之快，很多技术人员和企业对其束手无策。

下面就来给大家从原理到应用谈一谈这方面的话题。

希望能够帮大家解决此类问题，净化网络环境。

在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址，实现局域网机器的通信。

ARP协议对网络安全具有重要的意义。

这是建立在相互信任的基础上。

如果通过伪造IP地址和MAC地址实现ARP欺骗，将在网络中产生大量的ARP通信量使网络阻塞、掉线、重定向、嗅探攻击。

我们知道每个主机都用一个ARP高速缓存，存放最近IP地址到MAC硬件地址之间的映射记录。

windows高速缓存中的每一条记录的生存时间一般为60秒，起始时间从被创建时开始算起。

默认情况下，ARP从缓存中读取IP-MAC条目，缓存中的IP-MAC条目是根据ARP响应包动态变化的。

因此，只要网络上有ARP响应包发送到本机，即会更新ARP高速缓存中的IP-MAC条目。

如：X向Y发送一个自己伪造的ARP应答，而这个应答中的数据发送方IP地址是192.168.1.3(Z的IP地址)，MAC地址是DD-DD-DD-DD-DD-DD(Z的真实MAC地址却是CC-CC-CC-CC-CC-CC，这里被伪造了)。

当Y接收到X伪造的ARP应答，就会更新本地的ARP缓存(Y可不知道被伪造了)。

那么如果伪造成网关呢?Switch上同样维护着一个动态的MAC缓存，它一般是这样，首先，交换机内部有一个对应的列表，交换机的端口对应MAC地址表Port n <-> Mac记录着每一个端口下面存在那些MAC地址，这个表开始是空的，交换机从来往数据帧中学习。

网络ARP病毒——DIY攻克宝典一、ARP病毒问题及攻克1、中毒现象计算机以前可正常上网的，突然出现不能上网的现象（无法ping通网关），或者上网的时候时断时通，重启机器或在MSDOS窗口下运行命令ARP -d后，又可恢复上网一段时间。

2、中毒原因这是APR病毒欺骗攻击造成的。

引起问题的原因一般是由传奇外挂携带的ARP木马攻击。

当有同学在宿舍局域网内使用上述外挂时，外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上，向局域网内大量发送ARP包，从而致使同一网段地址内的其它机器误将其作为网关，这就是为什么掉线时内网是互通的，计算机却不能上网的原因。

3、检查自己是否中毒检查本机的“ARP 欺骗”木马染毒进程同时按住键盘上的“CTRL ”和“ALT ”键再按“DEL ”键，选择“任务管理器”，点选“进程”标签。

察看其中是否有一个名为“MIR0.dat ”的进程。

如果有，则说明已经中毒。

右键点击此进程后选择“结束进程”。

并且查杀该病毒。

4、网络解毒剂DIY方法一：下载风云防火墙个人版V1.23软件并运行（下载网址：http://10.1.0.211/student/down.html），同时把此软件ARP功能启用。

方法二：步骤一、在能上网时（如果已经不能上网，则先运行一次命令arp -d将arp缓存中的内容删空），进入MS-DOS，输入命令：arp -a ，查看网关IP对应的正确MAC地址，将其记录下来。

步骤二：如已经有正确的网关MAC地址，手工绑定可在MS-DOS窗口下运行以下命令：Arp -s 网关IP 网关MAC但是，需要说明的是，手工绑定在计算机关机重开机后就会失效，需要再次绑定。

二、解毒DIY的“外援”对于感染病毒的计算机，如果严重的影响到网络通讯质量，造成恶劣影响的，学院网管中心有责任责令其杀毒，并对其采取断网的处理措施，直到其对网络无影响为止。

更重要的宜宾学院网管中心是，通过此次宣传，希望各位老师、同学能增强使用网络的安全意识，能主动安装查杀病毒软件和防火墙软件来保证本机的安全，同时这也是对保证大家共有网络的正常使用作出了贡献。