BAT批处理解决ARP攻击
2013-02-22 14:35 CCNA2212 红黑联盟我要评论(0)字号:T | T
现在局域网中感染ARP病毒的情况比较多,清理和防范都比较困难,给不少的网络管理员造成了很多的困扰。下面就是个人在处理这个问题的一些经验,同时也在网上翻阅了不少的参考资料。
AD:2013大数据全球技术峰会低价抢票中
现在局域网中感染ARP病毒的情况比较多,清理和防范都比较困难,给不少的网络管理员造成了很多的困扰。下面就是个人在处理这个问题的一些经验,同时也在网上翻阅了不少的参考资料。
ARP病毒的症状
有时候无法正常上网,有时候有好了,包括访问网上邻居也是如此,拷贝文件无法完成,出现错误;局域网内的ARP包爆增,使用ARP查询的时候会发现不正常的MAC地址,或者是错误的MAC地址对应,还有就是一个MAC地址对应多个IP的情况也会有出现。
ARP攻击的原理
ARP欺骗攻击的包一般有以下两个特点,满足之一可视为攻击包报警:第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配。或者,ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内,或者与自己网络MAC数据库MAC/IP不匹配。这些统统第一时间报警,查这些数据包(以太网数据包)的源地址(也有可能伪造),就大致知道那台机器在发起攻击了。现在有网络管理工具比如网络执法官、P2P 终结者也会使用同样的方式来伪装成网关,欺骗客户端对网关的访问,也就是会获取发到网关的流量,从而实现网络流量管理和网络监控等功能,同时也会对网络管理带来潜在的危害,就是可以很容易的获取用户的密码等相关信息。
处理的办法:
写个脚本提供大家参考,解决局域网内部的APR攻击
c:
cd\
if exist ipconfig.txt del ipconfig.txt
ipconfig /all >c:\ipconfig.txt //获取本地MAC地址
if exist GateMac.txt del GateMac.txt
arp -a %GateIP% >c:\GateMac.txt
for /f "skip=3 tokens=2"%%H in(GateMac.txt)do set GateMac=%%H //获取出口路由(即网关)的MAc 地址
if exist GateIP.txt del GateIP.txt
find "Default Gateway" ipconfig.txt >c:\GateIP.txt
for /f "skip=2 tokens=13"%%G in (GateIP.txt) do set GateIP=%%G
echo set Ws= Wscript.Createobject("Wscript.Shell") >c:\banding.vbs
echo count =0>>banding.vbs
echo for each ps in getobject("winmgmts:\\.\root\cimv2:win32_process").instances_>>banding.vbs
间隔6秒重新将网关的IP地址与MAC地址进行绑定
echo if https://www.doczj.com/doc/e18829655.html,="wscript.exe" then count=count+1>>banding.vbs
echo if count >2 then wscript.quit>>banding.vbs
echo i=1 >>banding.vbs
echo for i= 1 to 5>>banding.vbs
echo i=i-1>>banding.vbs
echo Wscript.sleep(1000*60*0.1)每6秒钟绑定一次 >>banding.vbs
echo ws.run "arp-d",0>>banding.vbs
echo ws.run "arp -s %GateIP% %GateMac%",0>>banding.vbs
echo next >>banding.vbs
清除ARP缓存,重新将本机的Ip地址与MAC地址进行绑定
c:
cd \
start banding.vbs
del /f /q GateMac.txt
del /f /q ipconfig.txt
del /f /q GateIP.txt
copy banding.vbs c:\ windows\system32
echo Windows Registry Editor Version 5.00 >c:\arp.reg
echo.>>arp.reg
echo [HKEY_LOC AL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]>>arp.reg echo "arptom"="c:\\windows\\system32\\banding.vbs">>arp.reg
regedit -is arp.reg
del /f /q arp.reg
del /f /q banding.vbs
exit
把这些代码复制放入记事本,后缀名保存为.bat
适合各种环境。
内容:批处理应用的几个例子 作者:e哥(eaggle_wei) 时间:2011.3.6-2011.6.22 1.刷BIOS 我们在做测试工作时,经常要刷BIOS,而且BIOS时常更新,为了方便我们通常会把同一个机种的BIOS放在U盘中那个机种的文件名下,例如我做的P4LJ0的案子,里面BIOS 的版本从P4LJ0001一直更新到P4LJ0017,也就是文件名P4LJ0里面有17个关于BIOS的子文件,那么我们在刷BIOS时(比如我们刷P4LJ0001的bios)在dos下就会输入:C:\>cd P4LJ0 C:\P4LJ0>cd P4LJ0001 C:\ P4LJ0\P4LJ0001>bios.bat 这样一步一步来很麻烦,尤其是要刷新几十台机器的时候,所以我们就想到写个批处理放到根目录下,这样就不会每次按键按得手疼了。 例: cd P4LJ0 cd P4LJ0001 bios.bat 我们把以上内容放到一个简单字母或者数字命名的批处理中,保存下来存到U盘根目录下,例如保存到1.bat中。这样刷新时直接在提示符C:\>下输入1,然后回车就OK了,是不是很省事?当然有没有全自动化的,就是只需要插U盘,然后设置从U盘启动就OK了的?当然有了,比如我们把这个批处理命名为autoexec.bat就可以实现了,因为批处理默认这个批处理文件自动执行,但本人不建议这样做,即使你这样做了在工作结束后一定要记得把它删掉,否则可能图一时方便为以后制造不必要的麻烦。比如你把U盘插到另一个不共用的BIOS的机种上启动,这时刷完BIOS你就悲剧了,开不了机。 当然像我这种菜鸟,在刚开始看批处理的时候,连如何生成.bat文件都不懂,还以为是个高科技的东西,每次都是把一个现成的批处理文档换个位置重命名后,把要修改的内容从UltraEdit编辑器里面拷贝进去。后来找到一种新方法,先保存到一个txt文档中,然后重命名时强制修改后缀,如把1.txt重命名为1.bat后回车,当然电脑会提示你“如果更改扩展名,可能会导致文件不可用,确实要更改吗?不理会它,点是就可以了。不过使用这种方法时要注意不能把文件设为隐藏文件名,否则你找不到扩展名。至于怎么修改,哥好人做到底,知道的就跳过。打开我的电脑/计算机→在最上面的标题栏点“工具”→文件夹选项→查看→勾选“隐藏已知文件类型的扩展名”。 2.打开工作时要用到一天的东西 批处理在windows操作系统出现以后,很少有人问津了,像我们干BIOS的能够有幸知道一些,已经成为批处理的有生力量了,但一个编程高手如果不懂批处理,顶多只能算有点小成绩,像我等菜鸟懂一点批处理,毕竟还是有好处的,凡是病毒大多都包含有批处理,因为它太强大了,只要你轻轻双击一下鼠标,其他的工作就不用你做了,所以其实有时候不是病毒厉害,是你不懂病毒而打开了它,当然现在很多病毒是繁殖能力极强的,只要你插了U盘,就会被感染,这样子你就会防不胜防,所以瑞星,金山毒霸等这些杀毒软件还是需要的。不过要知道,杀毒软件永远滞后于病毒,所以你懂点批处理的小常识,就可以尽量避免打开某些恶意软件,增强你的防范能力。陈冠希的艳照门据说就是不懂照相机有备份恢复删除的知识而传出来的,所以建议大家没事多学点东西。 言归正传,比如我们要打开工作时常用的OUTLOOK,lingoes,Skype等东西,每次双击再打开,这样其实也不麻烦,但有没有办法一次性把他们都打开呢?答案是肯定的,那
十分经典的批处理教程 这是一篇技术教程,真心诚意会用很简单的文字表达清楚自己的意思,只要你识字就能看懂,就能学到知识。写这篇教程的目的,是让每一个看过这些文字的朋友记住一句话:如果爱可以让事情变的更简单,那么就让它简单吧!看这篇教程的方法,就是慢!慢慢的,如同品一个女人、一杯茗茶,你会发现很多以前就在眼前的东西突然变的很遥远,而有些很遥远的东西却又突然回到了眼前。. 先概述一下批处理是个什么东东。批处理的定义,至今我也没能给出一个合适的----众多高手们也都没给出----反正我不知道----看了我也不一定信服----我是个菜鸟,当然就更不用说了;但我想总结出一个"比较合适的",而且我也相信自己可以把它解释的很清楚,让更多的菜鸟都知道这是个什么东东,你用这个东东可以干什么事情。或许你会因为这篇文章而"无条件爱上批处理",那么我的目的就达到了----我就是要让你爱上它,我就这么拽,你能怎么着??真的,爱有时候就这么拽,就是这么没理由,就是这么不要脸!真的! 按照我的理解,批处理的本质,是一堆DOS命令按一定顺序排列而形成的集合。 OK,never claver and get to business(闲话少说言归正传)。批处理,也称为批处理脚本,英文译为BA TCH,批处理文件后缀BA T就取的前三个字母。它的构成没有固定格式,只要遵守以下这条就ok了:每一行可视为一个命令,每个命令里可以含多条子命令,从第一行开始执行,直到最后一行结束,它运行的平台是DOS。批处理有一个很鲜明的特点:使用方便、灵活,功能强大,自动化程度高。我不想让自己写的教程枯燥无味,因为牵缠到代码(批处理的内容算是代码吧?)的问题本来就是枯燥的,很少有人能面对满屏幕的代码而静下心来。所以我会用很多简单实用的例子让读这篇教程的朋友去体会批处理的那四射的魅力,感受它那古灵精怪的性格,不知不觉中爱上批处理(晕,怎么又是爱?到底批处理和爱有什么关系?答案:没有!)。再说句"闲话":要学好批处理,DOS基础一定要牢!当然脑子灵活也是很重要的一方面。 例一、先给出一个最easy的批处理脚本让大家和它混个脸熟,将下面的几行命令保存为name.bat然后执行(以后文中只给出代码,保存和执行方式类似): ping https://www.doczj.com/doc/e18829655.html, > a.txt ping https://www.doczj.com/doc/e18829655.html, >> a.txt ping https://www.doczj.com/doc/e18829655.html, >> a.txt ping https://www.doczj.com/doc/e18829655.html, >> a.txt ping https://www.doczj.com/doc/e18829655.html, >> a.txt ping https://www.doczj.com/doc/e18829655.html, >> a.txt ping https://www.doczj.com/doc/e18829655.html, >> a.txt ping https://www.doczj.com/doc/e18829655.html, >> a.txt exit 是不是都能看的懂?是不是很easy?但它的作用却是很实用的,执行这个批处理后,可以在你的当前盘建立一个名为a.txt的文件,它里面记录的信息可以帮助你迅速找到速度最快的QQ服务器,从而远离"从服务器中转"那一痛苦的过程。这里>的意思,是把前面命令得到的东西放到后面所给的地方,>>的作用,和>的相同,区别是把结果追加到前一行得出的结果的后面,具体的说是下一行,而前面一行命令得出的结果将保留,这样可以使这个a.txt文件越来越大(想到如何搞破坏了??)。By the way,这个批处理还可以和其他命令结合,搞成完全自动化判断服务器速度的东东,执行后直接显示速度最快的服务器IP,是不是很爽?后面还将详细介绍。 例二、再给出一个已经过时的例子(a.bat):
无线局域网内的ARP攻击引起的上网掉线的原因和解决方法 在家庭和公司的宽带局域网中,经常会遇到的就是ARP病毒攻击,最常见的症状是电脑老是掉线,网页经常打不开,QQ无法登陆之类的现象。就是能浏览网页也会很卡,这不是无线路由器出故障了,也不是网速问题,大多都是遇到ARP攻击了,这对上网的体验影响很大,对业务以来网络的公司来说更是意味着金钱的损失。下面就来给大家解释一下原因和相应的解决办法,顺带也说说ARP攻击的演化。 首先,我们先来了解一下什么是ARP攻击。 ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接。最早探讨ARP攻击的文章是由Yuri Volobue所写的《ARP与ICMP转向游戏》。 ARP攻击的演化 初期: 这种有目的的发布错误ARP广播包的行为,被称为ARP欺骗。ARP欺骗,最初为黑客所用,成为黑客窃取网络数据的主要手段。黑客通过发布错误的ARP广播包,阻断正常通信,并将自己所用的电脑伪装成别人的电脑,这样原本发往其他电脑的数据,就发到了黑客的电脑上,达到窃取数据的目的。 中期:ARP恶意攻击 后来,有人利用这一原理,制作了一些所谓的“管理软件”,例如网络剪刀手、执法官、终结者等,这样就导致了ARP恶意攻击的泛滥。往往使用这种软件的人,以恶意破坏为目的,多是为了让别人断线,逞一时之快。 特别是在网吧中,或者因为商业竞争的目的、或者因为个人无聊泄愤,造成恶意ARP攻击泛滥。 随着网吧经营者摸索出禁用这些特定软件的方法,这股风潮也就渐渐平息下去了。 现在:综合的ARP攻击 最近这一波ARP攻击潮,其目的、方式多样化,冲击力度、影响力也比前两个阶段大很多。 首先是病毒加入了ARP攻击的行列。以前的病毒攻击网络以广域网为主,最有效的攻击方式是DDOS攻击。但是随着防范能力的提高,病毒制造者将目光投向局域网,开始尝试ARP攻击,例如最近流行的威金病毒,ARP攻击是其使用的攻击手段之一。
一:批处理文件 批处理文件是扩展名为·bat或·cmd的文本文件,包含一条或多条命令,由DOS或Windows系统内嵌的命令解释器来解释运行。 批处理的本质,是一堆DOS命令按一定顺序排列而形成的集合。 二:常用命令: 1.echo 和@: @ #关闭单行回显 echo off #从下一行开始关闭回显 @echo off #从本行开始关闭回显,一般批处理第一行都是这个 echo on #从下一行开始打开回显 echo #显示当前是echo off 状态还是echo on 状态 echo. #输出一个”回车换行”,空白行 #(同echo, echo; echo+ echo[ echo] echo/ echo") 2.errorlevel echo %errorlevel% 每个命令运行结束,可以用这个命令行格式查看返回码 默认值为0,一般命令执行出错会设errorlevel 为1 目录操作类命令: 3.dir 显示磁盘目录命令 dir #显示当前目录中的文件和子目录 dir /a #显示当前目录中的文件和子目录,包括隐藏文件和系统文件
dir c: /a:d #显示C 盘当前目录中的目录 dir c: /a:-d #显示C 盘根目录中的文件 dir c:" /b/p #/b只显示文件名,/p分页显示 dir c:" /b/p #/w不显示详细信息 dir *.exe /s #显示当前目录和子目录里所有的.exe文件 4.以树形显示当前路径文件夹结构 tree /f #显示每个文件夹中文件的名字。 5.md 建立子目录 md d:"a"b"c #如果d:"a 不存在,将会自动创建中级目录 #如果命令扩展名被停用,则需要键入mkdir "a"b"c 6.cd 改变当前目录(进入) cd \ #进入根目录 cd #显示当前目录 cd /d d:\sdk #可以同时更改盘符和目录 cd .. #返回上一级目录 7.rd 删除子目录命令 rd abc #删除当前目录里的abc 子目录,要求为空目录rd /s/q d:\temp #删除d:"temp 文件夹及其子文件夹和文件/q安静模式 磁盘操作类命令: 8.format 磁盘格式化命令 9.chkdsk 检查磁盘当前状态命令
批处理参数扩展变量(%0 到 %9)。当在批处理文件中使用批处理参数时,%0 将由批处理文件名替换,而 %1 到 %9 将由在命令行键入的相应参数替换。 可以在批处理参数中使用编辑符。编辑符使用当前的驱动器和目录信息将批处理参数扩展为部分或完整的文件或目录名。要使用编辑符,请键入百分号 (%) 字符,后面是波形符号 (~) 字符,然后键入合适的编辑符(即 %~modifier)。 下表列出了可在扩展中使用的编辑符。 编辑符说明 %~ %~1 扩展 %1 并删除任何引号 ( %~f %~f1 将 %1 扩展到完全合格的路径名 %~d %~d1 将 %1 扩展到驱动器盘符 %~p %~p1 将 %1 扩展到路径 %~n %~n1 将 %1 扩展到文件名 %~x %~x1 将 %1 扩展到文件扩展名 %~s %~s1 扩展的路径仅包含短名称 %~a %~a1 将 %1 扩展到文件属性 %~t %~t1 将 %1 扩展到文件日期/时间 %~z %~z1 将 %1 扩展到文件大小 %~$PATH: %~$PATH:1 搜索 PATH 环境变量中列出的目录,并将 %1 扩展到第一个找到的目录的完全合格名称。如果没有定义环境变量名称,或没有找到文件,则此编辑符扩展成空字符串 下表列出了可用于获取复杂结果的编辑符和限定符的可能组合情况: 编辑符说明 %~dp0 将 %0 扩展到驱动器盘符+路径+文件名+扩展名 %~nx1 将 %1 扩展到文件名和扩展名
%~dp$PATH:1 在 PATH 环境变量列出的目录中搜索 %1,并扩展到第一个找到的目录的驱动器盘符和路径 %~dpn0 将%0扩展到驱动器盘符+路径+文件名 %~ftza1 将 %1 扩展到类似 dir 的输出行 注意: 在上面的例子中,可以使用其它批处理参数替换 %1 和 PATH. %* 编辑符是唯一可代表在批处理文件中传递的所有参数的编辑符。不能将该编辑符与 %~ 编辑符组合使用。%~ 语法必须通过有效的参数值来终止。 不能以与使用环境变量相同的方式使用批处理参数。不能搜索或替换值,或检查子字符串。然而,可以将参数分配给环境变量,然后使用该环境变量。
手把手教你写批处理(willsort题注版) Climbing兄可谓用心良苦,受其感昭,略紧微薄之力;原文内容一字未易,仅于每段之下另加题注,其文大多非为纠错,多是年来体会,或偶得,或渐悟,未免偏颇;又加近来俗事渐多,闲情愈少,心浮气燥,一蹴而就。义理悖逆,敬请斧正;措辞不当,尚请莫怪。 另,建议Climbing兄取文不用拘泥于国内,此类技术文章,内外水平相差极大;与其修正国内只言片语,不如翻译国外优秀著述。 -------------------------------------------------------- 标题:手把手教你写批处理-批处理的介绍 作者:佚名 编者:Climbing 出处:中国DOS联盟之联合DOS论坛 题注:willsort 日期:2004-09-21 -------------------------------------------------------- 批处理的介绍 扩展名是bat(在nt/2000/xp/2003下也可以是cmd)的文件就是批处理文件。 ====willsort编注===================================================== .bat是dos下的批处理文件 .cmd是nt内核命令行环境的另一种批处理文件 从更广义的角度来看,unix的shell脚本以及其它操作系统甚至应用程序中由外壳进行解释执行的文本,都具有与批处理文件十分相似的作用,而且同样是由专用解释器以行为单位解释执行,这种文本形式更通用的称谓是脚本语言。所以从某个程度分析,batch,unix shell,awk, basic,perl等脚本语言都是一样的,只不过应用的范围和解释的平台各有不同而已。甚至有些应用程序仍然沿用批处理这一称呼,而其内容和扩展名与dos的批处理却又完全不同。====================================================================== == 首先批处理文件是一个文本文件,这个文件的每一行都是一条DOS命令(大部分时候就好象我们在DOS提示符下执行的命令行一样),你可以使用DOS下的Edit或者Windows的记事本(notepad)等任何文本文件编辑工具创建和修改批处理文件。 ====willsort题注==================================== 批处理文件中完全可以使用非dos命令,甚至可以使用不具有可执行特性的普通数据性文件,这缘于windows系统这个新型解释平台的涉入,使得批处理的应用越来越“边缘化”。所以我们讨论的批处理应该限定在dos环境或者命令行环境中,否则很多观念和设定都需要做比较大的变动。 ====================================================================== ==
目录 第一章批处理基础 第一节常用批处理内部命令简介 1、REM 和:: 2、ECHO 和@ 3、PAUSE 4、ERRORLEVEL 5、TITLE 6、COLOR 7、mode 配置系统设备 8、GOTO 和: 9、FIND 10、START 11、assoc 和ftype 12、pushd 和popd 13、CALL 14、shift 15、IF 16、setlocal 与变量延迟(ENABLEDELAYEDEXPANSION / DISABLEDELAYEDEXPANSION 启动或停用延缓环境变量扩展名。) 17、ATTRIB显示或更改文件属性 第二节常用特殊符号 1、@命令行回显屏蔽符 2、%批处理变量引导符 3、> 重定向符 4、>>重定向符 5、<、>、<& 重定向符 6、|命令管道符 7、^转义字符 8、组合命令 9、& 组合命令 10、||组合命令 11、\"\"字符串界定符 12、, 逗号 13、; 分号 14、() 括号 15、! 感叹号 第二章FOR命令详解 一、基本格式 二、参数/d仅为目录 三、参数/R递归(文件名) 四、参数/L迭代数值范围 五、参数/F迭代及文件解析 第三章FOR命令中的变量
一、~I- 删除任何引号(\"),扩展%I 二、%~fI- 将%I 扩展到一个完全合格的路径名 三、%~dI- 仅将%I 扩展到一个驱动器号 四、%~pI- 仅将%I 扩展到一个路径 五、%~nI- 仅将%I 扩展到一个文件名 六、%~xI- 仅将%I 扩展到一个文件扩展名 七、%~sI- 扩展的路径只含有短名 八、%~aI- 将%I 扩展到文件的文件属性 九、%~tI- 将%I 扩展到文件的日期/时间 十、%~zI- 将%I 扩展到文件的大小 十一、%~$PATH:I 第四章批处理中的变量 一、系统变量 二、自定义变量 第五章set命令详解 一、用set命令设置自定义变量 二、用set命令进行简单计算 三、用set命令进行字符串处理 1、字符串替换 2、字符串截取 第六章if命令讲解 第一种用法:IF [NOT] ERRORLEVEL number command 第二种用法:IF [NOT] string1==string2 command 第三种用法:IF [NOT] EXIST filename command 第四种用法:IF增强的用法 第七章DOS编程高级技巧 一、界面设计 二、if…else…条件语句 三、循环语句 四、子程序 五、用ftp命令实现自动下载 六、用7-ZIP实现命令行压缩和解压功能 七、调用VBScript程序 八、将批处理转化为可执行文件 九、时间延迟 1、利用ping命令延时 2、利用for命令延时 3、利用vbs延迟函数,精确度毫秒,误差1000毫秒内 4、仅用批处理命令实现任意时间延迟,精确度10毫秒,误差50毫秒内 十、模拟进度条 十一、特殊字符的输入及应用 十二、随机数(%random%)的应用技巧 十三、变量嵌套与命令嵌套 1、更正了所有的错别字,适当排版,增加条理性。
【故障原因】 局域网内有人使用ARP欺骗的木马程序(比如:传奇盗号的软件,某些传奇外挂中也被恶意加载了此程序)。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) 【故障原理】 要了解故障原理,我们先来了解一下ARP协议。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) 在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP 地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m)每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如下表所示。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) 主机IP地址MAC地址 A192.168.16.1aa-aa-aa-aa-aa-aa B192.168.16.2bb-bb-bb-bb-bb-bb C192.168.16.3cc-cc-cc-cc-cc-cc D192.168.16.4dd-dd-dd-dd-dd-dd 我们以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.16.2的MAC 地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP 缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) 从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗,A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候,把C的MAC地址骗为DD-DD-DD-DD-DD-DD,于是A发送到C上的数据包都变成发送给D的了。这不正好是D 能够接收到A发送的数据包了么,嗅探成功。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) A对这个变化一点都没有意识到,但是接下来的事情就让A产生了怀疑。因为A和C 连接不上了。D对接收到A发送给C的数据包可没有转交给C。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) 做“man in the middle”,进行ARP重定向。打开D的IP转发功能,A发送过来的数据包,转发给C,好比一个路由器一样。不过,假如D发送ICMP重定向的话就中断了整个计划。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) D直接进行整个包的修改转发,捕获到A发送给C的数据包,全部进行修改后再转发
原文地址:at命令使用详解定时运行bat文件(批处理)作者:changwanghao AT命令是Windows XP中内置的命令,它也可以媲美Windows中的“计划任务”,而且在计划的安排、任务的管理、工作事务的处理方面,AT命令具有更强大更神通的功能。AT命令可在指定时间和日期、在指定计算机上运行命令和程序。我们可以在“开始→运行”中输入AT命令,下面就来看看AT命令的一些实例分析。 1、定时关机命令:at 21:00 ShutDown –S –T30 该命令运行后,到了21:00点,电脑会出现“系统关机”对话框,并默认30秒延时自动关机。 2、定时提醒命令:at 12:00 Net Send 10.10.36 .122与朋友约会的时间到了,快点准备出发吧! 其中Net Send是Windows内部程序,可以发送消息到网络上的其他用户、计算机。10.10.36.122是本机电脑的IP地址。这个功能在Windows中也称作“信使服务”。 3、自动运行批处理文件如果公司的数据佷重要,要求在指定的日期/时间进行备份,那么运行:命令:at 1:00AM /Every:Saturday My_BackUp.bat 这样,在每个Saturday(周六)的早上1:00点,电脑定时启动My_BackUp.bat批处理文件。My_BackUp.bat是一个你自行编制的批处理文件,它包含能对系统进行数据完全备份的多条命令。 4、取消已经安排的计划命令:at 5 /Delete 有时候,你已经安排好的计划可能临时变动,这样你可以及时地用上述命令删除该计划(5为指派给已计划命令的标识编号),当然,删除该计划后,可以重新安排。 AT命令是一个win2000/xp/nt当中的一个命令,然而在我们的入侵当中是一个不可缺少的一项服务,他可以让程序中有一个程序在一定的时间里自动执行,从而操控计算机, 下面说一下他的用法! AT 命令安排在特 定日期和时间运行命令和程序。要使用 AT 命令,计划服务必须已在运行中。 AT [\computername] [ [id] [/DELETE] | /DELETE [/YES]] AT [\computername] time [/INTERACTIVE] [ /EVERY:date[,...] | /NEXT:date[,...]] "command" \computername指定远程计算机。如果 省略这个参数,会计划在本地计算机上运行命令。 id指定给已计划命令的识别号。 /delete 删除某个已计划的命令。如果省略 id,计算机上所有已计划的命令都会被删除。 /yes不需要进一步确 认时,跟删除所有作业的命令一起使用。 time 指定运行命令的时间。 /interactive允许作业在运行时,与当时登录的用户桌面进行交互。 /every:date[,...]每个月或每个星期在指定的日期运行命 令。如果省略日期,则默认为在每月的本日运 行。 /next:date[,...]指定在下一个指定日期(如,下周四)运 行命令。如果省略日期,则默认为在每月的本日运行。 "command"准备运行的 Windows NT 命令或批处理 程序。下面说一下他的几个用法!! (Viliosn.exe 是一个程序) 1,如果想让启动对方在指定时间里的某个程序,你可在命令行里打入: At \127.0.0.123:00 c:winntsystem32/viliosn.exe 提示:新加了一份作业, 作业id=1 2.让对方的计算机在每周一和周二的23:00启动某个程序.那么你可以打入 At \127.0.0.1 23:00 /every:一,二 c:winntsystem32viliosn.exe 提示:新加了一份作业, 作业id=2 3.删除对方计算机上作业id为1的任务 At
批处理经典入门教程!(从不懂到高手) 例一、先给出一个最easy的批处理脚本让大家和它混个脸熟,将下面的几行命令保存为name.bat然后执行(以后文中只给出代码,保存和执行方式类似): 代码如下: ping https://www.doczj.com/doc/e18829655.html, > a.txt ping https://www.doczj.com/doc/e18829655.html, >> a.txt ping https://www.doczj.com/doc/e18829655.html, >> a.txt ping https://www.doczj.com/doc/e18829655.html, >> a.txt ping https://www.doczj.com/doc/e18829655.html, >> a.txt ping https://www.doczj.com/doc/e18829655.html, >> a.txt ping https://www.doczj.com/doc/e18829655.html, >> a.txt ping https://www.doczj.com/doc/e18829655.html, >> a.txt exit 是不是都能看的懂?是不是很easy?但它的作用却是很实用的,执行这个批处理后,可以在你的当前盘建立一个名为a.txt的文件,它里面记录的信息可以帮助你迅速找到速度最快的QQ服务器,从而远离“从服务器中转”那一痛苦的过程。这里>的意思,是把前面命令得到的东西放到后面所给的地方,>>的作用,和>的相同,区别是把结果追加到前一行得出的结果的后面,具体的说是下一行,而前面一行命令得出的结果将保留,这样可以使这个a.txt 文件越来越大(想到如何搞破坏了??)。By the way,这个批处理还可以和其他命令结合,搞成完全自动化判断服务器速度的东东,执行后直接显示速度最快的服务器IP,是不是很爽?后面还将详细介绍。 例二、再给出一个已经过时的例子(a.bat): @echo off if exist C:\Progra~1\Tencent\AD\*.gif del C:\Progra~1\Tencent\AD\*.gif a.bat 为什么说这是个过时的例子呢?很简单,因为现在已经几乎没有人用带广告的QQ了(KAO,我的QQ还显示好友三围呢!!),所以它几乎用不上了。但曾经它的作用是不可小窥的:删除QQ的广告,让对话框干干净净。这里用的地址是QQ的默认安装地址,默认批处理文件名为a.bat,你当然可以根据情况自行修改。在这个脚本中使用了if命令,使得它可以达到适时判断和删除广告图片的效果,你只需要不关闭命令执行后的DOS窗口,不按CTRL+C强行终止命令,它就一直监视是否有广告图片(QQ也再不断查看自己的广告是否被删除)。当然这个脚本占用你一点点内存,呵呵。 例三,使用批处理脚本查是否中冰河。脚本内容如下: 复制代码代码如下: @echo off
解决局域网ARP攻击造成的断网问题 【字号:大中小】 实战:解决局域网ARP攻击造成的断网问题 家里通过连接老妈学校的局域网上网(不用出上网费,^_^ )~~从06年8月起,局域网中上网经常性掉线,通过科来网络分析系统发现,局域网中出现了arp欺骗攻击。经过我不断查找资料,2月初终于实现完美预防,下面就做个总结,希望对其他人有帮助~~:) 1. ARP概念 ARP,全称Address Resolution Protocol,中文名为地址解析协议,它工作在数据链路层,在本层和硬件接口联系,同时对上层提供服务。 IP数据包常通过以太网发送,以太网设备并不识别32位IP地址,它们是以48位以太网地址传输以太网数据包。因此,必须把IP目的地址转换成以太网目的地址。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC 地址是如何获得的呢?它就是通过地址解析协议获得的。ARP协议用于将网络中的IP地址解析为的硬件地址(MAC地址,每个网卡一个,据我观察分析,装系统时系统自动给予编号,形如00-03-0F-01-3E-0A),以保证通信的顺利进行。 1. 1 ARP和RARP报头结构 ARP和RARP使用相同的报头结构,如图1所示。 (图1ARP/RARP报头结构) 硬件类型字段:指明了发送方想知道的硬件接口类型,以太网的值为1; 协议类型字段:指明了发送方提供的高层协议类型,IP为0800(16进制); 硬件地址长度和协议长度:指明了硬件地址和高层协议地址的长度,这样ARP报文就可以在任意硬件和任意协议的网络中使用; 操作字段:用来表示这个报文的类型,ARP请求为1,ARP响应为2,RARP请求为3,RARP响应为4; 发送方的硬件地址(0-3字节):源主机硬件地址的前3个字节; 发送方的硬件地址(4-5字节):源主机硬件地址的后3个字节; 发送方IP(0-1字节):源主机硬件地址的前2个字节; 发送方IP(2-3字节):源主机硬件地址的后2个字节; 目的硬件地址(0-1字节):目的主机硬件地址的前2个字节;
bat是dos下的批处理文件 .cmd是nt内核命令行环境的另一种批处理文件 从更广义的角度来看,unix的shell脚本以及其它操作系统甚至应用程序中由 外壳进行解释执行的文本,都具有与批处理文件十分相似的作用,而且同样是 由专用解释器以行为单位解释执行,这种文本形式更通用的称谓是脚本语言。 所以从某个程度分析,batch, unix shell, awk, basic, perl 等脚本语言都 是一样的,只不过应用的范围和解释的平台各有不同而已。甚至有些应用程序 仍然沿用批处理这一称呼,而其内容和扩展名与dos的批处理却又完全不同。 =================================== 首先批处理文件是一个文本文件,这个文件的每一行都是一条DOS命令(大部 分时候就好象我们在DOS提示符下执行的命令行一样),你可以使用DOS下的Edit或者Windows的记事本(notepad)等任何文本文件编辑工具创建和修改批 处理文件。 ==== 注 =================== 批处理文件中完全可以使用非dos命令,甚至可以使用不具有可执行特性的普 通数据性文件,这缘于windows系统这个新型解释平台的涉入,使得批处理的 应用越来越"边缘化"。所以我们讨论的批处理应该限定在dos环境或者命令行 环境中,否则很多观念和设定都需要做比较大的变动。 ======================== 其次,批处理文件是一种简单的程序,可以通过条件语句(if)和流程控制语句(goto)来控制命令运行的流程,在批处理中也可以使用循环语句(for)来循环执行一条命令。当然,批处理文件的编程能力与C语言等编程语句比起来是十分 有限的,也是十分不规范的。批处理的程序语句就是一条条的DOS命令(包括 内部命令和外部命令),而批处理的能力主要取决于你所使用的命令。 ==== 注 ================== 批处理文件(batch file)也可以称之为批处理程序(batch program),这一点与编译型语言有所不同,就c语言来说,扩展名为c或者cpp的文件可以称之为 c语言文件或者c语言源代码,但只有编译连接后的exe文件才可以称之为c 语言程序。因为批处理文件本身既具有文本的可读性,又具有程序的可执行性,这些称谓的界限是比较模糊的。 =========================== 第三,每个编写好的批处理文件都相当于一个DOS的外部命令,你可以把它所 在的目录放到你的DOS搜索路径(path)中来使得它可以在任意位置运行。一个
编号TS-08-0005 科来网络分析系统ARP攻击解决方案 版权所有 ? 2007 科来软件保留所有权利。 本文档属商业机密文件,所有内容均为科来软件国内技术支持部独立完成,属科来软件内部机密信息,未经科来软件做出明确书面许可,不得为任何目的、以任何形式或手段(包括电子、机械、复印、录音或其他形式)对本文档的任何部分进行复制、修改、存储、引入检索系统或者传播。 汪已明 科来软件 电话:86-28-85120922 传真:86-28-85120911 网址:https://www.doczj.com/doc/e18829655.html, 电子邮件:support@https://www.doczj.com/doc/e18829655.html, 地址:成都市高新区九兴大道6号高发大厦B幢1F 版权所有 ? 2007 科来软件. 保留所有权利 第1页 共6页
方案背景 目前,由于政府、企业、高校以及电子商务的蓬勃发展,使得网络已经融入到社会的各个领域;与此同时,网络用户的多样化,直接导致了蠕虫病毒和网络攻击的持续增多。在这种情况下,快速排查网络攻击,保障网络的持续可靠运行,已日益成为与国家、政府、企事业和个人的利益休戚相关的“大事情”。 自2006年以来,ARP攻击就以攻击方法简单、攻击速度快、攻击效果好而深受越来越多恶作剧者的青睐,从而导致近1年多的时间里,网络中的ARP攻击无处不在,各大论坛从未停止过ARP攻击的讨论,一些遭受过ARP攻击的用户甚至到了谈“ARP”色变的程度。 能否快速有效地排查ARP攻击,将直接导致网络的运行是否正常,其意义十分重大。接下来我们就详细地来看如何排查并预防ARP攻击。 ARP协议工作原理 ARP,全称Address Resolution Protocol,中文名为地址解析协议,它工作OSI参考模型的第2层(数据链路层),用于查找IP地址所对应物理网卡的MAC地址。 正常情况下,ARP协议的工作原理如下: 1.所有主机都在自己的缓冲区中建立一个IP地址和MAC地址的对应关系表,我们 称这个表为ARP表。 2.源主机需要发送一个数据包到目的主机时,首先检查自己的ARP表中是否存在该 目的IP地址对应的MAC地址,如果有,就将数据包发送到这个MAC地址所对应 的网卡;如果没有,就向本地网段中除自己以外的所有主机发起一个ARP请求广 播,以查询目的主机所对的MAC地址。 3.网络中的所有主机收到这个ARP请求后,都会检查数据包中的目的IP是否和自己 的IP地址一致。如果不相同,就丢弃该数据包;如果相同,该主机首先将源主机 的IP地址和MAC地址添加到自己的ARP表(ARP表中如果已经存在该IP的信 息,则将其覆盖),然后给源主机发送一个 ARP响应数据包,告诉对方自己是它 需要查找的MAC地址; 4.源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添 加到自己的ARP表,并同时将数据包发往目的主机所对应的网卡。 从上述的过程可知,正常情况下的ARP工作流程是一个请求,一个应答。 ARP攻击原理 根据攻击的严重程度,ARP攻击可以分为三种:ARP扫描、ARP中间人攻击和ARP 断网攻击。 版权所有 ? 2007 科来软件. 保留所有权利 第2页 共6页
特殊命令 if goto choice for是批处理文件中比较高级的命令,如果这几个你用得很熟练,你就是批处理文件的专家啦。 一、if 是条件语句,用来判断是否符合规定的条件,从而决定执行不同的命令。有三种格式: 1、if [not] "参数" == "字符串" 待执行的命令 参数如果等于(not表示不等,下同)指定的字符串,则条件成立,运行命令,否则运行下一句。 例:if "%1"=="a" format a: ==== if 的命令行帮助中关于此点的描述为: IF [NOT] string1==string2 command 在此有以下几点需要注意: 1. 包含字符串的双引号不是语法所必须的, 而只是习惯上使用的一种"防空"字符 2. string1 未必是参数, 它也可以是环境变量, 循环变量以及其他字符串常量或变量 3. command 不是语法所必须的, string2 后跟一个空格就可以构成一个有效的命令行 ============================= 2、if [not] exist [路径\]文件名待执行的命令 如果有指定的文件,则条件成立,运行命令,否则运行下一句。 如: if exist c:\config.sys type c:\config.sys 表示如果存在c:\config.sys文件,则显示它的内容。 ****** 注******** 也可以使用以下的用法: if exist command
device 是指DOS系统中已加载的设备, 在win98下通常有: AUX, PRN, CON, NUL COM1, COM2, COM3, COM4 LPT1, LPT2, LPT3, LPT4 XMSXXXX0, EMMXXXX0 A: B: C: ..., CLOCK$, CONFIG$, DblBuff$, IFS$HLP$ 具体的内容会因硬软件环境的不同而略有差异, 使用这些设备名称时, 需要保证以下三点: 1. 该设备确实存在(由软件虚拟的设备除外) 2. 该设备驱动程序已加载(aux, prn等标准设备由系统缺省定义) 3. 该设备已准备好(主要是指a: b: ..., com1..., lpt1...等) 可通过命令mem/d | find "device" /i 来检阅你的系统中所加载的设备 另外, 在DOS系统中, 设备也被认为是一种特殊的文件, 而文件也可以称作字符设备; 因为设备(device)与文件都是使用句柄(handle)来管理的, 句柄就是名字, 类似于文件名, 只不过句柄不是应用于磁盘管理, 而是应用于内存管理而已, 所谓设备加载也即指在内存中为其分配可引用的句柄. ================================== 3、if errorlevel 待执行的命令 很多DOS程序在运行结束后会返回一个数字值用来表示程序运行的结果(或者状态),通过if errorlevel命令可以判断程序的返回值,根据不同的返回值来决定执行不同的命令(返回值必须按照从大到小的顺序排列)。如果返回值等于指定的数字,则条件成立,运行命令,否则运行下一句。 如if errorlevel 2 goto x2 ==== 注=========== 返回值从大到小的顺序排列不是必须的, 而只是执行命令为goto 时的习惯用法, 当使用
彻底解决局域网内ARP攻击的设置方法 最常见的局域网安全问题就是ARP攻击了,相信百分五十以上的局域网用户都受到过ARP攻击,这种攻击方法非常不好防治,所以普通的局域网用户都不清楚怎么彻底解决ARP攻击问题。如果你用路由器设置了局域网,请看以下如何彻底解决局域网内ARP攻击的设置方法。 一、彻底解决ARP攻击 事实上,由于路由器是整个局域网的出口,而ARP攻击是以整个局域网为目标,当ARP攻击包已经达到路由器的时候,影响已经照成。所以由路由器来承担防御ARP攻击的任务只是权宜之计,并不能很好的解决问题。 我们要真正消除ARP攻击的隐患,安枕无忧,必须转而对“局域网核心”――交换机下手。由于任何ARP包,都必须经由交换机转发,才能达到被攻击目标,只要交换机据收非法的ARP包,哪么ARP攻击就不能造成任何影响。 我们提出一个真正严密的防止ARP攻击的方案,就是在每台接入交换机上面实现ARP绑定,并且过滤掉所有非法的ARP包。这样可以让ARP攻击足不能出户,在局域网内完全消除了ARP攻击。 因为需要每台交换机都具有ARP绑定和相关的安全功能,这样的方案无疑价格是昂贵的,所以我们提供了一个折衷方案。 二、一般ARP攻击的解决方法 现在最常用的基本对治方法是“ARP双向绑定”。 由于ARP攻击往往不是病毒造成的,而是合法运行的程序(外挂、网页)造成的,所杀毒软件多数时候束手无策。 所谓“双向绑定”,就是再路由器上绑定ARP表的同时,在每台电脑上也绑定一些常用的ARP表项。 “ARP双向绑定”能够防御轻微的、手段不高明的ARP攻击。ARP攻击程序如果没有试图去更改绑定的ARP表项,那么ARP攻击就不会成功;如果攻击手段不剧烈,也欺骗不了路由器,这样我们就能够防住50%ARP 攻击。 但是现在ARP攻击的程序往往都是合法运行的,所以能够合法的更改电脑的ARP表项。在现在ARP双向绑定流行起来之后,攻击程序的作者也提高了攻击手段,攻击的方法更综合,另外攻击非常频密,仅仅进行双向绑定已经不能够应付凶狠的ARP攻击了,仍然很容易出现掉线。 于是我们在路由器中加入了“ARP攻击主动防御”的功能。这个功能是在路由器ARP绑定的基础上实现的,原理是:当网内受到错误的ARP广播包攻击时,路由器立即广播正确的ARP包去修正和消除攻击包的影响。这样我们就解决了掉线的问题,但是在最凶悍的ARP攻击发生时,仍然发生了问题----当ARP攻击很频密的时候,就需要路由器发送更频密的正确包去消除影响。虽然不掉线了,但是却出现了上网“卡”的问题。 所以,我们认为,依靠路由器实现“ARP攻击主动防御”,也只能够解决80%的问题。