ARP-知识

ARP透视——出现ARP欺骗攻击时的现象

2008-11-11T18:39:00.005+08:00

1、网上银行、游戏及QQ账号的频繁丢失
一些人为了获取非法利益，利用ARP欺骗程序在网内进行非法活动，此类程序的主要目的在于破解账号登陆时的加密解密算法，通过截取局域网中的数

据包，然后以分析数据通讯协议的方法截获用户的信息。运行这类木马病毒，就可以获得整个局域网中上网用户账号的详细信息并盗取。

2、网速时快时慢，极其不稳定，但单机进行光纤数据测试时一切正常
当局域内的某台计算机被ARP的欺骗程序非法侵入后，它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包，阻塞网络通道，

造成网络设备的承载过重，导致网络的通讯质量不稳定。

3、局域网内频繁性区域或整体掉线，重启计算机或网络设备后恢复正常
当带有ARP欺骗程序的计算机在网内进行通讯时，就会导致频繁掉线，出现此类问题后重启计算机或禁用网卡会暂时解决问题，但掉线情况还会发生。

ARP透视——传统的几种解决ARP问题的方式

2008-11-11T18:39:00.003+08:00

方案一：
过滤局域网的IP，关闭高危险的端口，关闭共享。升级系统补丁，升级杀毒软件。
安装防火墙，设置防ARP的选项。
微软ISA防火墙功能强大，可是很占系统资源。
配置服务器是Linux的强项，当然能阻止部分ARP危害网络。但是从根本上并没有解决掉ARP的问题，长时间超负荷运转对硬件的损害也显而易见。

方案二：
发现乱发 ARP包的主机后，即通过路由器、硬件防火墙等设备在网关上阻止与其它主机通信。迅速找到主机，断开其网络连接。检查机器是因为病毒木马

发送ARP包破坏网络环境，还是人为的使用ARP的网络管理软件。既然是使用的网络管理软件，先得询问使用者是否有管理网络的特权。既然没有特权又为

何管理、控制网络呢？

方案三：
通过高档路由器进行双向绑定，即从路由器方面对从属客户机IP-MAC地址进行绑定，同时从客户机方面对路由器进行IP-MAC地址绑定，双向绑定让IP 不容

易被欺骗。这种方案的实施比较烦琐，在客户机器或路由器更改硬件时，需要对全网进行重新的MAC地址扫描并重新绑定，工作量巨大。所取得的效果，仅

仅可以防御住一些低端的ARP欺骗，对于攻击型ARP软件则无任何作用。

方案四：
使用ARP防护软件，针对ARP欺骗攻击的软件在网络中很多，但具体的效果却一直不理想。多数软件单单针对ARP欺骗攻击的某一方面特性进行制作抵御软件

的原理，并没有从根本上去考虑ARP欺骗攻击的产生与传播方式。所以，这些软件在ARP防范领域影响甚微。

针对上述几种常见的传统防范ARP的方法，都有各自的优点，但是也都曝漏了其局限性，并不都可以完全解决ARP欺骗攻击。网络中多台主机同时高频率的

发送 ARP广播，会很轻易的造成网络瘫痪、路由器死机，使其它主机响应迟缓，甚至造成系统停止响应（假死）。如果是ARP木马，还会进行传播，同时感

染其它网络中的其它主机，产生众多主机同时中毒的现象。

ARP透视——ARP欺骗，骗的是什么?

2008-11-11T18:39:00.001+08:00

主持人:大家好，今天的主题是《ARP欺骗，骗的是什么?》很高兴邀请到我们的嘉宾资深网络技术专家张先生，为我们解答问题。
张:谢谢主持人。
主持人:他的title虽然是营销总监，但是也有深厚的功底，相信他今天给我们带来精采的解答。
前一段时间，有一件事情被炒得非常火热，就是MSN被监听。实际上媒体也对MSN的监听软件做了报告，实际上它并不是非常容易被使用。但是网上后来又

出了叫停类的文章，是说MSN Messenger是配合ARP欺骗软件，就起到了它原本应该有的作用。我们想问一下张先生，ARP欺骗到底是什么样的技术?
张:ARP欺骗我们必须从它的名词来讲。ARP欺骗它是一个地址解读的协议。地址解读协议是什么意思呢?在我们互联网上面，最常用的协议是TCPIP，就是传

输的协议。IP就是所谓定址的协议。好比我们用哪一栋大楼，在什么地方，在网络上就是使用IP地址来定的。但是在实体上，我们大家都知道，在每一台

电脑上都有实体的地址。IP地址是网络的一个地址。ARP就是让这两个地址跟IP地址产生关联的一个协议。也就是说，我怎么知道哪一台IP在什么位置呢?

就是透过ARP去先地方他的IP地方在哪里，再把这个侦发过去。像MSN是怎么欺骗的呢?在局域网里面，我这个侦或者这个包本来要发到某一个IP，这个IP

对的机器是A机器。它骗你这个IP对应的是第一台机器。你就以为这个包要发到另外一台机器去。这就是所谓ARP欺骗的基本想法和思维。
主持人:ARP欺骗对于我们局域网的一些应用看来是很危险的。
张:我从各地，从东莞，温州、宁波，在中国，普遍发现ARP欺骗影响，在早期是网吧。它就是让这个网吧掉线。其实我们早期发现的时候，刚刚主持人讲

的一些应用就是所谓的MSN监听。在所谓的MSN，并没有做特殊的加密。有些人就想了一些机制去监听。其实ARP最早的应用就是在网络上盗取密码的。就是

有一些在网吧里的用户，用ARP欺骗。另外一个用户在输入用户名和密码的时候，就欺骗他的这台机器说，我的机器是路由器，他会把用户名的密码送到我

这台机器里面。他就可以把这个用户名和密码解读出来。等用户没有上网的时候，他就可以把这个宝盗走。后来慢慢我们发现，很多用户用这个功能，在

这个上面做了很多的隐身，变得一发不可收拾。本来我大概可以用三秒、五秒，后来就产生了很多隐身和变形，造成网断线。因为应用的软件失控了，他

就可以在某一台机器上不断做这个欺骗的动作。
主持人:ARP欺骗软件运行同时，为什么会造成频繁的断线呢?
张:在我们以局域网运作来讲，我们有两种方式的传输。一种对外传，就是我的用户有一个需求，他透过路由器对外界传送。这个时候，这是一种。另外一

种是回传。当有用户在网络上假装他自己是路由器的时候，用户往外传的包或者侦就会送到假的用户去。这个软件就会有一来、一回持续的运作。当你今

天碰到ARP欺骗的时候，你就会发现你送去给他，他那边没有回应。用户就觉得是掉线或者断线。严重的时候，就会把其他的应用，也没有办法应用了。所

以就感觉到大幅度掉线或者断线的功能。
主持人:实际上就是造成断线的假象。
张:实际上也真的断线了。就像我今天跟你在讲话，但是你听不到我讲话的声音。我的服务器也不知道我在跟他讲什么话。另外一个人听到话，只是把它窃

取下来，记录下来，并没有给我回应。就是这样的现象。
主持人:刚才也说老了ARP欺骗最早可以用于盗取用户的一些密码、一些敏感信息。现在我们知道，所有未加密的传送的软件，都应用配合一些应用工具监

听的。能不能再给我们介绍一下，配合ARP欺骗使用，还有什么所谓的黑客行为呢?
张:盗宝是最主要的，另外就是监听。当ARP欺骗，可能配合其他的一些软件功能这样子的。我们发现，在局域网里面，想盗取一些ARP，或者无线网络里面

，基本上都是用局域网的特性叫广播。广播，像我们刚才提到的ARP欺骗为什么可以成型?在每一个计算机里面，都存了一个IP地址的对应表。但是每台机

器的内存有限，当这个表不够的时候，会传一个广播信息。比如今天我要送给一个IP地址，我就问这个IP在哪里?问出来，所有人都会接受。假如在标准正

常的运作里面，大家知道我不是这个，我不用回应。但是路由器知道，这个东西不是这个网域里面，不用送。如果是假装这个IP地址的话，你就会产生一

种误解。其实这种比较重大的威胁，我们看到无线这边，有人利用这个特性，做一些相关的动作。
主持人:也就是说，在无线或者有限的局域网里面，你所做的一些行为，都可以用黑客软件配合ARP监控软件进行欺骗，截取。
张:有一些比较低阶段的应用就是所谓的监听。如果在对于这些软件做进一步的分析，比如我这个软件送的时候是什么需求，回来的时候是什么需求。他可

以用另外一个目标把你所有的动作都拦截回去。如果今天对方知道，像一个交易，他知道第一笔是什么，第二笔是什么，他把所有的资料都送过去。他也

可以把你的讯息拦截走，再转送到服务器，再转送回来。这样的隐身就变成了蛮复杂的状况在应用。这也是各地对ARP效果影响越来越大的原因。
主持人:这个是一般用户来说，也是蛮头疼的问题。
张:用户因为不小心，用了一些软件，或者在PC里面点了一些MSN的连接等等，把这个程序启动了，他会发现自己渐渐受到了影响。像今天早上我们的技术

支持跟我们说，湖北一些网吧，几乎没有人上网了。因为上不了网。
主持人:像有这种加密的软件传送，信息也是能被黑客截取。只是截取后看不到内容?
张:是的。
主持人:前一阵子出有一个msn chat sniffer这样的软件，发现每一台机器都受到了扫描攻击。后来我们分析，是中了病毒还是木马这类东西呢?
张:其实在早期里面，ARP的很多功能，像陀螺仪木马这样的功能期在一起。在早期的ARP，只是黑客用来盗取密码，用了三、五秒钟。当你输入用户名和密

码的时候，另外一个用户发现没有回应，他会再输一次。但是因为这些ARP的功能跟其他的木马或者其他的城市，或者网络上的连接、病毒结合在一起，所

以造成很大规模的影响，断线或者掉线。像你刚刚提到的状况，这个用户可能不知道自己在做这样的事情，这是典型的病毒，这是病毒跟ARP结合的典型现

象。
主持人:他能通过ARP欺骗的病毒做什么呢?
张:ARP欺骗的病毒做到现在，对于制作的人或者散布的人没有什么太大的作用，纯粹是破坏的工具。因为ARP可以收集网络上广播的包，如果进一步的应用

，肯定会有很多的黑客在思考这个问题。因为网络上的特性属于来回，属于协议这样的状况，如果你好好利用，好的方向能保持网络顺畅，不好的方向可

以拦截任何他需要的资讯。
主持人:从今年开始，在病毒这边应该是说黑客已经从最早的表现欲，已经转变成有目的性的盈利的目标，也就是说，ARP欺骗很可能被成为黑客盈利的手

段。
张:你怎么样发生ARP欺骗的状况，我们必须从原理开始讲。最简单的就是叫做ARP跟IP地址的对照表。我们有一些文章描述到，你可以对这个网络进行扫描

。像这个ARP的对照表，可以对这个网络进行扫描。当你发现某一个对应IP地址的话，正常是一对一的关系，如果发现一对多的方式那就是异常的情况。回

到我们刚刚讲的，预防ARP。我们必须建立地址跟IP的固定关系。因为它会欺骗你。我们现在所谓绑定的功能，我们刚才讲了有两个方向做绑定，一个是路

由器的部分，你必须把内部的所有的机器，IP地址做一个绑定。我们想了一些功能，可以让它作后面做激活的动作把它绑定。
很多用户发现我只要在路由器这边做好了就行了，在终端这边就不用做了。但是这样的话，会发生部分的现象。所以在用户这边有所谓的ARP—S的功能，

你把你的路由器的位置，也做绑定。这样送给路由器的包就不会被别人拦截去。我们刚才谈到了两个方向，一个是所谓的路由器端做绑定，就是所有机器

的IP地址。另外是用户端也要绑定，绑的是路由器的IP，跟路由器的地址。实际上我们最近发现另外一个现象，就是对于中毒的这台机器还有另外的处理

方式。中毒的这台机器，虽然你针对每台机器绑定，但是这个设定从开机以后，就失效了。所以我们建议用户把它写到启动的档案里面。每次开机的时候

激活这个功能。
另外中毒的这台机器，虽然绑定了，但是它内部已经有病毒了。虽然绑定了，但是它可以每秒快速写它的ARP。这时候他对别人没有办法造成危害。因为别

人已经把路由器跟这个机器的位置写得很确定了。对这台上网的人还是有很多的困扰。我们这种传统的绑定功能可以给他快速的写。写到一秒两百次这样

的速度。我们现在看到比较好的做法，就是把藏在里面的病毒去除掉，或者整个机器都要清理一下病毒。这是我们现在比较完整的处理方式。
主持人:真的是很精彩的解答。如果我只对我个人的PC机做了绑定，路由那端没有做绑定，还会不会受到ARP欺骗?
张:在个人这边做绑定，你可以确保你往路由送的包，确定会送到路由这边去。但是路由送回来的时候，他可以在半路拦截。告诉你路由器不要送给它，送

给我吧。就把这个包拦截过去了。所以我们刚才谈到要双向的包要严密。现在有些网吧如果做单方面的绑定是不行的。
主持人:很多人认为我一边绑定就可以了，实际上还是需要双方相的绑定。河北前一段时间某公司，采用了贵公司的产品，和网吧结合出现了一些问题。请

问有一些什么具体的问题吗?
张:在早期的路由器的版本里面，也许没有这样的绑定的功能。所以它就会产生掉线或者不稳定的状况。
主持人:看来防范ARP还不是说用户个人的行为能够解决的，还需要网管和用户一起来解决。
张:这个对网管而言是比较全面、头疼的工作。其实对于网管而言比较复杂的地方在这边，就是你如果一次把所有局域网上的IP地址找出来的话，你必须要

借助一些工具。不是现成的机器就可以做的。必须在网络上下载。就是msn chat sniffer，或者其他的工具。还有一些行动的工作者，比如笔记本电脑来

了，你没有设在里面，这台就发生了这样的问题。
主持人:不光是技术的问题，还牵涉到安全管理的问题。所以说ARP欺骗可以说是无法彻底解决的问题。可以这么说吗?
张:在网络上有人提到，这个是在协议上的弱点。但是我想说从技术的观点来讲，实际上有不同的方案可以解决。在一些做路由器产品或者相关软件的，或

者做防毒的，大家都可以针对这个特性。早期大家不是很了解，慢慢大家针对刚刚的特性，就是所有IP地址的绑定，你去给它更好的局限。在早期因为很

开放，所以我在广播。但是因为发生这样的问题，所以将来不管在嵌入的时候，或者在网络上广播的时候，不同的软件会做更多的规范，会降低这样的现

象。
主持人:谢谢关先生精彩的发言。我们中场休息一下。我们再收集一下网友的提问，下半节请张先生回答。

ARP透视——ARP欺骗的危害

2008-11-11T18:38:00.001+08:00

作为一名网络管理员，应该明确的知道网络中的 ARP 列表，收集ARP列表信息。或者，为每台机器手工绑定IP地址，不允许客户机随意更改IP地址，将每

台机器的 IP --> MAC 信息保存为文件。
MAC地址：通过一些方法可以使网卡的MAC地址发生改变。所以不允许修改网卡的MAC地址。
IP地址与主机相对应。
xxxx_001 为系统保留，通常就是网关了。IP地址为xxx.xxx.xxx.1
例如：xxxx_002 这台主机的IP地址为局域网地址 xxx.xxx.xxx.2

ARP table
主机名部门 IP地址 C地址
xxxx_002－xxx.xxx.xxx.xxx－xx-xx-xx-xx-xx-xx
xxxx_003－xxx.xxx.xxx.xxx－xx-xx-xx-xx-xx-xx
xxxx_004－xxx.xxx.xxx.xxx－xx-xx-xx-xx-xx-xx
xxxx_005－xxx.xxx.xxx.xxx－xx-xx-xx-xx-xx-xx
xxxx_006－xxx.xxx.xxx.xxx－xx-xx-xx-xx-xx-xx
xxxx_007－xxx.xxx.xxx.xxx－xx-xx-xx-xx-xx-xx
xxxx_008－xxx.xxx.xxx.xxx－xx-xx-xx-xx-xx-xx
xxxx_009－xxx.xxx.xxx.xxx－xx-xx-xx-xx-xx-xx
xxxx_011－xxx.xxx.xxx.xxx－xx-xx-xx-xx-xx-xx
xxxx_012－xxx.xxx.xxx.xxx－xx-xx-xx-xx-xx-xx
xxxx_013－xxx.xxx.xxx.xxx－xx-xx-xx-xx-xx-xx

ARP协议：

#### 源IP地址 --> 源MAC地址 ##### 将源IP地址解析为源MAC地址
#### 目标IP地址 --> 目标MAC地址 #### 将目标IP地址解析为目标MAC地址

RARP协议：

#### 源MAC地址 --> 源IP地址 #### 将源MAC地址解析为源IP地址
#### 目标MAC地址 --> 目标IP地址 #### 将目标MAC地址解析为目标IP地址

ARP攻击检测：

# ARP –a
查看本机ARP缓存，正常情况下第一栏打印本机IP地址，第二栏返回当前网关的IP地址和MAC地址。
正常模式：网络中只有一个网关，客户机 ARP 缓存只有一条 ARP 记录，并且这条记录是当前网关的IP --> MAC 的映射。

混杂模式：当ARP缓存中有多条IP -->MAC 的记录，说明当前为混杂模式，网的网关不是唯一的。

排除：在 SuSE Linux 系统中，如果使用ping命令ping网络中的另一台主机，再用 ARP -a 的命令查看本机ARP缓存会多出一条ARP记录。这条记录的源IP

地址就是刚才ping的那台主机的IP地址，源MAC地址就是刚才ping的那台主机的 MAC址址。

获取网络中的ARP信息：使用ping命令ping网络中的另一台主机，然后再使用ARP -a 或者是ARP -na 的命令可以查看到刚才ping的那台网络中的主机的 IP

和MAC地址的映射关系。注意，使用此方法获得的ARP信息不代表网络一定为混杂模式。如果网关路由工作正常，且有合法的公网地址

sled10:~ # ARP -na
(192.168.1.241) at 00:01:01:02:02:39 [ether] on eth0
(192.168.1.150) at 00:E0:4C:3A:1D:BC [ether] on eth0
(192.168.1.1) at 00:14:78:A1:7F:78 [ether] on eth0
sled10:~ #

能够访问广域网的情况下：
使用ping命令ping广域网上的一个域名

＞正常的现象：
# ping www.qq.com

# ping www.baidu.com

# ping www.yahoo.com
sled10:~ # ping www.yahoo.com
PING www.yahoo-ht2.akadns.net (209.131.36.158) 56(84) bytes of data.
64 bytes from f1.www.vip.sp1.yahoo.com (209.131.36.158): ICMP_seq=1 ttl=51 time=1183 ms
64 bytes from f1.www.vip.sp1.yahoo.com (209.131.36.158): ICMP_seq=2 ttl=51 time=1458 ms
64 bytes from f1.www.vip.sp1.yahoo.com (209.131.36.158): ICMP_seq=3 ttl=51 time=1287 ms
64 bytes from f1.www.vip.sp1.yahoo.com (209.131.36.158): ICMP_seq=4 ttl=51 time=1185 ms
64 bytes from f1.www.vip.sp1.yahoo.com (209.131.36.158): ICMP_seq=5 ttl=51 time=934 ms

＞非正常情况：
分析ARP欺骗的原理
sled10:~ # ping www.qq.com
PING www.qq.com (61.172.240.44) 56(84) bytes of data.
From 192.168.1.241: ICMP_seq=237 Redirect Host(New nexthop: 192.168.1.1)
64 bytes from 61.172.240.45: ICMP_seq=237 ttl=53 time=25.6 ms
From 192.168.1.241: ICMP_seq=238 Redirect Host(New nexthop: 192.168.1.1)
64 bytes from 61.172.240.45: ICMP_seq=238 ttl=53 time=25.3 ms
From 192.168.1.241: ICMP_seq=239 Redirect Host(New nexthop: 192.168.1.1)
64 bytes from 61.172.240.45: ICMP_seq=239 ttl=53 time=25.6 ms
From 192.168.1.241: ICMP_seq=240 Redirect Host(New nexthop: 192.168.1.1)
64 bytes from 61.172.240.45: ICMP_seq=240 ttl=53 time=25.8 ms
From 192.168.1.241: ICMP_seq=241 Redirect Host(New nexthop: 192.168.1.1)
64 bytes from 61.172.240.45: ICMP_seq=241 ttl=53 time=26.0 ms
From 192.168.1.241: ICMP_seq=242 Redirect Host(New nexthop: 192.168.1.1)

From 192.168.1.241: ICMP_seq=240 Redirect Host(New nexthop: 192.168.1.1)
上面的 ping www.qq.com 后，从局域网的192.168.1.241返回一条ICMP包。
＞＞＞
64 bytes from 61.172.240.45: ICMP_seq=239 ttl=53 time=25.6 ms
接着，从广域网返回一条ICMP包。

注意，正常的的情况下ping广域网的域名或IP地址应该只会收到广域网地址返回的ICMP包。
同时反覆的高频率的从局域网的一台主机返回的ICMP包属于非正常的情况。
.......................................................................................................
From 192.168.1.241: ICMP_seq=240 Redirect Host(New nexthop: 192.168.1.1)

Redirect: [ 'ri:di'rekt ]

a. 再直接的
v. 重新传入,重新寄送

英英解释:
动词redirect:

.......................................................................................................

注意！！
上面的英文解释是 “再连接的” ，也就是说每次ping广域网的一个域名都会先收到这个局域网内的机器的ICMP包。
这个ICMP包是 “再连接的”，也就是说不是始终连接的。只有当有网络请求时才会 “再次连接”，而不需要访问网络时就断开了连接或者说连接不起作

用。每次访问网络都需要和这台局域网中的机器连接，每发送一个ping包到广域网的一个域名（主机）都要通过这台局域网中的主机，每收到广域网的一

个域（地址）的ICMP包之前都必须通过这台局域网中的机器。都要通过这台局域网中的主机。那么这台主机就相当于网关了。但是，实际的网关并不是这

台主机。
正常工作的网关，不会出出如此高频率的 “重新传入” 、 “再次连接” 。
合理的解释：本机的ARP缓存正在被高频率的刷新。
造成本机的ARP缓存高频率刷新的原因就在于局域网中的这台主机使用了不断的高频率的向局域网中发送ARP包，不断的高频率的向网络中的机器告白：“

大家好！我就是网关，你们跟着我就能够有吃有喝了。”

网吧频繁掉线（ARP）与解决方法

2008-11-11T18:31:00.001+08:00

现在频繁掉线的网吧很多.但为何掉线.许多网管朋友.不是很清楚.网吧掉线的原因很多.现在我给大家讲一下现在很流行的一种木马.<传奇网吧杀手>.基本上东北地区的网吧都被这一木马弄的身心疲惫.但是现在有解决的方法了.

中病毒特征: 网吧不定时的掉线.(重启路由后正常),网吧局域网内有个别机器掉线.
木马分析 : 传奇杀手木马,是通过ARP欺骗,来或取局域网内发往外网的数据.从而截获局域内一些网游的用户名和密码.

木马解析:中木马的机器能虚拟出一个路由器的MAC地址和路由器的IP.当病毒发作时,局域网内就会多出一个路由器的MAC地址.内网在发往外网的数据时,误认为中木马的机器是路由器,从而把这些数据发给了虚拟的路由器.真正路由器的MAC地址被占用.内网的数据发出不去.所以就掉线了.

解决办法:守先你下载一个网络执法官,他可以监控局域网内所有机器的MAC地址和局域网内的IP地址.在设置网络执法官时.你必须将网络执法官的 IP段设置和你内网的IP段一样.比如说:你的内网IP是192.168.1.1------192.168.1.254你的设置时也要设置 192.168.1.1------192.168.1.254.设置完后,你就会看到你的内网中的MAC地址和IP地址.从而可以看出哪台机器中了木马.(在多出的路由器MAC地址和IP地址和内网机器的IP地址,MAC地址一样的说明中了传奇网吧杀手)要是不知道路由器的MAC地址,在路由器的设置界面可以看到.发现木马后.你还要下载瑞星2006最新版的杀病毒软件(3月15日之后的病毒库).在下载完之后必须在安全模式下查杀(这是瑞星反病毒专家的见意)反复查杀(一般在四次就可以了)注意查完后杀病毒软件不要卸载掉.观查几天(这是我个人的经验.在卸后第三天病毒还会死灰复燃,我想可能是注册表里还有他的隐藏文件.在观查几天后正常就可以卸载掉了.

注:还原精灵和冰点对网吧传奇杀手木马不起做用.(传奇杀手木马不会感染局域网.不要用硬盘对克,对克跟本不起任何做用.而且还会感染到母盘上.切记!)

最好主机安装上网络执法官,这样可以时时监控局域网内的动态,发现木马后可以及时做出对策)
下面是传奇网吧杀手木马的文件:
文件名：文件路径：病毒名：
a.exe>>b.exe c:\windows\system32 Trojan.psw.lmir.jbg
235780.dll c:\windows\ Trojan.psw.lmir.aji
kb2357801.log c:\windows\ Trojan.psw.lmir.jhe
Q98882.log c:\windows\ Trojan.psw.lmir.jhe
kb2357802.log c:\windows\ Trojan.psw.lmir.jbg
Q90979.log c:\windows\ Trojan.psw.lmir.jhe
Q99418.log c:\windows\ Trojan.psw.lmir.jbg
ZT.exe c:\windows\program Files\浩方对战平台病毒名：Trojan.dL.agent.eqv
a[1].exe>>b.exec:\documents and sttings\sicent\local settings\Temporary Internet Files\content.IE5\Q5g5g3uj
病毒名:Trojan.psw.lmir.jbg

(各位朋友.瑞星杀毒软件文件过大邮箱发送不了.请大家下载瑞星个人18.18.20版杀毒软件我现在给大家提供注册码.希望大家原谅.)
SN=P5V6EH-61FHJK-9G0SS7-C4D200
ID=5B3C5BJ4Y125
（网络执法官可以批量MAC捆绑，到执法官的局域网MAC界面，全选后单击右键会出现批量MAC捆绑．做完捆绑以后，ARP要是在次攻击时他会报警，出现的假MAC是为非法．网络执法官会终止他的一切操作．）这样可以解决ARP在次攻击．

ARP攻击与防护完全手册

2008-11-11T18:28:00.002+08:00

最近在论坛上经常看到关于ARP病毒的问题，于是在Google上搜索ARP关键字！结果出来N多关于这类问题的讨论。想再学习ARP下相关知识，所以对目前网络中常见的ARP问题进行了一个总结。现在将其贴出来，希望和大家一起讨论！
一、ARP概念
咱们谈ARP之前，还是先要知道ARP的概念和工作原理，理解了原理知识，才能更好去面对和分析处理问题。
1.1ARP概念知识
ARP，全称Address Resolution Protocol，中文名为地址解析协议，它工作在数据链路层，在本层和硬件接口联系，同时对上层提供服务。
IP 数据包常通过以太网发送，以太网设备并不识别32位IP地址，它们是以48位以太网地址传输以太网数据包。因此，必须把IP目的地址转换成以太网目的地址。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。ARP协议用于将网络中的IP地址解析为的硬件地址（MAC地址），以保证通信的顺利进行。
1.2ARP工作原理
首先，每台主机都会在自己的ARP缓冲区中建立一个 ARP列表，以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时，会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址，如果有﹐就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的 MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP 表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个 ARP响应数据包，告诉对方自己是它需要查找的MAC地址；源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的 ARP列表中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。
例如：
A的地址为：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AA
B的地址为：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB
根据上面的所讲的原理，我们简单说明这个过程：A要和B通讯，A就需要知道B的以太网地址，于是A发送一个ARP请求广播（谁是192.168.10.2 ，请告诉192.168.10.1），当B收到该广播，就检查自己，结果发现和自己的一致，然后就向A发送一个ARP单播应答（192.168.10.2 在BB-BB-BB-BB-BB-BB）。
1.3ARP通讯模式
通讯模式（Pattern Analysis）：在网络分析中，通讯模式的分析是很重要的，不同的协议和不同的应用都会有不同的通讯模式。更有些时候，相同的协议在不同的企业应用中也会出现不同的通讯模式。ARP在正常情况下的通讯模式应该是：请求 -> 应答 -> 请求 -> 应答，也就是应该一问一答。
二、常见ARP攻击类型
个人认为常见的ARP攻击为两种类型：ARP扫描和ARP欺骗。
2.1ARP扫描（ARP请求风暴）
通讯模式（可能）：
请求 -> 请求 -> 请求 -> 请求 -> 请求 -> 请求 -> 应答 -> 请求 -> 请求 -> 请求...
描述：
网络中出现大量ARP请求广播包，几乎都是对网段内的所有主机进行扫描。大量的ARP请求广播可能会占用网络带宽资源；ARP扫描一般为ARP攻击的前奏。
出现原因（可能）：
病毒程序，侦听程序，扫描程序。
如果网络分析软件部署正确，可能是我们只镜像了交换机上的部分端口，所以大量ARP请求是来自与非镜像口连接的其它主机发出的。
如果部署不正确，这些ARP请求广播包是来自和交换机相连的其它主机。
2.2ARP欺骗
ARP 协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。所以在网络中，有人发送一个自己伪造的ARP应答，网络可能就会出现问题。这可能就是协议设计者当初没考虑到的！
2.2.1欺骗原理
假设一个网络环境中，网内有三台主机，分别为主机A、B、C。主机详细信息如下描述：
A的地址为：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AA
B的地址为：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB
C的地址为：IP：192.168.10.3 MAC: CC-CC-CC-CC-CC-CC
正常情况下A和C之间进行通讯，但是此时B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A被欺骗了），这时B就伪装成C了。同时，B同样向C发送一个ARP应答，应答包中发送方IP地址四 192.168.10.1（A的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（A的MAC地址本来应该是AA-AA-AA-AA-AA- AA），当C收到B伪造的ARP应答，也会更新本地ARP缓存（C也被欺骗了），这时B就伪装成了A。这样主机A和C都被主机B欺骗，A和C之间通讯的数据都经过了B。主机B完全可以知道他们之间说的什么：）。这就是典型的ARP欺骗过程。
注意：一般情况下，ARP欺骗的某一方应该是网关。
2.2.2两种情况
ARP欺骗存在两种情况：一种是欺骗主机作为“中间人”，被欺骗主机的数据都经过它中转一次，这样欺骗主机可以窃取到被它欺骗的主机之间的通讯数据；另一种让被欺骗主机直接断网。
◆第一种：窃取数据（嗅探）
通讯模式：
应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 请求 -> 应答 -> 应答 ->请求->应答...
描述：
这种情况就属于我们上面所说的典型的ARP欺骗，欺骗主机向被欺骗主机发送大量伪造的ARP应答包进行欺骗，当通讯双方被欺骗成功后，自己作为了一个“中间人“的身份。此时被欺骗的主机双方还能正常通讯，只不过在通讯过程中被欺骗者“窃听”了。
出现原因（可能）：
木马病毒
嗅探
人为欺骗
◆第二种：导致断网
通讯模式：
应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 请求…
描述：
这类情况就是在ARP欺骗过程中，欺骗者只欺骗了其中一方，如B欺骗了A，但是同时B没有对C进行欺骗，这样A实质上是在和B通讯，所以A就不能和C通讯了，另外一种情况还可能就是欺骗者伪造一个不存在地址进行欺骗。
对于伪造地址进行的欺骗，在排查上比较有难度，这里最好是借用TAP设备（呵呵，这个东东好像有点贵勒），分别捕获单向数据流进行分析！
出现原因（可能）：
木马病毒
人为破坏
一些网管软件的控制功能
三、常用的防护方法
搜索网上，目前对于ARP攻击防护问题出现最多是绑定IP和MAC和使用ARP防护软件，也出现了具有ARP防护功能的路由器。呵呵，我们来了解下这三种方法。
3.1静态绑定
最常用的方法就是做IP和MAC静态绑定，在网内把主机和网关都做IP和MAC绑定。
欺骗是通过ARP的动态实时的规则欺骗内网机器，所以我们把ARP全部设置为静态可以解决对内网PC的欺骗，同时在网关也要进行IP和MAC的静态绑定，这样双向绑定才比较保险。
方法：
对每台主机进行IP和MAC地址静态绑定。
通过命令，arp -s可以实现 “arp –s IP MAC地址 ”。
例如：“arp –s192.168.10.1 AA-AA-AA-AA-AA-AA”。
如果设置成功会在PC上面通过执行arp -a 可以看到相关的提示： Internet Address Physical Address Type
192.168.10.1AA-AA-AA-AA-AA-AA static(静态)
一般不绑定,在动态的情况下：
Internet AddressPhysical AddressType
192.168.10.1 AA-AA-AA-AA-AA-AA dynamic(动态)
说明：对于网络中有很多主机，500台，1000台...，如果我们这样每一台都去做静态绑定，工作量是非常大的。。。。，这种静态绑定，在电脑每次重起后，都必须重新在绑定，虽然也可以做一个批处理文件，但是还是比较麻烦的！
3.2使用ARP防护软件
目前关于ARP类的防护软件出的比较多了，大家使用比较常用的ARP工具主要是欣向ARP工具，Antiarp等。它们除了本身来检测出ARP攻击外，防护的工作原理是一定频率向网络广播正确的ARP信息。我们还是来简单说下这两个小工具。
3.2.1欣向ARP工具
俺使用了该工具，它有5个功能：
A. IP/MAC清单
选择网卡。如果是单网卡不需要设置。如果是多网卡需要设置连接内网的那块网卡。
IP/MAC扫描。这里会扫描目前网络中所有的机器的IP与MAC地址。请在内网运行正常时扫描，因为这个表格将作为对之后ARP的参照。
之后的功能都需要这个表格的支持，如果出现提示无法获取IP或MAC时，就说明这里的表格里面没有相应的数据。
B.ARP欺骗检测
这个功能会一直检测内网是否有PC冒充表格内的IP。你可以把主要的IP设到检测表格里面，例如，路由器，电影服务器，等需要内网机器访问的机器IP。
(补充)“ARP欺骗记录”表如何理解：
“Time”：发现问题时的时间；
“sender”：发送欺骗信息的IP或MAC；
“Repeat”：欺诈信息发送的次数；
“ARP info”：是指发送欺骗信息的具体内容.如下面例子：
timesenderRepeatARP info 22:22:22192.168.1.22 1433192.168.1.1 is at 00:0e:03:22:02:e8
这条信息的意思是：在22:22:22的时间,检测到由192.168.1.22发出的欺骗信息，已经发送了1433次，他发送的欺骗信息的内容是：192.168.1.1的MAC地址是00:0e:03:22:02:e8。
打开检测功能，如果出现针对表内IP的欺骗，会出现提示。可以按照提示查到内网的ARP欺骗的根源。提示一句，任何机器都可以冒充其他机器发送IP与MAC，所以即使提示出某个IP或MAC在发送欺骗信息，也未必是100％的准确。所有请不要以暴力解决某些问题。
C.主动维护
这个功能可以直接解决ARP欺骗的掉线问题，但是并不是理想方法。他的原理就在网络内不停的广播制定的IP的正确的MAC地址。
“ 制定维护对象”的表格里面就是设置需要保护的IP。发包频率就是每秒发送多少个正确的包给网络内所有机器。强烈建议尽量少的广播IP，尽量少的广播频率。一般设置1次就可以，如果没有绑定IP的情况下，出现ARP欺骗，可以设置到50－100次，如果还有掉线可以设置更高，即可以实现快速解决ARP欺骗的问题。但是想真正解决ARP问题，还是请参照上面绑定方法。
D. 欣向路由器日志
收集欣向路由器的系统日志，等功能。
E.抓包
类似于网络分析软件的抓包，保存格式是.cap。
3.2.1Antiarp
这个软件界面比较简单，以下为我收集该软件的使用方法。
A. 填入网关IP地址，点击［获取网关地址］将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。注意：如出现 ARP欺骗提示，这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包，如果您想追踪攻击来源请记住攻击者的MAC地址，利用MAC地址扫描器可以找出 IP 对应的MAC地址.
B.IP地址冲突
如频繁的出现IP地址冲突，这说明攻击者频繁发送ARP欺骗数据包，才会出现IP冲突的警告，利用Anti ARP Sniffer可以防止此类攻击。
C.您需要知道冲突的MAC地址，Windows会记录这些错误。查看具体方法如下：
右击[我的电脑]--[管理]--点击[事件查看器]--点击[系统]--查看来源为[TcpIP]---双击事件可以看到显示地址发生冲突，并记录了该 MAC地址，请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-)，输入完成之后点击[防护地址冲突]，为了使MAC地址生效请禁用本地网卡然后再启用网卡，在CMD命令行中输入Ipconfig /all，查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符，如果更改失败请与我联系。如果成功将不再会显示地址冲突。
注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。
3.3具有ARP防护功能的路由器
这类路由器以前听说的很少，对于这类路由器中提到的ARP防护功能，其实它的原理就是定期的发送自己正确的ARP信息。但是路由器的这种功能对于真正意义上的攻击，是不能解决的。
ARP 的最常见的特征就是掉线，一般情况下不需要处理一定时间内可以回复正常上网，因为ARP欺骗是有老化时间的，过了老化时间就会自动的回复正常。现在大多数路由器都会在很短时间内不停广播自己的正确ARP信息，使受骗的主机回复正常。但是如果出现攻击性ARP欺骗(其实就是时间很短的量很大的欺骗ARP，1 秒有个几百上千的)，它是不断的发起ARP欺骗包来阻止内网机器上网，即使路由器不断广播正确的包也会被他大量的错误信息给淹没。
可能你会有疑问：我们也可以发送比欺骗者更多更快正确的ARP信息啊？如果攻击者每秒发送1000个ARP欺骗包，那我们就每秒发送1500个正确的ARP信息！
面对上面的疑问，我们仔细想想，如果网络拓扑很大，网络中接了很多网络设备和主机，大量的设备都去处理这些广播信息，那网络使用起来好不爽，再说了会影响到我们工作和学习。ARP广播会造成网络资源的浪费和占用。如果该网络出了问题，我们抓包分析，数据包中也会出现很多这类ARP广播包，对分析也会造成一定的影响。

局域网ARP欺骗排查解决报告

2008-11-11T18:28:00.001+08:00

上周四下午，单位网络故障，无法打开网页，关掉防火墙，路由器，重新起动，故障消失，这种事情由来已久，因为网络设计初期问题......
周五出现网络时断时续现象，一本科生告诉我可能是“ARP欺骗”所致，在DOS下，输入：arp -a 发现网关MAC地址与一台IP为192.168.0.9的主机MAC相同，找到该机后，断掉，网络恢复。
本以为事情就这么过去了，然而：
周一上班又出现网络时断时续、网速慢、上不去网……众人纷纷报告，搞得我相当郁闷，情急之下发现重新起动电脑故障就消失了，于是简单要求照做。晚上在家查找了相关资料，知道遇到ARP欺骗这种事情不好搞，并且找到了应急对策：
1、对网关做IP-MAC绑定
2、用MAC扫描器得到网内上网主机的IP-MAC对，记录下来以备后用
周二上班前做了网关地址绑定。一上午至下班前一小时无事，但我知道，这个ARP欺骗主机像幽灵躲在暗处，时刻窥探发动攻击的最佳时刻，不把它揪出来，早晚是个事儿！现在它没有出现，可能是因为故障主机的人没来不在单位，根本没开机！果然，下班前一个小时故障再次出现！然而单位70几台上网主机三个楼层，怎么查？！有人提出一个房间一个房间的断网排查，我否定的这种干扰正常工作秩序的方案，决定重新研究新对策。下载了一个AntiArpSniffer的工具进行监控，晚上回家在不安中睡去……
周三，也就是今天早上到单位，在两台监控的主机上发现如下“欺骗机MAC地址：00-11-**--**-**-2D”（由于此地址为物理网卡地址，具有全球唯一性，故隐去真实值），软件还报告了发生欺骗的时间和大概36次的欺骗次数！但却没有查出IP地址。8点半用MAC扫描器进行全网扫描，却未发现上述MAC地址。　9点15分，有机器报告不能上网，到现场，运行栏输入：arp –d 不用关机重起，可以上网，更确定是ARP病毒所致。10点05分再次用MAC扫描器，突然闪现了IP与MAC地址对应的主机！！！火速联系机主，对方反应这几天上网速度很慢，正想重装系统。告知事发原因，并验明他昨天上午到下班前一小时确实不在单位没有开机的事实，与网络自他归来后变得不稳定现象完全符合！经对方查验其MAC地址确实与扫描出的欺骗主机地址一致！！！事主重新格式化重装系统……
虽然找出了源头并采取的相应措施，但内心始终忐忑，网络安全任重道远啊……
一切尽在观察中……
处理步骤小结：
1、应急处理不能上网的主机，在运行栏里执行命令：arp –d
2、用AntiArpSniffer　3.5　监测网络
3、用MAC扫描器　找出主机IP地址
4、根据IP地址找到电脑，格式化，重装系统。
5、 OVER　
建议：
对整个网络做IP-MAC绑定。

彻底解决局域网ARP攻击

2008-11-11T18:25:00.002+08:00

一般ARP攻击的对治方法
现在最常用的基本对治方法是“ARP双向绑定”。
由于ARP攻击往往不是病毒造成的，而是合法运行的程序（外挂、网页）造成的，所杀毒软件多数时候束手无策。
所谓“双向绑定”，就是再路由器上绑定ARP表的同时，在每台电脑上也绑定一些常用的ARP表项。
“ARP双向绑定”能够防御轻微的、手段不高明的ARP攻击。ARP攻击程序如果没有试图去更改绑定的ARP表项，那么ARP攻击就不会成功；如果攻击手段不剧烈，也欺骗不了路由器，这样我们就能够防住50％ARP攻击。
但是现在ARP攻击的程序往往都是合法运行的，所以能够合法的更改电脑的ARP表项。在现在ARP双向绑定流行起来之后，攻击程序的作者也提高了攻击手段，攻击的方法更综合，另外攻击非常频密，仅仅进行双向绑定已经不能够应付凶狠的ARP攻击了，仍然很容易出现掉线。
于是我们在路由器中加入了“ARP攻击主动防御”的功能。这个功能是在路由器ARP绑定的基础上实现的，原理是：当网内受到错误的ARP广播包攻击时，路由器立即广播正确的ARP包去修正和消除攻击包的影响。这样我们就解决了掉线的问题，但是在最凶悍的ARP攻击发生时，仍然发生了问题----当ARP攻击很频密的时候，就需要路由器发送更频密的正确包去消除影响。虽然不掉线了，但是却出现了上网“卡”的问题。
所以，我们认为，依靠路由器实现“ARP攻击主动防御”，也只能够解决80％的问题。
为了彻底消除ARP攻击，我们在此基础上有增加了“ARP攻击源攻击跟踪”的功能。对于剩下的强悍的ARP攻击，我采用“日志”功能，提供信息方便用户跟踪攻击源，这样用户通过临时切断攻击电脑或者封杀发出攻击的程序，能够解决问题。
彻底解决ARP攻击
事实上，由于路由器是整个局域网的出口，而ARP攻击是以整个局域网为目标，当ARP攻击包已经达到路由器的时候，影响已经照成。所以由路由器来承担防御ARP攻击的任务只是权宜之计，并不能很好的解决问题。
我们要真正消除ARP攻击的隐患，安枕无忧，必须转而对“局域网核心”――交换机下手。由于任何ARP包，都必须经由交换机转发，才能达到被攻击目标，只要交换机据收非法的ARP包，哪么ARP攻击就不能造成任何影响。
我们提出一个真正严密的防止ARP攻击的方案，就是在每台接入交换机上面实现ARP绑定，并且过滤掉所有非法的ARP包。这样可以让ARP攻击足不能出户，在局域网内完全消除了ARP攻击。
因为需要每台交换机都具有ARP绑定和相关的安全功能，这样的方案无疑价格是昂贵的，所以我们提供了一个折衷方案。
经济方案
我们只是中心采用能够大量绑定ARP和进行ARP攻击防御的交换机――Netcore 7324NSW，这款交换机能够做到ARP绑定条目可以达到1000条，因此基本上可以对整网的ARP进行绑定，同时能杜绝任何非法ARP包在主交换机进行传播。
这样如果在强力的ARP攻击下，我们观察到的现象是：ARP攻击只能影响到同一个分支交换机上的电脑，这样可能被攻击到的范围就大大缩小了。当攻击发生时，不可能造成整个网络的问题。
在此基础上，我们再补充“日志”功能和“ARP主动防御”功能，ARP攻击也可以被完美的解决。
ARP攻击最新动态
最近一段时间，各网吧发现的ARP攻击已经升级，又一波ARP攻击的高潮来临。
这次ARP攻击发现的特征有：
1、速度快、效率高，大概在10－20秒的时间内，能够造成300台规模的电脑掉线。
2、不易发现。在攻击完成后，立即停止攻击并更正ARP信息。如果网内没有日志功能，再去通过ARP命令观察，已经很难发现攻击痕迹。
3、能够破解最新的XP和2000的ARP补丁，微软提供的补丁很明显在这次攻击很脆弱，没有作用。
4、介质变化，这次攻击的来源来自私服程序本身（不是外挂）和P2P程序。

局域网arp地址欺骗解决办法

2008-11-11T18:25:00.001+08:00

【故障原因】
局域网内有人使用ARP欺骗的木马程序（比如：魔兽世界，天堂，劲舞团等盗号的软件，某些外挂中也被恶意加载了此程序）。
【故障原理】
要了解故障原理，我们先来了解一下ARP协议。
在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。
ARP 协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。
每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下所示。
主机 IP地址 MAC地址

A 192.168.16.1 aa-aa-aa-aa-aa-aa
B 192.168.16.2 bb-bb-bb-bb-bb-bb
C 192.168.16.3 cc-cc-cc-cc-cc-cc
D 192.168.16.4 dd-dd-dd-dd-dd-dd

我们以主机A（192.168.16.1）向主机B（192.168.16.2）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是 “FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.16.2的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.16.2的MAC地址是bb-bb-bb-bb-bb- bb”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从 ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。
从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗，A去 Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候，把C的MAC地址骗为DD-DD-DD-DD-DD- DD，于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么，嗅探成功。
A对这个变化一点都没有意识到，但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。
做“man in the middle”，进行ARP重定向。打开D的IP转发功能，A发送过来的数据包，转发给C，好比一个路由器一样。不过，假如D发送ICMP重定向的话就中断了整个计划。
D 直接进行整个包的修改转发，捕获到A发送给C的数据包，全部进行修改后再转发给C，而C接收到的数据包完全认为是从A发送来的。不过，C发送的数据包又直接传递给A，倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了，对于A和C之间的通讯就可以了如指掌了。
【故障现象】
当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。
切换到病毒主机上网后，如果用户已经登陆了服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录服务器，这样病毒主机就可以盗号了。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。
【HiPER用户快速发现ARP欺骗木马】
在路由器的“系统历史记录”中看到大量如下的信息（440以后的路由器软件版本中才有此提示）：

MAC Chged 10.128.103.124
MAC Old 00:01:6c:36:d1:7f
MAC New 00:05:5d:60:c7:18

这个消息代表了用户的MAC地址发生了变化，在ARP欺骗木马开始运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址（即所有信息的MAC New地址都一致为病毒主机的MAC地址），同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。
如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致，则说明局域网内曾经出现过ARP欺骗（ARP欺骗的木马程序停止运行时，主机在路由器上恢复其真实的MAC地址）。
【在局域网内查找病毒主机】
在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址，那么我们就可以使用NBTSCAN工具来快速查找它。
NBTSCAN可以取到PC的真实IP地址和MAC地址，如果有”ARP攻击”在做怪，可以找到装有ARP攻击的PC的IP/和MAC地址。
命令：“nbtscan -r 192.168.16.0/24”（搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段，即192.168.16.25-192.168.16.137。输出结果第一列是IP地址，最后一列是MAC地址。
NBTSCAN的使用范例：
假设查找一台MAC地址为“000d870d585f”的病毒主机。
1）将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。
2）在Windows开始—运行—打开，输入cmd（windows98输入“command”），在出现的DOS窗口中输入：C: btscan -r 192.168.16.1/24（这里需要根据用户实际网段输入），回车。
3）通过查询IP--MAC对应表，查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。
【解决思路】
1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上，（rarp同样存在欺骗的问题），理想的关系应该建立在IP+MAC基础上。
2、设置静态的MAC-->IP对应表，不要让主机刷新你设定好的转换表。
3、除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。
4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
5、使用"proxy"代理IP的传输。
6、使用硬件屏蔽主机。设置好你的路由，确保IP地址能到达合法的路径。（静态配置路由ARP条目），注意，使用交换集线器和网桥无法阻止ARP欺骗。
7、管理员定期用响应的IP包中获得一个rarp请求，然后检查ARP响应的真实性。
8、管理员定期轮询，检查主机上的ARP缓存。
9、使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丢失。
【HiPER用户的解决方案】
建议用户采用双向绑定的方法解决并且防止ARP欺骗。
1、在PC上绑定路由器的IP和MAC地址：
1）首先，获得路由器的内网的MAC地址（例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa）。
2）编写一个批处理文件rarp.bat内容如下：

@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa

将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。
将这个批处理软件拖到“windows--开始--程序--启动”中。
3）如果是网吧，可以利用收费软件服务端程序（pubwin或者万象都可以）发送批处理文件rarp.bat到所有客户机的启动目录。Windows2000 的默认启动目录为“C:\Documents and SettingsAll Users「开始」菜单程序启动”。
2、在路由器上绑定用户主机的IP和MAC地址（440以后的路由器软件版本支持）：
在HiPER管理界面--高级配置--用户管理中将局域网每台主机均作绑定。

局域网受到ARP欺骗攻击的解决办法

2008-11-11T18:24:00.000+08:00

【故障现象】当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和安全网关，让所有上网的流量必须经过病毒主机。其他用户原来直接通过安全网关上网现在转由通过病毒主机上网，切换的时候用户会断一次线。

切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。

由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从安全网关上网，切换过程中用户会再断一次线。

【快速查找】在WebUIà系统状态à系统信息à系统历史记录中，看到大量如下的信息:

MAC SPOOF 192.168.16.200

MAC Old 00:01:6c:36:d1:7f

MAC New 00:05:5d:60:c7:18

这个消息代表了用户的MAC地址发生了变化，在ARP欺骗木马开始运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址)。

同时在安全网关的WebUIà高级配置à用户管理à读ARP表中看到所有用户的MAC地址信息都一样，或者在WebUIà系统状态à用户统计中看到所有用户的MAC地址信息都一样。

如果是在WebUIà系统状态à系统信息à系统历史记录中看到大量MAC Old地址都一致，则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时，主机在安全网关上恢复其真实的MAC地址)。

在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址，那么我们就可以使用NBTSCAN(下载地址:http://www.utt.com.cn/upload/nbtscan.rar)工具来快速查找它。

NBTSCAN可以取到PC的真实IP地址和MAC地址，如果有”传奇木马”在做怪，可以找到装有木马的PC的IP/和MAC地址。

命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段，即192.168.16.25-192.168.16.137。输出结果第一列是IP地址，最后一列是MAC地址。

NBTSCAN的使用范例:

假设查找一台MAC地址为“000d870d585f”的病毒主机。

1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:\下。

2)在Windows开始à运行à打开，输入cmd(windows98输入“command”)，在出现的DOS窗口中输入:C:\nbtscan -r 192.168.16.1/24(这里需要根据用户实际网段输入)，回车。

3)通过查询IP--MAC对应表，查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。

【解决办法】

采用双向绑定的方法解决并且防止ARP欺骗。

1、在PC上绑定安全网关的IP和MAC地址：

1）首先，获得安全网关的内网的MAC地址（例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa）。

2）编写一个批处理文件rarp.bat内容如下：

@echo off

arp -d

arp -s 192.168.16.254 00-22-aa-00-22-aa

将文件中的网关IP地址和MAC地址更改为实际使用的网关IP地址和MAC地址即可。

将这个批处理软件拖到“windowsà开始à程序à启动”中。

3）如果是网吧，可以利用收费软件服务端程序（pubwin或者万象都可以）发送批处理文件rarp.bat到所有客户机的启动目录。 Windows2000的默认启动目录为“C:\Documents and Settings\All Users「开始」菜单程序启动”。

2、在安全网关上绑定用户主机的IP和MAC地址：

在WebUIà高级配置à用户管理中将局域网每台主机均作绑定。

局域网ARP欺骗的应对

2008-11-11T18:23:00.000+08:00

一、故障现象及原因分析
情况一、当局域网内某台主机感染了ARP病毒时，会向本局域网内（指某一网段，比如：10.10.75.0这一段）所有主机发送ARP欺骗攻击谎称自己是这个网端的网关设备，让原本流向网关的流量改道流向病毒主机，造成受害者正常上网。
情况二、局域网内有某些用户使用了ARP欺骗程序（如：网络执法官,QQ盗号软件等）发送ARP欺骗数据包，致使被攻击的电脑出现突然不能上网，过一段时间又能上网，反复掉线的现象。
关于APR欺骗的具体原理请看我收集的资料ARP欺骗的原理
二、故障诊断
如果用户发现以上疑似情况，可以通过如下操作进行诊断：
点击“开始”按钮->选择“运行”->输入“arp–d”->点击“确定”按钮，然后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。
注：arp-d命令用于清除并重建本机arp表。arp–d命令并不能抵御ARP欺骗，执行后仍有可能再次遭受ARP攻击。
三、故障处理
1、中毒者：建议使用趋势科技SysClean工具或其他杀毒软件清除病毒。
2、被害者：(1)绑定网关mac地址。具体方法如下：
1）首先，获得路由器的内网的MAC地址（例如网关地址10.10.75.254的MAC地址为0022aa0022aa）。2）编写一个批处理文件AntiArp.bat内容如下：

@echooffarp-darp-s10.10.75.25400-22-aa-00-22-aa

将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可，计算机重新启动后需要重新进行绑定，因此我们可以将该批处理文件AntiArp.bat文件拖到“windows--开始--程序--启动”中。这样开机时这个批处理就被执行了。
(2)使用ARP防火墙(例如AntiArp)软件抵御ARP攻击。
AntiArp软件会在提示框内出现病毒主机的MAC地址
四，找出ARP病毒源
第一招：使用Sniffer抓包
在网络内任意一台主机上运行抓包软件，捕获所有到达本机的数据包。如果发现有某个IP不断发送
ARP 　Request请求包，那么这台电脑一般就是病毒源。原理：无论何种ARP病毒变种，行为方式有两种，一是欺骗网关，二是欺骗网内的所有主机。最终的结果是，在网关的ARP缓存表中，网内所有活动主机的MAC地址均为中毒主机的MAC地址；网内所有主机的ARP缓存表中，网关的MAC地址也成为中毒主机的MAC地址。前者保证了从网关到网内主机的数据包被发到中毒主机，后者相反，使得主机发往网关的数据包均发送到中毒主机。
第二招：使用arp- a命令任意选两台不能上网的主机，在DOS命令窗口下运行arp-a命令。例如在结果中，两台电脑除了网关的IP，MAC地址对应项，都包含了 192.168.0.186的这个IP，则可以断定192.168.0.186这台主机就是病毒源。原理：一般情况下，网内的主机只和网关通信。正常情况下，一台主机的ARP缓存中应该只有网关的MAC地址。如果有其他主机的MAC地址，说明本地主机和这台主机最后有过数据通信发生。如果某台主机（例如上面的192.168.0.186）既不是网关也不是服务器，但和网内的其他主机都有通信活动，且此时又是ARP病毒发作时期，那么，病毒源也就是它了。
第三招：使用tracert命令在任意一台受影响的主机上，在DOS命令窗口下运行如下命令：tracert61.135.179.148。假定设置的缺省网关为10.8.6.1，在跟踪一个外网地址时，第一跳却是10.8.6.186，那么，10.8.6.186就是病毒源。原理：中毒主机在受影响主机和网关之间，扮演了“中间人”的角色。所有本应该到达网关的数据包，由于错误的MAC地址，均被发到了中毒主机。此时，中毒主机越俎代庖，起了缺省网关的作用。

黑客技术-ARP欺骗

2008-11-11T18:21:00.001+08:00

本来不打算写这接下的一系列讨论欺骗的文章（计划中有arp欺骗、icmp欺骗、路由rip欺骗、ip地址欺骗等），这主要是自己有些担心有些人会给网管增加日常工作量，但是想想还是写的好，因为通常在你猛打完补丁后，你可能觉得你的系统安全了，但是，实际上，打补丁只是安全措施里的一个很基本的步骤而已，通常一个hacker要进入你的系统，他所要做的并不是你打补丁就可以避免的，象这些欺骗都要求你必须掌握相当的网络底层知识和合理安排物理布线才可阻止得了的。特别是多种手法混用的时候，特别要说明的是：有些人往往以为会使用某些工具入侵就觉得自己是个hacker，呵呵。。其实，我认为这只是入门而已（有些是连门都找不到），通过本文，我想让人们知道，一个hacker在真正入侵系统时，他并不是依靠别人写的什么软件的。更多是靠对系统和网络的深入了解来达到这个目的。

我想我会尽可能将我知道的写出来，同时也将尽可能把防止欺骗的解决办法写出来，当然，这只是我知道的而已，如果有失误的地方，欢迎指正。呵呵。。
首先还是得说一下什么是ARP，如果你在UNIXShell下输入arp-a(9x下也是），你的输出看起来应该是这样的：

Interface:xxx.xxx.xxx.xxx

InternetAddressPhysicalAddressType
xxx.xxx.xxx.xxx00-00-93-64-48-d2dynamic
xxx.xxx.xxx.xxx00-00-b4-52-43-10dynamic
...................

这里第一列显示的是ip地址，第二列显示的是和ip地址对应的网络接口卡的硬件地址（MAC），第三列是该ip和mac的对应关系类型。

可见，arp是一种将ip转化成以ip对应的网卡的物理地址的一种协议，或者说ARP协议是一种将ip地址转化成MAC地址的一种协议，它靠维持在内存中保存的一张表来使ip得以在网络上被目标机器应答。

为什么要将ip转化成mac呢？呵呵。。解释下去太多了，简单的说，这是因为在tcp网络环境下，一个ip包走到哪里，要怎么走是靠路由表定义，但是，当ip 包到达该网络后，哪台机器响应这个ip包却是靠该ip包中所包含的mac地址来识别，也就是说，只有mac地址和该ip包中的mac地址相同的机器才会应答这个ip包（好象很多余，呵呵。。），因为在网络中，每一台主机都会有发送ip包的时候，所以，在每台主机的内存中，都有一个arp-->mac 的转换表。通常是动态的转换表（注意在路由中，该arp表可以被设置成静态）。也就是说，该对应表会被主机在需要的时候刷新。这捎谝姨谧油闵系拇涫强?8位的mac地址而决定的。

通常主机在发送一个ip包之前，它要到该转换表中寻找和ip包对应的mac地址，如果没有找到，该主机就发送一个ARP广播包，看起来象这样子：

“我是主机xxx.xxx.xxx.xxx,mac是xxxxxxxxxxx,ip为xxx.xxx.xxx.xx1的主机请报上你的mac来”

ip为xxx.xxx.xxx.xx1的主机响应这个广播，应答ARP广播为：

“我是xxx.xxx.xxx.xx1,我的mac为xxxxxxxxxx2”

于是，主机刷新自己的ARP缓存。然后发出该ip包。

了解这些常识后，现在就可以谈在网络中如何实现ARP欺骗了，可以看看这样
一个例子：

一个入侵者想非法进入某台主机，他知道这台主机的火墙只对192.0.0.3(假设)这个ip开放23口(telnet),而他必须要使用telnet来进入这台主机，所以他要这么做：
1、他先研究192.0.0.3这台主机，发现这台95的机器使用一个oob就可以让他死掉。
2、于是，他送一个洪水包给192.0.0.3的139口，于是，该机器应包而死。
3、这时，主机发到192.0.0.3的ip包将无法被机器应答，系统开始更新自己的arp对应表。将192.0.0.3的项目搽去。
4、这段时间里，入侵者把自己的ip改成192.0.0.3
5、他发一个ping(icmp0)给主机，要求主机更新主机的arp转换表。
6、主机找到该ip，然后在arp表中加如新的ip--$#@62;mac对应关系。
7、火墙失效了，入侵的ip变成合法的mac地址，可以telnet了。

(好象很罗嗦，呵呵。。不过这是很典型的例子)

现在，假如该主机不只提供telnet,它还提供r命令（rsh,rcopy,rlogin等）那么，所有的安全约定将无效，入侵者可以放心的使用这台主机的资源而不用担心被记录什么。

有人也许会说，这其实就是冒用ip嘛。。呵呵。。不错，是冒用了ip,但决不是ip欺骗，ip欺骗的原理比这要复杂的多，实现的机理也完全不一样。

上面就是一个ARP的欺骗过程，这是在同网段发生的情况，但是，提醒注意的是，利用交换集线器或网桥是无法阻止ARP欺骗的，只有路由分段是有效的阻止手段。（也就是ip包必须经过路由转发。在有路由转发的情况下，ARP欺骗如配合ICMP欺骗将对网络造成极大的危害，从某种角度将，入侵者可以跨过路由监听网络中任何两点的通讯,如果有装火墙，请注意火墙有没有提示过类似：某某IP是局域IP但从某某路由来等这样的信息。详细实施以后会讨论到。）

在有路由转发的情况下，发送到达路由的ip的主机其arp对应表中，ip的对应值是路由的mac。
比如:
我pingwww.nease.net后，那么在我主机中，www.nease.net的IP对应项不是nease的mac而是我路由的mac。其ip也是我路由的IP.(有些网络软件通过交换路由ARP可以得到远程IP的MAC)

有兴趣做深入一步的朋友可以考虑这样一种情况：

假设这个入侵者很不幸的从化学食堂出来后摔了一跤，突然想到：我要经过一个路由才可以走到那台有火墙的主机！！！^^^^

于是这个不幸的入侵者开始坐下来痛苦的思考：

1、我的机器可以进入那个网段，但是，不是用192.0.0.3的IP
2、如果我用那个IP，就算那台正版192.0.0.3的机器死了，那个网络里的机器也不会把ip包丢到路由传给我。
3、所以，我要骗主机把ip包丢到路由。

通过多种欺骗手法可以达到这个目的。所以他开始这样做：

1、为了使自己发出的非法ip包能在网络上活久一点，他开始修改ttl为下面的过程中可能带来的问题做准备。他把ttl改成255.(ttl定义一个ip包如果在网络上到不了主机后，在网络上能存活的时间，改长一点在本例中有利于做充足的广播)
2、他从贴身口袋中掏出一张软盘，这张有体温的软盘中有他以前用sniffer时保存的各种ip包类型。3、他用一个合法的ip进入网络，然后和上面一样，发个洪水包让正版的 192.0.0.3死掉，然后他用192.0.0.3进入网络。
4、在该网络的主机找不到原来的192.0.0.3的mac后，将更新自己的ARP对应表。于是他赶紧修改软盘中的有关ARP广播包的数据，然后对网络广播说“能响应 ip为192.0.0.3的mac是我”。
5、好了，现在每台主机都知道了，一个新的MAC地址对应ip192.0.0.3,一个ARP欺骗完成了，但是，每台主机都只会在局域网中找这个地址而根本就不会把发送给192.0.0.3的ip包丢给路由。于是他还得构造一个ICMP的重定向广播。
6、他开始再修改软盘中的有关ICMP广播包的数据，然后发送这个包，告诉网络中的主机：“到192.0.0.3的路由最短路径不是局域网，而是路由，请主机重定向你们的路由路径，把所有到192.0.0.3的ip包丢给路由哦。”
7、主机接受这个合理的ICMP重定向，于是修改自己的路由路径，把对192.0.0.3的ip通讯都丢给路由器。
8、不幸的入侵者终于可以在路由外收到来自路由内的主机的ip包了，他可以开始telnet到主机的23口，用ip192.0.0.3.9、这个入侵者一把冲出芙蓉一（229），对着楼下来往的女生喊到：“一二一。。

呵呵。。他完成了。
注意，这只是一个典型的例子，在实际操作中要考虑的问题还不只这些。

现在想想，如果他要用的是sniffer会怎样？

假如这个入侵者实在是倒霉（因为喊“一二一。。”而被女生痛殴），当他从地上爬起来后突然发现：其实我要经过好几个路由才可以到那台主机啊。。。。。这时他要怎么做？

呵呵。。。有兴趣做更深入了解的朋友可以自己构思。通常入侵者是这样做的：
1、苦思冥想六天六夜。。。。。
.
.
.
N、一把冲出芙蓉一（229），狂叫一声，一头栽向水泥马路。

可见，利用ARP欺骗，一个入侵者可以得到：
1、利用基于ip的安全性不足，冒用一个合法ip来进入主机。
2、逃过基于ip的许多程序的安全检查，如NSF,R系列命令等。

甚至可以得到：

栽账嫁祸给某人，让他跳到黄河洗不清，永世不得超生。

那么，如何防止ARP欺骗呢？从我收集整理的资料中，我找出这几条：（欢迎补充）

1、不要把你的网络安全信任关系建立在ip基础上或mac基础上，（rarp同样存在欺骗的问题），理想的关系应该建立在ip+mac基础上。
2、设置静态的mac-->ip对应表，不要让主机刷新你设定好的转换表。
3、除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。
4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
5、使用"proxy"代理ip的传输。
6、使用硬件屏蔽主机。设置好你的路由，确保ip地址能到达合法的路径。（静态配置路由ARP条目），注意，使用交换集线器和网桥无法阻止ARP欺骗。
7、管理员定期用响应的ip包中获得一个rarp请求，然后检查ARP响应的真实性。
8、管理员定期轮询，检查主机上的ARP缓存。
9、使用火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丢失。

以下是我收集的资料，供做进一步了解ARP协议和掌握下次会说到的snifferonarpspoofing

ARP的缓存记录格式：
每一行为：

IFIndex:PhysicalAddress:IPAddress:Type

其中：IFIndex为：
1乙太网
2实验乙太网
3X.25
4ProteonProNET(TokenRing)
5混杂方式
6IEEE802.X
7ARC网

ARP广播申请和应答结构

硬件类型：协议类型：协议地址长：硬件地址长：操作码：发送机硬件地址：发送机IP地址：接受机硬件地址：接受机IP地址。

其中：协议类型为：512XEROXPUP

513PUP地址转换
1536XEROXNSIDP
2048Internet协议(IP)
2049X.752050NBS
2051ECMA
2053X.25第3层
2054ARP
2055XNS
4096伯克利追踪者
21000BBSSimnet
24577DECMOP转储/装载
24578DECMOP远程控制台
24579DEC网IV段
24580DECLAT
24582DEC
32773HP探示器
32821RARP
32823AppleTalk
32824DEC局域网桥

如果你用过NetXRay,那么这些可以帮助你了解在细节上的ARP欺骗如何配合ICMP欺骗而让一个某种类型的广播包流入一个网络。

反击ARP欺骗讲述我和网络执法官的战斗

2008-11-11T18:17:00.001+08:00

作为一名校园网管理员，笔者近期接二连三地接到用户不能正常上网的举报，使得我们焦头烂额。经过进一步调查，终于发现了故障的真相。

首先说明一下我校的网络拓扑结构：在一台三层主交换机上划分了VLAN，VLAN1使用普通的二层交换机，连接学生宿舍的网络。使用 192.168.0.0作为网络地址，并在主交换机上做了MAC地址与IP地址的绑定，避免学生自行修改IP地址造成地址冲突。学生的计算机全部连接到普通的二层交换机上。

一、故障现象

某台计算机会突然不能连接到服务器或其他客户机，重启后恢复正常，短时间后，又出现该状况。查看本地连接状态发现只有发出的数据包而没有返回的数据包。根据以往的经验，该症状与MAC地址绑定错误相同，于是在交换机上查看，发现一切正常，只是该IP地址没有数据流量。同时，在网络中的网管软件监听到大量未知MAC地址的数据包出现。

二、故障分析

综合考虑，我们认为有伪造MAC地址的情况出现。我们重点查找Windows系统下的嗅探软件，并以著名的Winpcap和Libpcap为重点，最终的焦点定位在一款叫做“网络执法官”的软件上。

我们立即下载该软件进行安装，发现其基于Winpcap。因为Winpcap的资料相对较多，我们没有试图对该软件进行反编译，而只对其基本功能进行了测试，发现其工作方式有三种，并进行了基本测试：

1．生成IP地址冲突

在该模式下，软件产生一个虚拟的MAC地址，并利用这个MAC地址伪造和被攻击机器的IP地址相同的数据包，从而使被攻击机器不断出现IP地址冲突对话框，但由于该MAC地址是伪造的，所以被攻击机器无法发现是哪个机器进行了攻击。

2．断开被攻击机器与网关的联系

在该模式下，软件对被攻击机和网关机都产生一个ARP的“欺骗”，使得两者不能正确获知对方的MAC地址，从而不能正常通讯。但被攻击机器和局域网内其他主机可以进行通讯。

3．断开被攻击机器与所有其他主机的联系

在该模式下，软件对被攻击机器和局域网内所有主机（包括网关）都进行“ARP欺骗”，被攻击机器不能和任何机器通讯。但本主机不能和被攻击机断开联系（该软件不会欺骗本身主机），所以如果该软件如果安装在网关机上，就失去了网络管理功能。

明显的，这是一种“ARP欺骗”的攻击。而ARP协议位于TCP/IP协议中的网络层，主要功能是将广域网的IP地址寻址转换成局域网中的MAC地址寻址。所以，如果我们破坏了IP/MAC地址的转换，被攻击的主机就不能在局域网中进行通讯了（因为没有其他主机“认识”它了）。

三、故障解决

那么，我们能不能避免ARP“欺骗”攻击呢？很遗憾的是：鉴于ARP协议的“自治”性，除非全部使用静态ARP，否则是不能的。

用什么办法对抗网络执法官呢？我们从查、躲、杀三个角度进行了试验。

1．如何得知自己是否受到“ARP欺骗”的攻击呢？

您可以检测自己的网卡工作状态，如果只发数据而不能接收到数据的话，很可能就受到了攻击。您也可以在命令行状态下使用ARP-A命令，来查看本机的 ARP缓存状态，正常情况下除了网关外不会有太多的记录，您需要查看网关的MAC地址是否和正常的一样。如果不同，那么或者网关换了网卡，或者您受到了 “ARP欺骗”的攻击。

同样，如果没有记录或者有过多的ARP记录，您也可能受到了攻击（不同版本的网络执法官的攻击方式有所不同）。

2．如何在局域网中查找该主机

因为该软件是基于Winpcap驱动的，其工作起来必然需要将该主机网卡工作于“混杂”模式下，原理类似于常见的嗅探软件，所以，反嗅探的软件可以对其进行查找。经常使用的有Antisniffer、ARPkiller等。利用反嗅探软件查找局域网内处于“混杂”模式的网卡，基本可以确定进行攻击的主机的IP地址。

注：被查找到的主机也可能没有使用“ARP欺骗”，而只进行了窃听。但总之处于“混杂”状态的主机肯定是不正常的。

同样的，您还可以安装网络执法官的检测版本来检测本网中运行该软件的主机。

3．躲过“ARP欺骗”的攻击

如果您的网络里没有在网关绑定MAC地址和IP地址的话，您可以针对被攻击的类型不同选择不同的方式躲避攻击：

（1）产生IP地址冲突的攻击

如果产生地址冲突，您可以看见类似“系统检测到IP地址和硬件地址00-50-FC-1F-4C-9E发生冲突”的对话框。您可以将您的MAC地址设置为该硬件地址，就可以避免再次出现该对话框。

（2）断开被攻击机器与网关的联系和断开被攻击机器与所有其他主机的联系的攻击

您可以自行修改MAC地址，修改后，可以在短时间内避开被攻击，但是如果攻击者在网络执法官中设置了“发现用户上网即进行管理”后，不久会再次受到攻击。

总之，利用修改MAC地址来躲避并不是有效的办法。况且很多局域网中还进行的MAC地址和IP地址的绑定，就算避过了网络执法官的攻击，也同样不能正常上网。

4．“杀”实际上是一种“对攻”

因为ARP缓存具有一定的生命周期，所以网络执法官会在几秒内产生一个新的ARP数据包。首先我们可以利用静态ARP在本机注册网关正确的MAC地址，然后利用ARPkiller等软件不停地向网络中发布本机的正确IP和MAC数据，使得网关的ARP缓存中始终保持有关本机的正确数据，这样就可以保持和网关的通讯，也就可以正常上网了。甚至，我们同样可以发动“反击”，使得对方“掉网”。

巧论ARP攻击防制方法之虚虚实实

2008-11-11T18:15:00.001+08:00

ARP欺骗/攻击反复袭击，是近来网络行业普遍了解的现象，随着ARP攻击的不断升级，不同的解决方案在市场上流传。但是笔者最近发现，有一些方案，从短期看来似乎有效，实际上对于真正的ARP攻击发挥不了作用，也降低局域网工作效率。Qno侠诺的技术服务人员接到很多用户反应说有些ARP防制方法很容易操作和实施，但经过实际深入了解后，发现长期效果都不大。

对于ARP攻击防制，Qno侠诺技术服务人员的建议，最好的方法是先踏踏实实把基本防制工作做好，才是根本解决的方法。由于市场上的解决方式众多，我们无法一一加以说明优劣，因此本文解释了ARP攻击防制的基本思想。我们认为读者如果能了解这个基本思想，就能自行判断何种防制方式有效，也能了解为何双向绑定是一个较全面又持久的解决方式。

一、不坚定的ARP协议一般计算机中的原始的ARP协议，很像一个思想不坚定，容易被其它人影响的人，ARP欺骗/攻击就是利用这个特性，误导计算机作出错误的行为。ARP攻击的原理，互联网上很容易找到，这里不再覆述。原始的ARP协议运作，会附在局域网接收的广播包或是ARP询问包，无条件覆盖本机缓存中的ARP/MAC对照表。这个特性好比一个意志不坚定的人，听了每一个人和他说话都信以为真，并立刻以最新听到的信息作决定。

就像一个没有计划的快递员，想要送信给“张三”，只在马路上问“张三住那儿？”，并投递给最近和他说“我就是！”或“张三住那间！”，来决定如何投递一样。在一个人人诚实的地方，快递员的工作还是能切实地进行；但若是旁人看快递物品值钱，想要欺骗取得的话，快递员这种工作方式就会带来混乱了。

我们再回来看ARP攻击和这个意志不坚定快递员的关系。常见ARP攻击对象有两种，一是网络网关，也就是路由器，二是局域网上的计算机，也就是一般用户。攻击网络网关就好比发送错误的地址信息给快递员，让快递员整个工作大乱，所有信件无法正常送达；而攻击一般计算机就是直接和一般人谎称自己就是快递员，让一般用户把需要传送物品传送给发动攻击的计算机。

由于一般的计算机及路由器的ARP协议的意志都不坚定，因此只要有恶意计算机在局域网持续发出错误的ARP讯息，就会让计算机及路由器信以为真，作出错误的传送网络包动作。一般的ARP就是以这样的方式，造成网络运作不正常，达到盗取用户密码或破坏网络运作的目的。针对ARP攻击的防制，常见的方法，可以分为以下三种作法：

1、利用ARP echo传送正确的ARP讯息：通过频繁地提醒正确的ARP对照表，来达到防制的效果。
2、利用绑定方式，固定ARP对照表不受外来影响：通过固定正确的ARP对照表，来达到防制的效果。
3、舍弃ARP协议，采用其它寻址协议：不采用ARP作为传送的机制，而另行使用其它协议例如PPPoE方式传送。

以上三种方法中，前两种方法较为常见，第三种方法由于变动较大，适用于技术能力较佳的应用。下面针对前两种方法加以说明。

PK 赛之“ARP echo”
ARP echo是最早开发出来的ARP攻击解决方案，但随着ARP攻击的发展，渐渐失去它的效果。现在，这个方法不但面对攻击没有防制效果，还会降低局域网运作的效能，但是很多用户仍然以这个方法来进行防制。以前面介绍的思想不坚定的快递员的例子来说，ARP echo的作法，等于是时时用电话提醒快递员正确的发送对象及地址，减低他被邻近的各种信息干扰的情况。

但是这种作法，明显有几个问题：第一，即使时时提醒，但由于快递员意志不坚定，仍会有部份的信件因为要发出时刚好收到错误的信息，以错误的方式送出去；这种情况如果是错误的信息频率特高，例如有一个人时时在快递员身边连续提供信息，即使打电话提醒也立刻被覆盖，效果就不好；第二，由于必须时时提醒，而且为了保证提醒的效果好，还要加大提醒的间隔时间，以防止被覆盖，就好比快递员一直忙于接听总部打来的电话，根本就没有时间可以发送信件，耽误了正事；第三，还要专门指派一位人时时打电话给快递员提醒，等于要多派一个人手负责，而且持续地提醒，这个人的工作也很繁重。

第二页

以ARP echo方式对应ARP攻击，也会发生相似的情况。第一，面对高频率的新式ARP攻击，ARP echo发挥不了效果，掉线断网的情况仍旧会发生。ARP echo的方式防制的对早期以盗宝为目的的攻击软件有效果，但碰到最近以攻击为手段的攻击软件则公认是没有效果的。第二，ARP echo手段必须在局域网上持续发出广播网络包，占用局域网带宽，使得局域网工作的能力降低，整个局域网的计算机及交换机时时都在处理ARP echo广播包，还没受到攻击局域网就开始卡了。第三，必须在局域网有一台负责负责发ARP echo广播包的设备，不管是路由器、服务器或是计算机，由于发包是以一秒数以百计的方式来发送，对该设备都是很大的负担。

图一：ARP攻击防制方法之“ARP echo”图示说明

常见的ARP echo处理手法有两种，一种是由路由器持续发送，另一则是在计算机或服务器安装软件发送。路由器持续发送的缺点是路由器原本的工作就很忙，因此无法发送高频率的广播包，被覆盖掉的机会很大，因此面对新型的ARP攻击防制效果小。因此，有些解决方法，就是拿ARP攻击的软件来用，只是持续发出正确的网关、服务器对照表，安装在服务器或是计算机上，由于服务器或是计算机运算能力较强，可以同一时间内发出更多广播包，效果较大，但是这种作法一则大幅影响局域网工作，因为整个局域网都被广播包占据，另则攻击软件通常会设定更高频率的广播包，误导局域网计算机，效果仍然有限。

此外，ARP echo一般是发送网关及私服的对照信息，对于防止局域网计算机被骗有效果，对于路由器没有效果，仍需作绑定的动作才可。

第三页

PK赛之“ARP绑定”
ARP echo的作法是不断提醒计算机正确的ARP对照表，ARP绑定则是针对ARP协议“思想不坚定“的基本问题来加以解决。Qno侠诺技术服务人员认为，ARP绑定的作法，等于是从基本上给这个快递员培训，让他把正确的人名及地址记下来，再也不受其它人的信息干扰。由于快递员脑中记住了这个对照表，因此完全不会受到有心人士的干扰，能有效地完成工作。在这种情况下，无论如何都可以防止因受到攻击而掉线的情况发生。

但是ARP绑定并不是万灵药，还需要作的好才有完全的效果。第一，即使这个快递员思想正确，不受影响，但是攻击者的网络包还是会小幅影响局域网部份运作，网管必须通过网络监控或扫瞄的方法，找出攻击者加以去除；第二，必须作双向绑定才有完全的效果，只作路由器端绑定效果有限，一般计算机仍会被欺骗，而发生掉包或掉线的情况。

双向绑定的解决方法，最为网管不喜欢的就是必须一台一台加以绑定，增加工作量。但是从以上的说明可知道，只有双向绑定才能有效果地解决ARP攻击的问题，而不会发生防制效果不佳、局域网效率受影响、影响路由器效能或影响服务器效能的缺点。也就是说双向绑定是个硬工夫，可以较全面性地解决现在及未来 ARP攻击的问题，网管为了一时的省事，而采取片面的ARP echo解决方式，未来还是要回来解决这个问题。

图二：ARP攻击防制方法之侠诺“ARP双向绑定”图示说明

另外，对于有自动通过局域网安装软件的网络，例如网吧的收费系统、无盘系统，都可以透过自动的批次档，自动在开机时完成绑定的工作，网管只要撰写一个统一的批次文件程序即可，不必一一配置。这些信息可以很容易地在互联网上通过搜索找到或者是向Qno侠诺的技术服务人员索取即可。

二、现阶段较佳解决方案——双向绑定以上以思想不坚定的快递员情况，说明了常见的ARP攻击防制方法。ARP攻击利用的就是ARP协议的意志不坚，只有以培训的方式让ARP协议的意志坚定，明白正确的工作方法，才能从根本解决问题。只是依赖频繁的提醒快递员正确的作事方法，但是没有能从快递员意志不坚的特点着手，就好像只管不教，最终大家都很累，但是效果仍有限。

Qno侠诺的技术服务人员建议，面对这种新兴攻击，取巧用省事的方式准备，最后的结果可能是费事又不管用，必须重新来过。ARP双向绑定虽然对网管带来一定的工作量，但是其效果确是从根本上有效，而且网管也可参考自动批次档的作法，加快配置自动化的进行，更有效地对抗ARP攻击。

六个步骤即可防范ARP地址欺骗类病毒

2008-11-11T18:13:00.001+08:00

ARP病毒也叫ARP地址欺骗类病毒，这是一类特殊的病毒。该病毒一般属于木马病毒，不具备主动传播的特性，不会自我复制，但是由于其发作的时候会向全网发送伪造的ARP数据包，严重干扰全网的正常运行，其危害甚至比一些蠕虫病毒还要严重得多。

ARP病毒发作时，通常会造成网络掉线，但网络连接正常，内网的部分电脑不能上网，或者所有电脑均不能上网，无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象，严重影响到企业网络、网吧、校园网络等局域网的正常运行。

以下六个步骤，即可有效防范ARP病毒：
1、做好IP－MAC地址的绑定工作（即将IP地址与硬件识别地址绑定），在交换机和客户端都要绑定，这是可以使局域网免疫ARP病毒侵扰的好办法。
2、全网所有的电脑都打上MS06-014和MS07-017这两个补丁，这样可以免疫绝大多数网页木马，防止在浏览网页的时候感染病毒。
MS06-014 中文版系统补丁下载地址： http://www.microsoft.com/china/technet/security/bulletin/MS06-014.mspx
MS07-017 中文版系统补丁下载地址： http://www.microsoft.com/china/technet/security/bulletin/MS07-017.mspx
3、禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。禁用Windows 系统的自动播放功能的方法：在运行中输入 gpedit.msc 后回车，打开组策略编辑器，依次点击：计算机配置－＞管理模板－＞系统－＞关闭自动播放－＞已启用－＞所有驱动器－＞确定。
4、在网络正常时候保存好全网的IP－MAC地址对照表，这样在查找ARP中毒电脑时很方便。
5、部署网络流量检测设备，时刻监视全网的ARP广播包，查看其MAC地址是否正确。
6、安装杀毒软件，及时升级病毒库，定期全网杀毒。

ARP以及如何防范ARP欺骗技术

2008-11-11T18:12:00.000+08:00

ARP攻击
你是否还在为计算机连接正常，却无法打开网页；或者计算机网络出现频繁断线，同时网速变得非常慢，这些都可能是网络中存在ARP欺骗攻击所表现出来的网络现象。
很多病毒、木马都会利用ARP攻击的方式来达到窃取用户信息、弹挂马/广告网页、传播扩散自身等各种目的。不仅会造成联网不稳定，引发用户无法上网，或者企业断网导致重大生产事故，而且利用ARP攻击可进一步实施中间人攻击，以此非法获取到例如游戏、网银、文件服务等系统的帐号和口令，对被攻击者造成利益上的重大损失，因此ARP欺骗攻击是一种非常恶劣的网络攻击行为。
如何更有效的来防范ARP攻击？把预防ARP攻击的工作做好才是重中之中。
因为我们知道，连我们平时最熟知的杀毒软件、防火墙都挡不住ARP 欺骗攻击。主要是由于ARP欺骗攻击的木马程序，通常会伪装成常用软件的一部分被下载并被激活，或者作为网页的一部分自动传送到浏览者的电脑上并被激活，或者通过U盘、移动硬盘等方式进入网络。由于木马程序的形态特征都在不断变化和升级，杀毒软件也只是个摆设而已。
如何预防ARP攻击？
1.首先要做到把你的网络安全信任关系建立在IP+MAC基础上，利用Mocha BSM中网络拓扑发现之后所有IP-MAC信息，将信息自动的录入到对照表中，如下图。

有了Mocha BSM，省去了登录一台台的主机，用自己的眼睛一个个去查看MAC地址的情景。
设置完静态的IP-MAC对照表，不要让主机随意刷新你设定好的对照表。
2.管理员定期轮询，检查主机上的ARP缓存。
当出现配置变更，变更的信息会在变更表中显示，如下图。

客户端IP和MAC信息通过Mocha BSM这种方式的绑定，可以有效的确保正确的MAC地址不被篡改，可以保障数据流向正确，不经过第三者，从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制、防范欺骗终端用户和ARP泛洪攻击，保护网络资源。
隐患险于明火，防范重于泰山————做好预防ARP的工作才最为重要。

专家防止局域网ARP协议欺骗

2008-11-11T18:08:00.001+08:00

本文对ARP欺骗，提出几点加强安全的措施。网关是东道国或环境是基于Linux / BSD的的。

第一，前提的理论

在“一个好人委屈，而不是让一个坏的原则， ”我现在谈论的一些想法和理论。首先，我们将发送给ARP协议欺骗数据包将是一个恶意程序自动发送正常的TCP / IP网络是不会这样的错误包发送。这种假设，如果嫌疑人没有启动销毁过程，它是正常的网络环境，或环境中， ARP协议的网络是正常的，如果我们能启动嫌疑人在刑事诉讼程序第一次开始，发现他的罪行，处理赃物，使人们在所有的不可抵赖性，如前所述，前面网络正常的时候证据是可信和可依靠的。好吧，那么我们谈论如何时，他发现在第一的犯罪活动。

ARP协议的原则欺骗如下：

假设这样一个网络，那么，集线器的3机

主机主机HostC之一

A是位于：的IP ： 192.168.10.1的MAC ： AA型AA型AA型AA型AA型机管局

B是位于：的IP ： 192.168.10.2的MAC ：体一BB一BB一BB一BB一BB

C是位于：的IP ： 192.168.10.3的MAC ：循环循环循环循环循环循环

在正常情况下ç ： \ ARP协议一

接口： 192.168.10.1接口0x1000003

互联网地址物理地址类型

192.168.10.3的CC -的CC -的CC -的CC -的CC -连铸动态

现在假设开始刑事欺骗主机ARP协议：

A到B发送伪造的ARP协议自身的反应，反应中的数据的IP地址，发件人是192.168.10.3 （ C的IP地址）， MAC地址的DD - DD -双刀盘差异差异差异差异（ C的这应该是MAC地址的CC -连铸循环循环循环循环，这里是一个伪造）。 A到B伪造的，当收到ARP协议的反应，我们将更新本地ARP高速缓存（甲无法判断这是否是伪造的）。事实上，但不知道从B发送回来，在这里只有阿192.168.10.3 （ C的IP地址）和无效的差异差异差异差异差异差异MAC地址，也没有相关的犯罪证据向B ，河公顷，使犯罪分子将莱西。

一部是ARP高速缓存的更新：

ç ： \ “ ARP协议一

接口： 192.168.10.1接口0x1000003

互联网地址物理地址类型

192.168.10.3差异差异差异差异差异差异动态

这是不小的问题。局域网络基础上的IP地址是不容谈判的，但根据MAC地址的传递时间。 192.168.10.3现在在A的MAC地址发生了变化的MAC地址不存在。现在开始192.168.10.3平提交的MAC地址卡的DD - DD -双刀盘差异差异差异差异，其结果是什么呢？互联网接入，一个不能平碳！！

因此，局域网中一台机器反复向其他机器，特别是向网关，发送这样无效假冒ARP协议响应数据包， NND ，严重堵塞在网络上开始了！网吧管理员的噩梦开始了。我的目标和任务是第一次，抓住他。但早先的声明罪犯一样完美的使用以太网的缺陷，以掩盖他们的罪行。但事实上，上述方法已经离开的线索。尽管， ARP协议数据包主机没有留下地址，但是，对ARP包带有以太网帧，但主机包含源地址。此外，在正常情况下，以太网的帧，标题中的MAC地址的源/目的地址和帧应在ARP协议的信息包匹配，因此对ARP包是正确的。如果不正确，肯定是伪造的封装，可以提醒！但是，如果比赛中，这并不一定意味着正确的可能伪造这样一个步骤已经考虑到，并伪造出符合格式，但内容的数据包地址解析协议假。然而，这并不重要，只要网关本王有一个部分，所有的MAC地址的信用卡数据库，如果苹果不匹配数据库中的数据也是伪造的数据包地址解析协议。也提醒手中的罪犯。

其次，预防措施

1 。 DHCP服务器的设置（在建议建立网关的DHCP ，因为人数的CPU ，以及ARP欺骗攻击一般总是第一个网关，我们希望让他第一次攻击网关，网关，因为有监测程序，网关地址建议选择192.168.10.2 ，在192.168.10.1留空，如果犯罪程序这么笨，让他地址栏和空中袭击），和所有客户端的IP地址和主机有关的信息，才能取得在这里网关，网关这里开幕DHCP服务，但给每个信用卡，唯一的具有约束力的固定IP地址。必须保持网络的机器的IP / MAC的一个映射。这是客户端的DHCP地址，但每次开机是相同的IP地址。

2 。陆委会建立一个数据库，以网吧的所有网卡的MAC地址记录，每个MAC和知识产权，所有的地理位置到数据库，以便查询记录及时。

3 。网关机器关闭ARP协议动态刷新过程中，使用静态路由，这种情况下，即使嫌疑人使用ARP欺骗网关，这个网关是没有用的，确保主机安全。

网关建立静态IP / MAC的捆绑起来：的/ etc /醚文件，其中包含正确的IP / Mac的信件格式如下：

192.168.2.32 8时00分04秒电子邮件：本B0 ： 24:47

然后的/ etc / rc.d / rc.local最后添加：

ARP协议口才能生效

4 。网关监听网络安全。网关TCPDUMP使用上述程序截取每个ARP协议包，得到一个脚本分析软件分析这些ARP协议的协议。 ARP协议欺骗攻击的包一般有以下特点的两个，以满足一个包可以被看作是攻击警察：第一以太网包头源地址，目的地地址和ARP协议包不匹配的地址协议。或者， ARP协议和发送数据包的目的地地址是不是自己的数据库网络卡的MAC ， MAC或网络数据库有自己的MAC / IP协议不相符。所有这些首先向警方报案，调查这些数据包（以太网数据包）源地址（可能是伪造的），或多或少知道自己的电脑中的攻击。

5 。偷偷来的机器，看看是否使用故意或任何释放什么木马了。如果是后者，悄悄地，他要寻找的借口恺，掏出电缆（而不是关闭，特别是看该计划的使命Win98下），看看目前使用的机械和创纪录的业绩，看是否是在这次袭击中。

协议欺骗攻击技术常见种类简析及防范

2008-11-11T18:06:00.000+08:00

IP欺骗攻击

IP欺骗技术就是通过伪造某台主机的IP地址骗取特权从而进行攻击的技术。许多应用程序认为如果数据包能够使其自身沿着路由到达目的地，而且应答包也可以回到源地，那么源IP地址一定是有效的，而这正是使源IP地址欺骗攻击成为可能的前提。

假设同一网段内有两台主机A、B，另一网段内有主机X。B 授予A某些特权。X 为获得与A相同的特权，所做欺骗攻击如下：首先，X冒充A，向主机 B发送一个带有随机序列号的SYN包。主机B响应，回送一个应答包给A，该应答号等于原序列号加1。然而，此时主机A已被主机X利用拒绝服务攻击 “淹没”了，导致主机A服务失效。结果，主机A将B发来的包丢弃。为了完成三次握手，X还需要向B回送一个应答包，其应答号等于B向A发送数据包的序列号加1。此时主机X 并不能检测到主机B的数据包（因为不在同一网段），只有利用TCP顺序号估算法来预测应答包的顺序号并将其发送给目标机B。如果猜测正确，B则认为收到的 ACK是来自内部主机A。此时，X即获得了主机A在主机B上所享有的特权，并开始对这些服务实施攻击。

要防止源IP地址欺骗行为，可以采取以下措施来尽可能地保护系统免受这类攻击：

·抛弃基于地址的信任策略：阻止这类攻击的一种非常容易的办法就是放弃以地址为基础的验证。不允许r类远程调用命令的使用；删除.rhosts 文件；清空/etc/hosts.equiv 文件。这将迫使所有用户使用其它远程通信手段，如telnet、ssh、skey等等。
·使用加密方法：在包发送到网络上之前，我们可以对它进行加密。虽然加密过程要求适当改变目前的网络环境，但它将保证数据的完整性和真实性。
·进行包过滤：可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求。而且，当包的IP地址不在本网内时，路由器不应该把本网主机的包发送出去。

有一点要注意，路由器虽然可以封锁试图到达内部网络的特定类型的包。但它们也是通过分析测试源地址来实现操作的。因此，它们仅能对声称是来自于内部网络的外来包进行过滤，若你的网络存在外部可信任主机，那么路由器将无法防止别人冒充这些主机进行IP欺骗。

ARP欺骗攻击

在局域网中，通信前必须通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）。ARP协议对网络安全具有重要的意义，但是当初ARP 方式的设计没有考虑到过多的安全问题，给ARP留下很多的隐患，ARP欺骗就是其中一个例子。而ARP欺骗攻击就是利用该协议漏洞，通过伪造IP地址和 MAC地址实现ARP欺骗的攻击技术。

　我们假设有三台主机A,B,C位于同一个交换式局域网中，监听者处于主机A，而主机B,C正在通信。现在A希望能嗅探到B->C的数据，于是A就可以伪装成C对B做ARP欺骗——向B发送伪造的ARP应答包，应答包中IP地址为C的IP地址而MAC地址为A的MAC地址。这个应答包会刷新B的ARP缓存，让B认为A就是C，说详细点，就是让B认为C的IP地址映射到的MAC地址为主机A的MAC地址。这样，B想要发送给C的数据实际上却发送给了A，就达到了嗅探的目的。我们在嗅探到数据后，还必须将此数据转发给C，这样就可以保证B,C的通信不被中断。
以上就是基于ARP欺骗的嗅探基本原理，在这种嗅探方法中，嗅探者A实际上是插入到了B->C中， B的数据先发送给了A，然后再由A转发给C，其数据传输关系如下所示：

B----->A----->C

B<----A<------C
　于是A就成功于截获到了它B发给C的数据。上面这就是一个简单的ARP欺骗的例子。

　ARP欺骗攻击有两种可能，一种是对路由器ARP表的欺骗；另一种是对内网电脑ARP表的欺骗，当然也可能两种攻击同时进行。但不管怎么样，欺骗发送后，电脑和路由器之间发送的数据可能就被送到错误的MAC地址上。

　防范ARP欺骗攻击可以采取如下措施：

·在客户端使用arp命令绑定网关的真实MAC地址命令
·在交换机上做端口与MAC地址的静态绑定。
·在路由器上做IP地址与MAC地址的静态绑定
·使用“ARP SERVER”按一定的时间间隔广播网段内所有主机的正确IP-MAC映射表。

DNS欺骗攻击

DNS欺骗即域名信息欺骗是最常见的DNS安全问题。当一个DNS服务器掉入陷阱，使用了来自一个恶意DNS服务器的错误信息，那么该DNS服务器就被欺骗了。DNS欺骗会使那些易受攻击的DNS服务器产生许多安全问题，例如：将用户引导到错误的互联网站点，或者发送一个电子邮件到一个未经授权的邮件服务器。网络攻击者通常通过以下几种方法进行DNS欺骗。

（1）缓存感染
黑客会熟练的使用DNS请求，将数据放入一个没有设防的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给客户，从而将客户引导到入侵者所设置的运行木马的Web服务器或邮件服务器上，然后黑客从这些服务器上获取用户信息。

（2）DNS信息劫持
入侵者通过监听客户端和DNS服务器的对话，通过猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号，DNS服务器根据这个ID号获取请求源位置。黑客在DNS服务器之前将虚假的响应交给用户，从而欺骗客户端去访问恶意的网站。

（3）DNS重定向
攻击者能够将DNS名称查询重定向到恶意DNS服务器。这样攻击者可以获得DNS服务器的写权限。

防范DNS欺骗攻击可采取如下措施：

·直接用IP访问重要的服务，这样至少可以避开DNS欺骗攻击。但这需要你记住要访问的IP地址。
·加密所有对外的数据流，对服务器来说就是尽量使用SSH之类的有加密支持的协议，对一般用户应该用PGP之类的软件加密所有发到网络上的数据。这也并不是怎么容易的事情。

源路由欺骗攻击

通过指定路由，以假冒身份与其他主机进行合法通信或发送假报文，使受攻击主机出现错误动作，这就是源路由攻击。在通常情况下，信息包从起点到终点走过的路径是由位于此两点间的路由器决定的，数据包本身只知道去往何处，但不知道该如何去。源路由可使信息包的发送者将此数据包要经过的路径写在数据包里，使数据包循着一个对方不可预料的路径到达目的主机。下面仍以上述源IP欺骗中的例子给出这种攻击的形式：

主机A享有主机B的某些特权，主机X想冒充主机A从主机B（假设IP为aaa.bbb.ccc.ddd）获得某些服务。首先，攻击者修改距离X最近的路由器，使得到达此路由器且包含目的地址aaa.bbb.ccc.ddd的数据包以主机X所在的网络为目的地；然后，攻击者X利用IP欺骗向主机B发送源路由(指定最近的路由器)数据包。当B回送数据包时，就传送到被更改过的路由器。这就使一个入侵者可以假冒一个主机的名义通过一个特殊的路径来获得某些被保护数据。

为了防范源路由欺骗攻击，一般采用下面两种措施：

·对付这种攻击最好的办法是配置好路由器，使它抛弃那些由外部网进来的却声称是内部主机的报文。
·在路由器上关闭源路由。用命令no ip source-route。

ARP欺骗攻击技术及其防范方法

2008-11-11T18:04:00.000+08:00

什么是ARP协议

要想了解ARP欺骗攻击的原理，首先就要了解什么是ARP协议。ARP是地址转换协议的英文缩写，它是一个链路层协议，工作在OSI模型的第二层，在本层和硬件接口间进行联系，同时为上层（网络层）提供服务。

我们知道，二层的以太网交换设备并不能识别32位的IP地址，它们是以48位以太网地址（就是我们常说的MAC地址）传输以太网数据包的。因此IP地址与MAC地址之间就必须存在一种对应关系，而ARP协议就是用来确定这种对应关系的协议。

ARP工作时，首先请求主机发送出一个含有所希望到达的IP地址的以太网广播数据包，然后目标IP的所有者会以一个含有IP和MAC地址对的数据包应答请求主机。这样请求主机就能获得要到达的IP地址对应的MAC地址，同时请求主机会将这个地址对放入自己的ARP表缓存起来，以节约不必要的ARP通信。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用（Windows系统这个时间为2分钟，而Cisco路由器的这个时间为5分钟），就会被删除。通过下面的例子我们可以很清楚地看出ARP的工作机制。

假定有如下五个IP地址的主机或者网络设备，它们分别是：

主机A 192.168.1.2
主机B 192.168.1.3
网关C 192.168.1.1
主机D 10.1.1.2
网关E 10.1.1.1
假如主机A要与主机B通信，它首先会检查自己的ARP缓存中是否有192.168.1.3这个地址对应的MAC地址，如果没有它就会向局域网的广播地址发送 ARP请求包，大致的意思是192.168.1.3的MAC地址是什么请告诉192.168.1.2，而广播地址会把这个请求包广播给局域网内的所有主机，但是只有192.168.1.3这台主机才会响应这个请求包，它会回应192.168.1.2一个ARP包，大致的意思是192.168.1.3的 MAC地址是02-02-02-02-02-02。这样的话主机A就得到了主机B的MAC地址，并且它会把这个对应的关系存在自己的ARP缓存表中。之后主机A与主机B之间的通信就依靠两者缓存表里的MAC地址来通信了，直到通信停止后2分钟，这个对应关系才会从表中被删除。

再来看一个非局域网内部的通信过程。假如主机A需要和主机D进行通信，它首先会发现这个主机D的IP地址并不是自己同一个网段内的，因此需要通过网关来转发，这样的话它会检查自己的ARP缓存表里是否有网关192.168.1.1对应的MAC地址，如果没有就通过ARP请求获得，如果有就直接与网关通信，然后再由网关C通过路由将数据包送到网关E，网关E收到这个数据包后发现是送给主机D（10.1.1.2）的，它就会检查自己的ARP缓存，看看里面是否有10.1.1.2对应的MAC地址，如果没有就使用ARP协议获得，如果有就是用该MAC地址与主机D通信。

通过上面的例子我们知道，在以太局域网内数据包传输依靠的是MAC地址，IP地址与MAC对应的关系依靠ARP表，每台主机（包括网关）都有一个ARP缓存表。在正常情况下这个缓存表能够有效保证数据传输的一对一性，像主机B之类的是无法截获A与D之间的通信信息的。

但是主机在实现ARP缓存表的机制中存在一个不完善的地方，当主机收到一个ARP的应答包后，它并不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。这就导致主机B截取主机A与主机D之间的数据通信成为可能。

首先主机B向主机A发送一个ARP应答包说192.168.1.1的MAC地址是02-02-02-02-02-02，主机A收到这个包后并没有去验证包的真实性而是直接将自己ARP列表中的192.168.1.1的MAC地址替换成02-02-02-02-02-02，同时主机B向网关C发送一个 ARP响应包说192.168.1.2的MAC是02-02-02-02-02-02，同样，网关C也没有去验证这个包的真实性就把自己ARP表中的 192.168.1.2的MAC地址替换成02-02-02-02-02-02。当主机A想要与主机D通信时，它直接把应该发送给网关 192.168.1.1的数据包发送到02-02-02-02-02-02这个MAC地址，也就是发给了主机B，主机B在收到这个包后经过修改再转发给真正的网关C，当从主机D返回的数据包到达网关C后，网关也使用自己ARP表中的MAC，将发往192.168.1.2这个IP地址的数据发往 02-02-02-02-02-02这个MAC地址也就是主机B，主机B在收到这个包后再转发给主机A完成一次完整的数据通信，这样就成功地实现了一次 ARP欺骗攻击。

因此简单点说，ARP欺骗的目的就是为了实现全交换环境下的数据监听。大部分的木马或病毒使用ARP欺骗攻击也是为了达到这个目的。

如何发现及清除

局域网内一旦有ARP的攻击存在，会欺骗局域网内所有主机和网关，让所有上网的流量必须经过ARP攻击者控制的主机。其他用户原来直接通过网关上网，现在却转由通过被控主机转发上网。由于被控主机性能和程序性能的影响，这种转发并不会非常流畅，因此就会导致用户上网的速度变慢甚至频繁断线。另外 ARP欺骗需要不停地发送ARP应答包，会造成网络拥塞。

一旦怀疑有ARP攻击我们就可以使用抓包工具来抓包，如果发现网内存在大量ARP应答包，并且将所有的IP地址都指向同一个MAC地址，那么就说明存在ARP欺骗攻击，并且这个MAC地址就是用来进行ARP欺骗攻击的主机MAC地址，我们可以查出它对应的真实IP地址，从而采取相应的控制措施。另外，我们也可以到路由器或者网关交换机上查看IP地址与MAC地址的对应表，如果发现某一个MAC对应了大量的IP地址，那么也说明存在ARP欺骗攻击，同时通过这个MAC地址查出用来ARP欺骗攻击的主机在交换机上所对应的物理端口，从而进行控制。

如何防范？

我们可以采取以下措施防范ARP欺骗。

（1）在客户端使用arp命令绑定网关的真实MAC地址命令如下：

arp (先清除错误的ARP表)

arp 192.168.1.1 03-03-03-03-03-03 （静态指定网关的MAC地址）

（2）在交换机上做端口与MAC地址的静态绑定。

（3）在路由器上做IP地址与MAC地址的静态绑定。

（4）使用“ARP SERVER”按一定的时间间隔广播网段内所有主机的正确IP-MAC映射表。

（5）最主要是要提高用户的安全意识，养成良好的安全习惯，包括：及时安装系统补丁程序；为系统设置强壮的密码；安装防火墙；安装有效的杀毒软件并及时升级病毒库；不主动进行网络攻击，不随便运行不受信任的软件。

利用Lns防范Arp欺骗

2008-11-11T18:03:00.001+08:00

为了便于说明，我们先假设一个子网环境:
网关 : IP = IP-1, MAC = 11:11:11:11:11:11
本机 : IP = IP-2, MAC = 22:22:22:22:22:22
主机A: IP = IP-A, MAC = AA:AA:AA:AA:AA:AA
主机B: IP = IP-B, MAC = BB:BB:BB:BB:BB:BB
主机C: IP = IP-C, MAC = CC:CC:CC:CC:CC:CC

子网内的任意两台主机(网关也可看作一台主机)要正常通讯，需要互相知道对方的网卡地址MAC。如果一方不知道对方的MAC，就要进行ARP查询。

ARP 查询过程

在一个正常的子网内，一次完整的 ARP 查询需要一次查询广播和一次点对点的应答。查询广播中包含了要查询主机的IP，此广播可以被子网内的每一台主机的网卡收到，网卡会检查要查询的IP是否与自己的IP相等，不等则直接丢弃，相等则将此数据包提交给系统内核(一个中断)，内核调用网卡驱动解析收到的数据包，然后构建一个应答数据包回送到查询的主机，查询主机收到应答后更新自己的ARP缓存表。

对应 LnS 的设置，此通讯过程需要两条规则,以本机查询主机B的MAC为例
① 22:22:22:22:22:22 => FF:FF:FF:FF:FF:FF (允许本机广播出站)
② 22:22:22:22:22:22 <= BB:BB:BB:BB:BB:BB (允许主机B应答本机入站)

规则说明方式：=> 表示传出，<= 表示传入，== 表示双向。
注意按此设置 LnS 规则时，有方向规定的始终要将源放在左边，目标放在右边，对方向为双向的始终将本机放在左边，远端放在右边。

只要将此查询过程中的任何一步掐断，则该查询过程就会失败。比如有人找你公司的讨债，总经理秘书可以想各种理由使债主见不到总经理，即使见到了，总经理也可以找财务不在或目前实在没钱为由不付钱，讨债就失败了。这两个方法就好比拦截广播和拦截应答。

子网内的两台主机要能够完整的通讯(双方都可收发数据)必须互知对方的MAC地址，比如本机要跟主机B完整通讯，还必须让主机B也能查询到自己的 MAC。
① 22:22:22:22:22:22 => FF:FF:FF:FF:FF:FF (允许本机广播出站)
② 22:22:22:22:22:22 <= BB:BB:BB:BB:BB:BB (允许主机B应答本机入站)
③ FF:FF:FF:FF:FF:FF <= BB:BB:BB:BB:BB:BB (允许主机B广播入站)
④ 22:22:22:22:22:22 => BB:BB:BB:BB:BB:BB (允许本机应答主机B出站)

显然规则②④在LnS中是可以合并的，则两台机器完整通讯只须 3 条规则：
① 22:22:22:22:22:22 => FF:FF:FF:FF:FF:FF (允许本机广播出站)
② FF:FF:FF:FF:FF:FF <= BB:BB:BB:BB:BB:BB (允许主机B广播入站)
③ 22:22:22:22:22:22 == BB:BB:BB:BB:BB:BB (允许本机与主机B相互应答)

简单的 ARP 欺骗

前面说了，一次查询过程需要一次广播和一次应答，但 ARP 协议中并不要求广播与应答成对出现，也就是可以没有广播，任何一台主机都可以主动发送应答数据包，如果目标主机没有使用静态MAC，则只要收到应答广播就会更新自己的ARP缓存表。因此，我们可以人为的构建一个错误的应答数据包让目标主机更新自己的ARP缓存。
比如从本机控制，不让主机A与主机B通讯：
本机向主机A发送应答数据包，告诉它 IP-B 的 MAC 是 XX:XX:XX:XX:XX:XX
本机向主机B发送应答数据包，告诉它 IP-A 的 MAC 是 YY:YY:YY:YY:YY:YY
此时主机A和主机B的 ARP 缓存中关于对方的MAC都错误的，他们互发数据时就会发到一个错误或都根本不存在(取决于伪造的MAC)的网卡，A、B 间的通讯自然失败。(其实只要其中一台的ARP缓存错误，A、B 间的通讯就会表现不正常)
想想，如果伪造的应答数据包是告诉主机B：IP-1 的 MAC 是 ZZ:ZZ:ZZ:ZZ:ZZ:ZZ 会怎么样？则主机B与网关通讯会不正常，就会表现为断网。如果同时对网关欺骗，告诉它主机B的MAC为一个错误值，且这种欺骗一直持续，则主机B无法上网了。

大家常说的网络执法官就是利用ARP欺骗来踢人的。执法官运行时首先会大量发送广播，获得所有主机的MAC地址，然后，想欺骗谁，就向谁发送伪造的应答数据包。

当然，ARP欺骗决不仅止于此，比如还可以使目标主机断线后将自己的MAC伪造成被欺骗主机的MAC达到特殊目的，或者同时欺骗网关与目标主机，但是用自己的MAC代替伪造应答数据包中的随机MAC并开启本机的数据转发功能，插入到网关与目标主机通讯中充当代理，达到监听目标主机的目的。但本文的目是要说明LnS中的ARP规则如何设置，ARP欺骗不是重点。

ARP 防范

说到这样，大家肯定已经发现一个问题：欺骗者必须能与被欺骗者通讯，以便发送伪造的应答数据包，否则欺骗过程就不能完成。基于这点，我们可以从几个地方来防止 ARP 欺骗：
一、不让非信任的主机查询自己的MAC，欺骗者不能与本机通讯，自然无从欺骗了
可以拦截它的查询广播(要钱的一律不许进门)
可以拦截本机对它的应答(都来要吧，我就一句话，没钱，死猪不怕开水烫)

二、使用静态MAC，拒绝更新ARP缓存。
即使有仿造应答到达本机，但本机不使用该包更新自己的ARP缓存，欺骗失败。那么为什么使用变种二方法的网友实际中“可行”了？说可行是因为过滤太严格，能防止绝大数大ARP欺骗，加引号是因为可行是暂时的，连续的长时间测试，很可能会断网的。
这跟具体的网络环境有关系，可能的原因比较多。一种可能的原因是LnS有BUG，过滤起作用在本机与网关建立连接之后，或者使用了静态MAC、指定IP避免DHCP租约失效之类，具体的我也分析不清楚。但从原理上说，这方法是错误的。

安全是相对的
防止ARP欺骗最好的办法在网关和各子机上均采用静态MAC绑定。防火墙只能增加安全系数，不能保证绝对完全，一是因为防火墙可能有BUG或者功能本身不完善又或者设置不善，二是现实中的妥协可能存在漏洞。比如本机为了上网信任了网关，同时为了共享信任了主机B，但主机B是没有任何安全防护，攻击者可以从主机B下手，迫使主机B当机后将自己伪造主机B的IP与MAC，获得与本机通讯的能力后再用其它办法攻击，更严重的情况是如果网关本身不安全，那么在本机上如何防护都不能取得较好的效果。

Vista应对网络执法官及ARP欺骗攻击

2008-11-11T16:46:00.000+08:00

很多学校、公司的内部网络里面经常有一些不道德的人用ARP欺骗软件攻击别人，让很多人掉线，甚至让整个网络都瘫痪。针对这个问题，大家可以采取如下的办法。

　　介绍一个防火墙：Outpost Firewall。它可以防护“P2P终结者”等局域网软件，效果超好，还能查出局域网哪台机在使用，功能强大，占用资源少，可以评分5个星。

　　点击此处下载Outpost Firewall

　　其实，类似网络管理这种软件都是利用arp欺骗达到目的的。其原理就是使电脑无法找到网关的MAC地址。那么ARP欺骗到底是怎么回事呢？

　　首先给大家说说什么是ARP。ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。

　　ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。

　　ARP原理：某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播A一个 ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。

　　ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的 IP和MAC 地址存储在ARP缓存中。因此，当局域网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充C伪造来的，即IP地址为C的IP，而 MAC地址是伪造的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通C！这就是一个简单的ARP欺骗。

　　解决方法归纳起来有以下方法：

　　1. 使用VLAN

　　只要你的PC和P2P终结者软件不在同一个VLAN里, 他就拿你没办法.

　　2. 使用双向IP/MAC绑定

　　在PC上绑定你的出口路由器的MAC地址, P2P终结者软件不能对你进行ARP欺骗, 自然也没法管你, 不过只是PC绑路由的MAC还不安全, 因为P2P终结者软件可以欺骗路由, 所以最好的解决办法是使用PC, 路由上双向IP/MAC绑定, 就是说, 在PC上绑定出路路由的MAC地址, 在路由上绑定PC的IP和MAC地址, 这样要求路由要支持IP/MAC绑定, 比如HIPER路由器.

　　3. 使用IP/MAC地址盗用+IP/MAC绑定

　　索性你把自己的MAC地址和IP地址改成和运行P2P终结者软件者一样的IP和MAC, 看他如何管理, 这是一个两败俱伤的办法, 改动中要有一些小技巧, 否则会报IP冲突. 要先改MAC地址, 再改IP, 这样一来WINDOWS就不报IP冲突了(windows傻吧))), 做到这一步还没有完, 最好你在PC上吧路由的MAC地址也绑定, 这样一来P2P终结者欺骗路由也白费力气了.

　　屏蔽网络执法官的解决方式

　　利用Look N Stop防火墙，防止arp欺骗

　　1.阻止网络执法官控制

　　网络执法官是利用的ARp欺骗的来达到控制目的的。

　　ARP协议用来解析IP与MAC的对应关系，所以用下列方法可以实现抗拒网络执法官的控制。如果你的机器不准备与局域网中的机器通讯，那么可以使用下述方法：

A.在“互联网过滤”里面有一条“ARP : Authorize all ARP packets”规则，在这个规则前面打上禁止标志；

　　B.但这个规则默认会把网关的信息也禁止了，处理的办法是把网关的MAC地址（通常网关是固定的）放在这条规则的“目标”区，在“以太网：地址 ”里选择“不等于”，并把网关的MAC地址填写在那时；把自己的MAC地址放在“来源”区，在“以太网：地址”里选择“不等于”。

　　C.在最后一条“All other packet”里，修改这条规则的“目标”区，在“以太网：地址”里选择“不等于”，MAC地址里填FF:FF:FF:FF:FF:FF；把自己的MAC地址放在“来源”区，在“以太网：地址”里选择“不等于”。其它不改动。

　　这样网络执法官就无能为力了。此方法适用于不与局域网中其它机器通讯，且网关地址是固定的情况下。

　　如果你的机器需要与局域网中的机器通讯，仅需要摆脱网络执法官的控制，那么下述方法更简单实用（此方法与防火墙无关）：

　　进入命令行状态，运行“ARP -s 网关IP 网关MAC”就可以了，想获得网关的MAC，只要Ping一下网关，然后用Arp -a命令查看，就可以得到网关的IP与MAC的对应。此方法应该更具通用性，而且当网关地址可变时也很好操作，重复一次“ARP -s 网关IP 网关MAC”就行了。此命令作用是建立静态的ARP解析表。

　　另外，听说op防火墙也可以阻止，这个还没有试过。

　　防止P2P终结者的攻击

　　1：第一种方法就是修改自己的MAC地址，下面就是修改方法：

　　在"开始"菜单的"运行"中输入regedit，打开注册表编辑器，展开注册表到：HKEY_LOCAL_MACHINE\System \CurrentControlSet\Control\Class\{4D36E9E}子键，在子键下的0000，0001，0002等分支中查找 DriverDesc（如果你有一块以上的网卡，就有0001，0002......在这里保存了有关你的网卡的信息，其中的DriverDesc内容就是网卡的信息描述，比如我的网卡是Intel 210 41 based Ethernet Controller），在这里假设你的网卡在0000子键。在0000子键下添加一个字符串，命名为"NetworkAddress"，键值为修改后的 MAC地址，要求为连续的12个16进制数。然后在"0000"子键下的NDI\params中新建一项名为NetworkAddress的子键，在该子键下添加名为"default"的字符串，键值为修改后的MAC地址。

　　在NetworkAddress的子键下继续建立名为"ParamDesc"的字符串，其作用为指定Network Address的描述，其值可为"MAC Address"。这样以后打开网络邻居的"属性"，双击相应的网卡就会发现有一个"高级"设置，其下存在MACAddress的选项，它就是你在注册表中加入的新项"NetworkAddress"，以后只要在此修改MAC地址就可以了。关闭注册表，重新启动，你的网卡地址已改。打开网络邻居的属性，双击相应网卡项会发现有一个MAC Address的高级设置项，用于直接修改MAC地址。

　　2：第二种方法就是修改IP到MAC的映射就可使P2P攻击的ARP欺骗失效，就隔开突破它的限制。方法就是在cmd下用ARP -a命令得到网关的MAC地址，最后用ARP -s IP 网卡MAC地址命令把网关的IP地址和它的MAC地址映射起来就可以了。

　　Vista和XP系统：只要用arp命令绑定自己MAC和路由MAC就行了，如：

　　arp -s 自己IP 自己MAC

　　arp -s 路由IP 路由MAC

　　最好都绑定一下，只绑定路由的话，出了IP冲突就上不去了，别人照样能T你下线，如果绑定了自己的话，IP冲突了也能上网。

　　Windows 9x/2000就需要软件了，搜索一下anti arp sniffer就行了，设置好路由IP,mac 。不过XP和Vista系统也可以安装这个软件，可以清楚的看到谁想T你下线或者想限制你。当然，这样的系统还建议更换成Vista或者XP，只要上面设置一下，p2p终结者就报废了。

　　Vista和XP系统在cmd状态输入： arp -a

　　如果路由IP 还有自己IP最后面状态是static，那么就表示绑定成功

　　arp -d

　　绑定之前也最好输入一下，删除非法绑定。

　　看到这些，大家都明白了吧，其实都不难的。

防范ARP攻击策略面面观及技巧一则

2008-11-11T14:49:00.001+08:00

防范方法

　　1、捆绑MAC和IP地址

　　杜绝IP 地址盗用现象。如果是通过代理服务器上网：到代理服务器端让网络管理员把上网的静态IP 地址与所记录计算机的网卡地址进行捆绑。如： ARP-s 192.16.10.400-EO-4C-6C-08-75。这样，就将上网的静态IP 地址192.16.10.4 与网卡地址为 00-EO-4C-6C-08-75 的计算机绑定在一起了，即使别人盗用您的IP 地址，也无法通过代理服务器上网。如果是通过交换机连接，可以将计算机的IP地址、网卡的MAC 地址以及交换机端口绑定。

　　2、修改MAC地址，欺骗ARP欺骗技术

　　就是假冒MAC 地址，所以最稳妥的一个办法就是修改机器的MAC 地址，只要把MAC 地址改为别的，就可以欺骗过ARP 欺骗，从而达到突破封锁的目的。

　　3、使用ARP服务器

　　使用ARP 服务器。通过该服务器查找自己的ARP 转换表来响应其他机器的ARP 广播。确保这台ARP 服务器不被攻击。

　　4、交换机端口设置

　　(1)端口保护(类似于端口隔离)：ARP 欺骗技术需要交换机的两个端口直接通讯，端口设为保护端口即可简单方便地隔离用户之间信息互通，不必占用VLAN 资源。同一个交换机的两个端口之间不能进行直接通讯，需要通过转发才能相互通讯。

　　(2)数据过滤：如果需要对报文做更进一步的控制用户可以采用ACL(访问控制列表)。ACL 利用IP 地址、TCP/UDP 端口等对进出交换机的报文进行过滤，根据预设条件，对报文做出允许转发或阻塞的决定。华为和Cisco 的交换机均支持IP ACL 和MAC ACL，每种ACL 分别支持标准格式和扩展格式。标准格式的ACL 根据源地址和上层协议类型进行过滤，扩展格式的ACL 根据源地址、目的地址以及上层协议类型进行过滤，异词检查伪装MAC 地址的帧。

　　5、禁止网络接口做ARP 解析

　　在相对系统中禁止某个网络接口做ARP 解析(对抗ARP欺骗攻击)，可以做静态ARP 协议设置(因为对方不会响应ARP 请求报义) 如： ARP –s XXX.XXX.XX.X 08-00-20-a8-2e-ac在很多操作系统中如：Unix ， NT 等，都可以结合“禁止相应网络接口做ARP 解析”和“使用静态ARP 表”的设置来对抗ARP 欺骗攻击。而Linux 系统，其静态ARP 表项不会被动态刷新，所以不需要“ 禁止相应网络接口做ARP 解析”，即可对抗ARP 欺骗攻击。

　　6、使用硬件屏蔽主机

　　设置好你的路由，确保IP 地址能到达合法的路径。( 静态配置路由ARP 条目)，注意，使用交换集线器和网桥无法阻止ARP 欺骗。

　　7、定期检查ARP缓存

　　管理员定期用响应的IP 包中获得一个rarp 请求, 然后检查ARP 响应的真实性。定期轮询, 检查主机上的ARP 缓存。使用防火墙连续监控网络。注意有使用SNMP 的情况下，ARP 的欺骗有可能导致陷阱包丢失。

技巧一则

　　址的方法个人认为是不实用的，首先, 这样做会加大网络管理员的工作量，试想，如果校园网内有3000个用户，网络管理员就必须做3000 次端口绑定MAC 地址的操作，甚至更多。其次, 网络管理员应该比较清楚的是, 由于网络构建成本的原因，接入层交换机的性能是相对较弱的, 功能也相对单一一些, 对于让接入层交换机做地址绑定的工作，对于交换机性能的影响相当大, 从而影响网络数据的传输。

　　建议用户采用绑定网关地址的方法解决并且防止ARP 欺骗。

　　1) 首先, 获得安全网关的内网的MAC 地址。( 以windowsXP 为例)点击"开始"→"运行", 在打开中输入cmd。点击确定后将出现相关网络状态及连接信息, 然后在其中输入ipconfig/all，然后继续输入arp - a 可以查看网关的MAC 地址。

　　2) 编写一个批处理文件rarp.bat( 文件名可以任意) 内容如下:

　　@echo off

　　arp - d

　　arp - s 192.168.200.1 00- aa- 00- 62- c6- 09

　　将文件中的网关IP 地址和MAC 地址更改为实际使用的网关IP 地址和MAC 地址即可。

　　3) 编写完以后, 点击"文件" →"另存为"。注意文件名一定要是*.bat 如arp.bat 保存类型注意要选择所有类型。点击保存就可以了。最后删除之前创建的"新建文本文档"就可以。

　　4) 将这个批处理软件拖到"windows- - 开始- - 程序- - 启动"中, ( 一般在系统中的文件夹路径为C:\Documents and Settings\All Users\「开始」菜单\ 程序\ 启动) 。

　　5) 最后重新启动一下电脑就可以。

　　静态ARP 表能忽略执行欺骗行为的ARP 应答, 我们采用这样的方式可以杜绝本机受到ARP 欺骗包的影响。对于解决ARP 欺骗的问题还有多种方法: 比如通过专门的防ARP 的软件, 或是通过交换机做用户的入侵检测。前者也是个针对ARP欺骗的不错的解决方案, 但是软件的设置过程并不比设置静态ARP 表简单。后者对接入层交换机要求太高, 如果交换机的性能指标不是太高, 会造成比较严重的网络延迟, 接入层交换机的性能达到了要求, 又会使网络安装的成本提高。

　　在应对ARP 攻击的时候，除了利用上述的各种技术手段，还应该注意不要把网络安全信任关系建立在IP 基础上或MAC 基础上，最好设置静态的 MAC->IP 对应表，不要让主机刷新你设定好的转换表，除非很有必要，否则停止使用ARP，将ARP 做为永久条目保存在对应表中。

ARP透视——ARP欺骗攻击的原理

2008-11-11T13:35:00.000+08:00

一个入侵者想非法进入某台计算机，他知道这台主机的防火墙只对192.0.0.3(假设)这个IP开放23口(telnet),而他必须要使用telnet来进入这台主机，所以他要这么做：
1、他先研究192.0.0.3这台计算机，发现这台95的机器使用一个oob就可以让他死掉。
2、于是，他送一个洪水包给192.0.0.3的139口，于是，该机器应包而死。
3、这时，主机发到192.0.0.3的IP包将无法被机器应答，系统开始更新自己的arp对应列表。将192.0.0.3的项目除去。
4、这段时间里，入侵者把自己的IP改成192.0.0.3
5、他发一个ping(ICMP 0)给主机，要求主机更新主机的arp转换列表。
6、主机找到该IP，然后在arp列表中加入新的IP-->MAC对应关系。
7、防火墙失效了，入侵的IP变成合法的MAC地址，可以telnet了。
现在，假如该主机不只提供telnet，它还提供r命令（rsh,rcopy,rlogin等）那么，所有的安全约定将无效，入侵者可以放心的使用这台主机的资源而不用担心被记录什么。
有人也许会说，这其实就是冒用IP嘛。是冒用了IP，但决不是IP欺骗，IP欺骗的原理比这要复杂的多，实现的机理也完全不一样。
上面就是一个ARP的欺骗过程，这是在同网段发生的情况。但是，提醒注意的是，利用交换集线器或网桥是无法阻止ARP欺骗的，只有路由分段是有效的阻止手段。（也就是IP包必须经过路由转发。在有路由转发的情况下，ARP欺骗如配合ICMP欺骗将对网络造成极大的危害。从某种角度讲，入侵者可以跨过路由监听网络中任何两点的通讯，如果设置防火墙，请注意防火墙有没有提示过类似“某某IP是局域IP但从某某路由来”等这样的信息。
在有路由转发的情况下，发送到达路由的IP的主机其arp对应表中，IP的对应值是路由的MAC。
比如: 我pingwww.xxxx.com后，那么在我的计算机中，www. xxxx.com的IP对应项不是xxxx的MAC，而是我路由的MAC，其IP也是我路由的IP。(有些网络软件通过交换路由ARP可以得到远程IP的MAC)。
有兴趣做深入一步的朋友可以考虑这样一种情况：
假设这个入侵者突然想到：我要经过一个路由才可以走到那台有防火墙的主机！！！
于是这个入侵者开始思考：
1、我的机器可以进入那个网段，但是，不是用192.0.0.3的IP。
2、如果我用那个IP，就算那台正版192.0.0.3的机器死了，那个网络里的机器也不会把IP包丢到路由传给我。
3、所以，我要骗主机把IP包丢到路由。
通过多种欺骗手法可以达到这个目的。所以他开始这样做：
1、为了使自己发出的非法IP包能在网络上活久一点，开始修改ttl为下面的过程中可能带来的问题做准备。他把ttl改成255。 (ttl定义一个IP包，如果在网络上到不了主机后在网络上能存活的时间，改长一点在本例中有利于做充足的广播)
2、他掏出一张软盘，这张软盘中有他以前用sniffer时保存的各种IP包类型。
3、他用一个合法的IP进入网络，然后和上面一样，发个洪水包让正版的192.0.0.3死掉，然后他用192.0.0.3进入网络。
4、在该网络的主机找不到原来的192.0.0.3的MAC后，将更新自己的ARP对应表。于是他赶紧修改软盘中的有关ARP广播包的数据，然后对网络广播说"能响应IP为192.0.0.3的MAC是我"。
5、好了，现在每台主机都知道了，一个新的MAC地址对应IP 192.0.0.3，一个ARP欺骗完成了，但是，每台计算机都只会在局域网中找这个地址而根本就不会把发送给192.0.0.3的IP包丢给路由。于是他还得构造一个ICMP的重定向广播。
6、他开始再修改软盘中的有关ICMP广播包的数据，然后发送这个包，告诉网络中的主机：“到192.0.0.3的路由最短路径不是局域网，而是路由。请计算机重定向你们的路由路径，把所有到192.0.0.3的IP包丢给路由哦。”
7、计算机接受到这个合理的ICMP重定向后，于是修改自己的路由路径，把对192.0.0.3 的IP通讯都丢给路由器。
8、入侵者终于可以在路由外收到来自路由内的主机的IP包了，他可以开始telnet到主机的23口，用IP 192.0.0.3。
注意，这只是一个典型的例子，在实际操作中要考虑的问题还不只这些。
现在想想，如果他要用的是Sniffer会怎样？可见，利用ARP欺骗，一个入侵者可以：
1、利用基于IP的安全性不足，冒用一个合法IP来进入主机。
2、逃过基于IP的许多程序的安全检查，如NSF,R系列命令等。
他甚至可以栽赃嫁祸给某人，让他跳进黄河也洗不清！

ARP透视——ARP原理

2008-11-11T13:29:00.000+08:00

在局域网中，是通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有极其重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。
ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。
每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下表所示。

主机 IP地址 MAC地址
A 192.168.1.1 aa-aa-aa-aa-aa-00
B 192.168.1.2 bb-bb-bb-bb-bb-11
C 192.168.1.3 cc-cc-cc-cc-cc-22
D 192.168.1.4 dd-dd-dd-dd-dd-33

我们以主机A（192.168.1.1）向主机B（192.168.1.2）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.1.2的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-11”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。

从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。

局域网遭遇盗用MAC地址上网问题的解决方法

2008-11-11T13:07:00.000+08:00

盗用MAC地址是一直局域网管理里一个比较棘手的问题，而且总是没有简单的方法能够避免这些现象，说起来真的是一个很让网络管理员头痛的问题。

交换机端口绑定MAC地址是一个很彻底的好办法，但只有智能交换机才有端口绑定MAC地址功能，如果全部换智能交换机的话我想是一笔不小的投资，一般的企业也不会为避免盗用MAC现象而投入资金更换网络设备，而且绑定端口后还会给网管带来很大的不便，如果电脑位置动一下，就要跟着修改端口绑定记录，无形中给管理员增加了很大的工作量。

宽带提供商在接入设备上会做这样的投资和设置，我们当地的网通LAN就是采用这种方式，把每个端口划分成一个单独的VLAN，并把端口绑定MAC。这样的安全性确实很高。因为作为他们来说，每被盗用一个MAC地址，他们就会有直接的经济损失，而作为一般的企业，网络只是用来辅助工作的，而并不是一种公司的产业。所以按他们的做法去做是不现实的。

现在通过宽带路由器去控制网基本上是采用IP过滤和MAC过滤，有些人认为把IP和MAC地址绑定起来可以解决盗用IP或MAC问题，但如果有人把IP和MAC一起改的话，那就束手无策了，路由器根本无法判别哪个是真的哪个是假的，就象是“真假悟空”一样，难以分辨。

我公司原来使用宽带路由器，但盗用MAC地址的现象很频繁，MAC地址冲突后，会出现网络时断时通，PING后丢包很严重，表面上很象线路问题。虽然可以通过公司规章制度去约束这种行为，但往往要网络管理员上报这些违归行为，这样做会恶化同事关系，在同一个公司里工作，同事关系搞不好也是一大忌，到时候万一要去麻烦别人的时候你就会发现做什么事情都不顺，因此给自己留条后路也是必要的，无奈中的无奈，只能通过技术办法去解决这个技术问题啦。

现在我在公司改用CCPROXY代理上网，其实用代理服务器上网很早就用过了，以前路由器价格昂贵，所以宽带共享很多都是使用代理服务器，自从宽带路由器普及后，就不再使用代理服务器了，因为总是有人说宽带路由器有什么样什么样的好处，真想不到今天又会回过来使用代理服务器，现在采用账户名+密码+MAC绑定的方式认证上网权限，这样做在原来通过MAC地址控制上网的基础上，多了一个用户名密码环节，这样会大大增加非法上网者的难度。单单盗用MAC地址是没用的，如果密码被盗，那么管理员可以在代理服务器上修改密码，这样主动权还是掌握在管理员手里，象以前那样只通过MAC控制上网权限，有时候处理起来是很被动的。虽然通过端口代理上网比直接使用路由器设置复杂些，因为有些软件根本不支持代理方式，但装了permeo-Driver-combo-win_4_2_2.zip这个软件后，不需要在客户机上设置烦琐的代理服务器，基本能做到和使用路由器那样的方便。CCPROXY还有一个好处是针对不同的机器可以做不同的设置，如控制连接数，控制带宽，控制上网时间，控制过滤网站等等，而一般的宽带路由器只能做到批量控制，不能对不同的电脑分配不同的权限。

ARP-知识

ARP透视——出现ARP欺骗攻击时的现象

ARP透视——传统的几种解决ARP问题的方式

ARP透视——ARP欺骗，骗的是什么?

ARP透视——ARP欺骗的危害

网吧频繁掉线（ARP）与解决方法

ARP攻击与防护完全手册

局域网ARP欺骗排查解决报告

彻底解决局域网ARP攻击

局域网arp地址欺骗解决办法

局域网受到ARP欺骗攻击的解决办法

局域网ARP欺骗的应对

黑客技术-ARP欺骗

反击ARP欺骗 讲述我和网络执法官的战斗

巧论ARP攻击防制方法之虚虚实实

第二页

第三页

六个步骤即可防范ARP地址欺骗类病毒

ARP以及如何防范ARP欺骗技术

专家防止局域网ARP协议欺骗

协议欺骗攻击技术常见种类简析及防范

ARP欺骗攻击技术及其防范方法

利用Lns防范Arp欺骗

Vista应对网络执法官及ARP欺骗攻击

防范ARP攻击策略面面观及技巧一则

ARP透视——ARP欺骗攻击的原理

ARP透视——ARP原理

局域网遭遇盗用MAC地址上网问题的解决方法

反击ARP欺骗讲述我和网络执法官的战斗