在局域网查找中毒电脑.docVIP

在局域网查找中毒电脑/arp 病毒清除在局域网查找中毒电脑！第一步骤: 找一台服务器(首先你要保证这台机器没有任何的病毒),然后建一个文件夹名为病毒,然后把这个文件夹开一下共享,名为:bd$. 要开所有权限.可读可写.第二个步骤:随便找几个100K以下的.EXE文件放进这个病毒这个文件夹里面.以可以新建几个空的文本文档，然后把文件扩展名改成exe第三个步骤:用工具查看哪台机器连了你这边机器的bd$这个共享文件夹的,哪台连接了,哪台就有病毒.而且你的病毒文件夹里面的.EXE文件已经被感染了.用这个办法找到了许多中毒的机器,然后再加以防范,也找到了不少的病毒的样本,嘿嘿.,. 大家给我往死里顶.哈哈.开这样的共享 bd$ 顾客不可能自己跑进来,只有病毒自己会跑进来,一进来,肯定就有病毒. 而且比较局部网哪台机器中毒,也非常好查,看看哪台机器连了你这个共享,哪台肯定中毒了.直接去GHOST就行了ARP欺骗攻击的包处理办法通用的处理流程1。先保证网络正常运行方法一：编辑一个*.bat文件内容如下：arp.exe s*.*.*.*(gw ip) *(gw mac address)end让网络用户点击就可以了！办法二：编辑一个注册表问题，键值如下：Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunMAC:=arp s *.*.*.* * gw ip and gw mac address然后保存成Reg文件以后在每个客户端上点击导入注册表。前言：今年算是ARP和LOGO1病毒对网吧的危害最大，在前期我们一般采用双向梆定的方法即可解决但是ARP变种 出现日期大概在10月份，大家也许还在为网关掉线还以为是电信的问题还烦恼吧，其实不然变种过程ARP病毒-变种OK病毒-变种TrojanDropper.Win32.Juntador.f或TrojanDropper.Win32.Juntador.C现在的这个ARP变种病毒更是厉害，我把自己遇到过的情况说给大家听听，如果大家有这些情况，不好意思“恭喜你”你中大奖了，呵呵先了解ARP变种病毒的特性吧:一:破坏你的ARP双向绑定批出理二:中毒机器改变成代理服务器又叫代理路由三:改变路由的网关MAC地址和internat网关的MAC地址一样病毒发作情况：现在的ARP变种 不是攻击客户机的MAC地址攻击路由内网网关，改变了它的原理，这点实在佩服直接攻击您的路由的什么地址你知道吗？哈哈猜猜吧不卖关了新的变种ARP直接攻击您路由的MAC地址和外网网关而且直接就把绑定IP与MAC的批处理文件禁用了。一会儿全掉线，一会儿是几台几台的掉线。而且中了ARP的电脑会把那台电脑转变成内网的代理服务器进行盗号和发动攻击。如果大家发现中了ARP没有掉线，那说明你中了最新的变种，你只要重启了那台中了ARP病毒的电脑，那么受到ARP攻击的机子就会全部掉线内网的网关不掉包，而外网的IP和DNS狂掉，这点也是ARP变种的出现的情况，请大家留意。我在最后会公布解决的案例和相关补丁，请大家看完全文可能对你有帮助哦，不要急着下呵呵该病毒发作时候的特征为，中毒的机器会伪造某台电脑的MAC地址，如该伪造地址为网关服务器的地址，那么对整个网吧均会造成影响，用户表现为上网经常瞬断。 一、在任意客户机上进入命令提示符(或MS-DOS方式)，用arp a命令查看： C:WINNTsystem32arp -a Interface: 93 on Interface 0x1000003 Internet Address Physical Address Type 00-50-da-8a-62-2c dynamic 3 00-11-2f-43-81-8b dynamic 4 00-50-da-8a-62-2c dynamic 5 00-05-5d-ff-a8-87 dynamic 00 00-50-ba-fa-59-fe dynamic 可以看到有两个机器的MAC地址相同，那么实际检查结果为 00-50-da-8a-62-2c为4的MAC地址，的实际MAC地址为00-02-ba-0b-04-32，我们可以判定4实际上为有病毒的机器，它伪造了的MAC地址。 二、在4上进入命令提示符(或MS-DOS方式)，用arp a命令查看： C:WINNTsystem32arp -a Interface: 4 on Interface 0x1000003 Internet Address Physical Address Type 00-02-ba-0b-04-32 dynamic 3 00-11-2f-43-81-8b dynamic 5 00-05-5d-ff-a8-87 dynamic 93 00-11-2f-b2-9d-17 dynamic 00 00-50-ba-fa-59-fe dynamic 可以看到带病毒的机器上显示的MAC地址是正确的，而且该机运行速度缓慢，应该为所有流量在二层通过该机进行转发而导致，该机重启后网吧内所有电脑都不能上网，只有等arp刷新MAC地址后才正常，一般在2、3分钟左右。 三、如果主机可以进入dos窗口，用arp a命令可以看到类似下面的现象： C:WINNTsystem32arp -a Interface: on Interface 0x1000004 Internet Address Physical Address Type 3 00-50-da-8a-62-2c dynamic 4 00-50-da-8a-62-2c dynamic 5 00-50-da-8a-62-2c dynamic 93 00-50-da-8a-62-2c dynamic 00 00-50-da-8a-62-2c dynamic 该病毒不发作的时候，在代理服务器上看到的地址情况如下： C:WINNTsystem32arp -a Interface: on Interface 0x1000004 Internet Address Physical Address Type 3 00-11-2f-43-81-8b dynamic 4 00-50-da-8a-62-2c dynamic 5 00-05-5d-ff-a8-87 dynamic 93 00-11-2f-b2-9d-17 dynamic 00 00-50-ba-fa-59-fe dynamic 病毒发作的时候，可以看到所有的ip地址的mac地址被修改为00-50-da-8a-62-2c，正常的时候可以看到MAC地址均不会相同。成功就是潜意识的等待-学无止境！至弱即为至强一步一步按步骤操作解决办法一： 一、采用客户机及网关服务器上进行静态ARP绑定的办法来解决。 1 在所有的客户端机器上做网关服务器的ARP静态绑定。 首先在网关服务器（代理主机）的电脑上查看本机MAC地址 C:WINNTsystem32ipconfig /all Ethernet adapter 本地连接 2: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Intel? PRO/100B PCI Adapter (TX) Physical Address. . . . . . . . . : 00-02-ba-0b-04-32 Dhcp Enabled. . . . . . . . . . . : No IP Address. . . . . . . . . . . . : Subnet Mask . . . . . . . . . . . : 然后在客户机器的DOS命令下做ARP的静态绑定 C:WINNTsystem32arp s 00-02-ba-0b-04-32 注：如有条件，建议在客户机上做所有其他客户机的IP和MAC地址绑定。 2 在网关服务器（代理主机）的电脑上做客户机器的ARP静态绑定 首先在所有的客户端机器上查看IP和MAC地址，命令如上。 然后在代理主机上做所有客户端服务器的ARP静态绑定。如： C:winntsystem32 arp s 3 00-11-2f-43-81-8b C:winntsystem32 arp s 4 00-50-da-8a-62-2c C:winntsystem32 arp s 5 00-05-5d-ff-a8-87 。 3 以上ARP的静态绑定最后做成一个windows自启动文件，让电脑一启动就执行以上操作，保证配置不丢失。 二、有条件的网吧可以在交换机内进行IP地址与MAC地址绑定 三、IP和MAC进行绑定后，更换网卡需要重新绑定，因此建议在客户机安装杀毒软件来解决此类问题：该网吧发现的病毒是变速齿轮2.04B中带的，病毒程序在 /list/3007.html 可下载到：解决方法二： 1：在网关路由上对客户机使用静态MAC绑定。ROUTE OS软路由的用户可以参照相关教程，或是在IP-ARP列表中一一选中对应项目单击右键选择“MAKE STATIC”命令，创建静态对应项。 用防火墙封堵常见病毒端口：134-139，445，500，6677，5800，5900，593，1025，1026，2745，3127，6129 以及P2P下载 2：在客户机上进行网关IP及其MAC静态绑定，并修改导入如下注册表：     （A）禁止ICMP重定向报文     ICMP的重定向报文控制着Windows是否会改变路由表从而响应网络设备发送给它的ICMP重定向消息，这样虽然方便了用户，但是有时也会被他人利用来进行网络攻击，这对于一个计算机网络管理员来说是一件非常麻烦的事情。通过修改注册表可禁止响应ICMP的重定向报文，从而使网络更为安全。     修改的方法是：打开注册表编辑器，找到或新建“HKEY_LOCAL_MachineSystemCurrentControlSetServicesTCPIPParamters”分支，在右侧窗口中将子键“EnableICMPRedirects”(REG_DWORD型)的值修改为0（0为禁止ICMP的重定向报文）即可。     （B）禁止响应ICMP路由通告报文     “ICMP路由公告”功能可以使他人的计算机的网络连接异常、数据被窃听、计算机被用于流量攻击等，因此建议关闭响应ICMP路由通告报文。     修改的方法是：打开注册表编辑器，找到或新建“HKEY_LOCAL_MachineSystemCurrentControlSetServicesTCPIPParamtersInterfaces”分支，在右侧窗口中将子键“PerformRouterDiscovery” REG_DWORD型的值修改为0（0为禁止响应ICMP路由通告报文，2为允许响应ICMP路由通告报文）。修改完成后退出注册表编辑器，重新启动计算机即可。      （C）设置arp缓存老化时间设置 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters ArpCacheLifeREG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒) ArpCacheMinReferencedLifeREG_DWORD 0-0xFFFFFFFF(秒数,默认值为600) 说明:如果ArpCacheLife大于或等于ArpCacheMinReferencedLife,则引用或未引用的ARP 缓存项在ArpCacheLife秒后到期.如果ArpCacheLife小于ArpCacheMinReferencedLife, 未引用项在ArpCacheLife秒后到期,而引用项在ArpCacheMinReferencedLife秒后到期. 每次将出站数据包发送到项的IP地址时,就会引用ARP缓存中的项。 曾经看见有人说过，只要保持IP-MAC缓存不被更新，就可以保持正确的ARP协议运行。关于此点，我想可不可以通过，修改注册表相关键值达到： 默认情况下ARP缓存的超时时限是两分钟，你可以在注册表中进行修改。可以修改的键值有两个，都位于 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 修改的键值： 键值1：ArpCacheLife，类型为Dword，单位为秒，默认值为120 键值2：ArpCacheMinReferencedLife，类型为Dword，单位为秒，默认值为600 注意：这些键值默认是不存在的，如果你想修改，必须自行创建；修改后重启计算机后生效。 如果ArpCacheLife的值比ArpCacheMinReferencedLife的值大，那么ARP缓存的超时时间设置为ArpCacheLife的值；如果ArpCacheLife的值不存在或者比ArpCacheMinReferencedLife的值小，那么对于未使用的ARP缓存，超时时间设置为120秒；对于正在使用的ARP缓存，超时时间则设置为ArpCacheMinReferencedLife的值。 我们也许可以将上述键值设置为非常大，不被强制更新ARP缓存。为了防止病毒自己修改注册表，可以对注册表加以限制。 对于小网吧，只要事先在没遇到ARP攻击前，通过任意一个IP-MAC地址查看工具，纪录所有机器的正确IP-MAC地址。等到受到攻击可以查看哪台机器出现问题，然后通常是暴力解决，问题也许不是很严重。但是对于内网电脑数量过大，每台机器都帮定所有IP-MAC地址，工作量非常巨大，必须通过专门软件执行。解决办法三：删除system32npptools.dll，我维护的网吧那里删除了一个月了，从来没中过ARP病毒，也无任何不良反映，ARP病毒缺少了npptools.dll这个文件根本不能运行，目前所发现的ARP病毒通通提示npptools.dll出错，无法运行暂时还没发现可以自动生成npptools.dll的病毒，npptools.dll本身就40多K，病毒如果还要生成自己的运行库的话，不是几十K的大小就可以办到的，再大一些的就不是病毒了当然，还是要做ARP -S绑定，只绑定本机自身跟路由即可，可以在“一定程度上”减少ARP程序的破坏删除不了同志，麻烦您先关闭文件保护，最简单的方法就是用XPLITE来关闭，网上一搜一大把的 另外再次声明，这个方法只对ARP病毒生效，对恶意软件只是小部分有效的局域网时断时连的一种故障排查与解决局域网共享上网时，出现大面积时断时连，上网断断续续，停顿等故障，很可能是局域网中有机子中了arp伪装病毒，推荐使用Anti ARP Sniffer v3.6免费版和法国顶级防火墙LIN解决。Anti ARP Sniffer v3.6免费版下载：/11月23发布,这是一套完全免费的产品.这是一款防御ARP攻击的软件。主要功能如下:1、能够防御所有ARP恶意程序。2、软件具备追踪ARP攻击者的功能,能够追踪到对方的IP地址。3、软件自动修复ARP数据,并保持网络永不中断。4、软件能自动获取本机发送与接受的广播包数量。5、通过预先保存的MAC记录能自动显示攻击者IP。6、软件能防范IP冲突攻击。7、软件能自动运行，自动保护。-1. ARP概念咱们谈ARP之前，还是先要知道ARP的概念和工作原理，理解了原理知识，才能更好去面对和分析处理问题。1.1 ARP概念知识ARP，全称Address Resolution Protocol，中文名为地址解析协议，它工作在数据链路层，在本层和硬件接口联系，同时对上层提供服务。IP数据包常通过以太网发送，以太网设备并不识别32位IP地址，它们是以48位以太网地址传输以太网数据包。因此，必须把IP目的地址转换成以太网目的地址。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。ARP协议用于将网络中的IP地址解析为的硬件地址（MAC地址），以保证通信的顺利进行。1.2 ARP工作原理首先，每台主机都会在自己的ARP缓冲区中建立一个 ARP列表，以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时，会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址，如果有，就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个 ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP 地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个 ARP响应数据包，告诉对方自己是它需要查找的 MAC地址；源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。例如：A的地址为：IP： MAC: AA-AA-AA-AA-AA-AAB的地址为：IP： MAC: BB-BB-BB-BB-BB-BB根据上面的所讲的原理，我们简单说明这个过程：A要和B通讯，A就需要知道B的以太网地址，于是A发送一个ARP请求广播（谁是 ，请告诉），当B收到该广播，就检查自己，结果发现和自己的一致，然后就向A发送一个ARP单播应答（ 在BB-BB-BB-BB-BB-BB）。1.3 ARP通讯模式通讯模式（Pattern Analysis）：在网络分析中，通讯模式的分析是很重要的，不同的协议和不同的应用都会有不同的通讯模式。更有些时候，相同的协议在不同的企业应用中也会出现不同的通讯模式。ARP在正常情况下的通讯模式应该是：请求 - 应答 - 请求 - 应答，也就是应该一问一答。2. 常见ARP攻击类型个人认为常见的ARP攻击为两种类型：ARP扫描和ARP欺骗。2.1 ARP扫描（ARP请求风暴）通讯模式（可能）：请求 - 请求 - 请求 - 请求 - 请求 - 请求 - 应答 - 请求 - 请求 - 请求.描述：网络中出现大量ARP请求广播包，几乎都是对网段内的所有主机进行扫描。大量的ARP请求广播可能会占用网络带宽资源；ARP扫描一般为ARP攻击的前奏。出现原因（可能）：*病毒程序，侦听程序，扫描程序。*如果网络分析软件部署正确，可能是我们只镜像了交换机上的部分端口，所以大量ARP请求是来自与非镜像口连接的其它主机发出的。*如果部署不正确，这些ARP请求广播包是来自和交换机相连的其它主机。2.2 ARP欺骗ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC 地址存储在ARP缓存中。所以在网络中，有人发送一个自己伪造的ARP应答，网络可能就会出现问题。这可能就是协议设计者当初没考虑到的！2.2.1 欺骗原理假设一个网络环境中，网内有三台主机，分别为主机A、B、C。主机详细信息如下描述： A的地址为：IP： MAC: AA-AA-AA-AA-AA-AAB的地址为：IP： MAC: BB-BB-BB-BB-BB-BBC的地址为：IP： MAC: CC-CC-CC-CC-CC-CC正常情况下A和C之间进行通讯，但是此时B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是（C的IP 地址），MAC地址是BB-BB-BB-BB-BB-BB（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B 伪造的ARP应答，就会更新本地的ARP缓存（A被欺骗了），这时B就伪装成C了。同时，B同样向C发送一个ARP应答，应答包中发送方IP地址四 （A的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（A的MAC地址本来应该是AA-AA-AA-AA-AA- AA），当C收到B伪造的ARP应答，也会更新本地ARP缓存（C也被欺骗了），这时B就伪装成了A。这样主机A和C都被主机B欺骗，A和C之间通讯的数据都经过了B。主机B完全可以知道他们之间说的什么：）。这就是典型的ARP欺骗过程。注意：一般情况下，ARP欺骗的某一方应该是网关。2.2.2 两种情况ARP欺骗存在两种情况：一种是欺骗主机作为“中间人”，被欺骗主机的数据都经过它中转一次，这样欺骗主机可以窃取到被它欺骗的主机之间的通讯数据；另一种让被欺骗主机直接断网。第一种：窃取数据（嗅探）通讯模式：应答 - 应答 - 应答 - 应答 - 应答 - 请求 - 应答 - 应答 -请求-应答.描述：这种情况就属于我们上面所说的典型的ARP欺骗，欺骗主机向被欺骗主机发送大量伪造的ARP应答包进行欺骗，当通讯双方被欺骗成功后，自己作为了一个“中间人“的身份。此时被欺骗的主机双方还能正常通讯，只不过在通讯过程中被欺骗者“窃听”了。出现原因（可能）：*木马病毒*嗅探（sniffer）*人为欺骗第二种：导致断网通讯模式：应答 - 应答 - 应答 - 应答 - 应答 - 应答 - 请求描述：这类情况就是在ARP欺骗过程中，欺骗者只欺骗了其中一方，如B欺骗了A，但是同时B没有对C进行欺骗，这样A实质上是在和B通讯，所以A就不能和C通讯了，另外一种情况还可能就是欺骗者伪造一个不存在地址进行欺骗。对于伪造地址进行的欺骗，在排查上比较有难度，这里最好是借用TAP设备（呵呵，这个东东好像有点贵勒），分别捕获单向数据流进行分析！出现原因（可能）：* 木马病毒*人为破坏*一些网管软件的控制功能3. 常用的防护方法搜索网上，目前对于ARP攻击防护问题出现最多是绑定IP和MAC和使用ARP防护软件，也出现了具有ARP防护功能的路由器。呵呵，我们来了解下这三种方法。3.1 静态绑定最常用的方法就是做IP和MAC静态绑定，在网内把主机和网关都做IP和MAC绑定。欺骗是通过ARP的动态实时的规则欺骗内网机器，所以我们把ARP全部设置为静态可以解决对内网PC的欺骗，同时在网关也要进行IP和MAC的静态绑定，这样双向绑定才比较保险。方法：对每台主机进行IP和MAC地址静态绑定。通过命令，arp -s可以实现 “arp s IP MAC地址 ”。例如：“arp s AA-AA-AA-AA-AA-AA”。如果设置成功会在PC上面通过执行 arp -a 可以看到相关的提示：Internet Address Physical Address Type AA-AA-AA-AA-AA-AA static(静态)一般不绑定,在动态的情况下：Internet Address Physical Address Type AA-AA-AA-AA-AA-AA dynamic(动态)说明：对于网络中有很多主机，500台，1000台.，如果我们这样每一台都去做静态绑定，工作量是非常大的。，这种静态绑定，在电脑每次重起后，都必须重新在绑定，虽然也可以做一个批处理文件，但是还是比较麻烦的！3.2 使用ARP防护软件目前关于ARP类的防护软件出的比较多了，大家使用比较常用的ARP工具主要是欣向ARP工具，Antiarp等。它们除了本身来检测出ARP攻击外，防护的工作原理是一定频率向网络广播正确的ARP信息。我们还是来简单说下这两个小工具。3.2.1 欣向ARP工具俺使用了该工具，它有5个功能： A. IP/MAC清单选择网卡。如果是单网卡不需要设置。如果是多网卡需要设置连接内网的那块网卡。IP/MAC扫描。这里会扫描目前网络中所有的机器的IP与MAC地址。请在内网运行正常时扫描，因为这个表格将作为对之后ARP的参照。之后的功能都需要这个表格的支持，如果出现提示无法获取IP或MAC时，就说明这里的表格里面没有相应的数据。 B. ARP欺骗检测这个功能会一直检测内网是否有PC冒充表格内的IP。你可以把主要的IP设到检测表格里面，例如，路由器，电影服务器，等需要内网机器访问的机器IP。(补充)“ARP欺骗记录”表如何理解：“Time”：发现问题时的时间；“sender”：发送欺骗信息的IP或MAC；“Repeat”：欺诈信息发送的次数；“ARP info”：是指发送欺骗信息的具体内容.如下面例子： time sender Repeat ARP info 22:22:22 2 1433 is at 00:0e:03:22:02:e8这条信息的意思是：在22:22:22的时间,检测到由2发出的欺骗信息，已经发送了1433次，他发送的欺骗信息的内容是：的MAC地址是00:0e:03:22:02:e8。打开检测功能，如果出现针对表内IP的欺骗，会出现提示。可以按照提示查到内网的ARP欺骗的根源。提示一句，任何机器都可以冒充其他机器发送IP与MAC，所以即使提示出某个IP或MAC在发送欺骗信息，也未必是100的准确。所有请不要以暴力解决某些问题。 C. 主动维护这个功能可以直接解决ARP欺骗的掉线问题，但是并不是理想方法。他的原理就在网络内不停的广播制定的IP的正确的MAC地址。“制定维护对象”的表格里面就是设置需要保护的IP。发包频率就是每秒发送多少个正确的包给网络内所有机器。强烈建议尽量少的广播IP，尽量少的广播频率。一般设置1次就可以，如果没有绑定IP的情况下，出现ARP欺骗，可以设置到50100次，如果还有掉线可以设置更高，即可以实现快速解决ARP欺骗的问题。但是想真正解决ARP问题，还是请参照上面绑定方法。 D. 欣向路由器日志收集欣向路由器的系统日志，等功能。 E. 抓包类似于网络分析软件的抓包，保存格式是.cap。3.2.1 Antiarp这个软件界面比较简单，以下为我收集该软件的使用方法。A. 填入网关IP地址，点击获取网关地址将会显示出网关的MAC地址。点击自动防护即可保护当前网卡与该网关的通信不会被第三方监听。注意：如出现ARP欺骗提示，这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包，如果您想追踪攻击来源请记住攻击者的MAC地址，利用MAC地址扫描器可以找出IP 对应的MAC地址.B. IP地址冲突如频繁的出现IP地址冲突，这说明攻击者频繁发送ARP欺骗数据包，才会出现IP冲突的警告，利用Anti ARP Sniffer可以防止此类攻击。C. 您需要知道冲突的MAC地址，Windows会记录这些错误。查看具体方法如下：右击我的电脑-管理-点击事件查看器-点击系统-查看来源为TcpIP-双击事件可以看到显示地址发生冲突，并记录了该 MAC地址，请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-)，输入完成之后点击防护地址冲突，为了使MAC地址生效请禁用本地网卡然后再启用网卡，在CMD命令行中输入Ipconfig /all，查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符，如果更改失败请与我联系。如果成功将不再会显示地址冲突。注意:如果您想恢复默认MAC地址,请点击恢复默认,为了使MAC地址生效请禁用本地网卡然后再启用网卡。3.3 具有ARP防护功能的路由器这类路由器以前听说的很少，对于这类路由器中提到的ARP防护功能，其实它的原理就是定期的发送自己正确的ARP信息。但是路由器的这种功能对于真正意义上的攻击，是不能解决的。ARP的最常见的特征就是掉线，一般情况下不需要处理一定时间内可以回复正常上网，因为ARP欺骗是有老化时间的，过了老化时间就会自动的回复正常。现在大多数路由器都会在很短时间内不停广播自己的正确ARP信息，使受骗的主机回复正常。但是如果出现攻击性ARP欺骗(其实就是时间很短的量很大的欺骗 ARP，1秒有个几百上千的)，它是不断的发起ARP欺骗包来阻止内网机器上网，即使路由器不断广播正确的包也会被他大量的错误信息给淹没。可能你会有疑问：我们也可以发送比欺骗者更多更快正确的ARP信息啊？如果攻击者每秒发送1000个ARP欺骗包，那我们就每秒发送1500个正确的ARP信息！面对上面的疑问，我们仔细想想，如果网络拓扑很大，网络中接了很多网络设备和主机，大量的设备都去处理这些广播信息，那网络使用起来好不爽，再说了会影响到我们工作和学习。ARP广播会造成网络资源的浪费和占用。如果该网络出了问题，我们抓包分析，数据包中也会出现很多这类ARP广播包，对分析也会造成一定的影响。-LNS全称：Look n Stop 来自法国，被誉为世界顶级防火墙！与同类产品相比具有最为突出的强劲功能以及与众不同的特点，不仅功能评测在知名防火墙中是最强的！而且软件大小只有区区600多k，十分小巧，占内存非常小，可以监控dll，更具强大的御防黑客攻击能力，在一个国外专业网站的试用中，它超过ZA、Kerio、Norton等排在了第一。软件名称: LooknStop最新版本: 2.05p3授权方式: 共享软件(30天试用)软件大小: 577KB下载地址: /En/index2.htm不过要说明的是，这个软件安装的时候将会提示没有经过微软的安全监测，这一点容易理解，微软当然希望所有的人使用它自己开发的软件产品，对于出现的提示，我想经常安装非微软软件产品的朋友都会遇上这种情况，所以没有必要理会。另外该软件规则设置较麻烦，而这些对初学者来说都是比较困难的。looknstop防火墙使用心得使用looknstop（以下简称lns）防火墙已经有一段时间了，我以前一直是用windows防火墙+自定义ipsec组策略作为网络安全方案的。使用lns是因为观察比较了几款墙后，被lns的小巧内核和强大功能所吸引，而且lns 2005sp3版的和windows安全中心完全兼容。还有一个原因是lns的灵活带来了配置的烦琐，很多人是刚装上lns就卸载了，正是这点吸引我去研究这个只有633kb的软件。二、安装：本来安装没什么好说的，但是如果你在安装lns的时候已经安装过防病毒软件和其他防火墙，最好还是看一看。比如我，在安装lns时候不是那么顺利，出了点问题。我在3台不同的电脑上安装lns，3台都出现了问题。第一台的问题是：安装好lns后每次重启都会发现硬件、安装。似乎是lns的某个文件不能被写入并存盘。分析了一下机器环境。感觉唯一的可能是我的mcafee virusscan enerpriese8.0i的设置问题（这是麦咖啡锁定系统文件不让修改的原因，注：水云深浪按）。不过搞了半天没确定是哪条资源保护规则出了问题。后来的解决方案是：进安全方式安装lns，重启后再进安全方式，安装lns驱动。第三次重启后lns工作正常。第二台的问题是：安装正常，不过只能导入一条规则，导入第二条规则铁定跳启，比按机箱上的reset还灵。后来分析了一下日志说是驱动或内存引起的问题。这个应该是我个人比较特殊的问题，不具普遍性。第三台的问题是：安装后，重启，结果死活找不到lns驱动，运行lsn就提示“找不到设备”。后来发现是lns和mdf（mcafee desktopfire 8.0zh）冲突所致。因为lns和mdf都会在安装后试图接管windows安全中心并获取高级的排他权限。所以大多数和windows安全中心兼容的防火墙产品都是有我没他，有他没我，独霸一处的。三、使用补遗：在看本段使用补遗之前，建议大家先拜读一下zeus首发龙族，后被多处转载的帖子 looknstop防火墙中级使用指南（7月19日更新）。指南很详尽地介绍了lns的设置和使用技巧，正是这个帖子才使我对lns有更深入和全面的了解。1、不能上网的补遗有些adsl用户反应装了lns后就不能上网。很不幸，我也遇到了，我在家里的一台电脑装了lns后就不能上网了，不过可以进行pppoe拨号并建立连接，可就是不能上网。后来发现是lns没有正确选择网络接口引起的。原因是为了加快winxp启动后载入adsl连接的速度，我手动指定了网卡ip地址。这导致lns不能自动辨别正确的网络接口。解决的方法有两个，一个是不要指定网卡的ip，另一个是在lns的选项标签页中，勾除自动选择网络接口的选项，手动指定网络接口为wan。小区宽带用户如fttx的lan接入在选择网络接口时也要注意。总之在lns的欢迎标签页上能看到正确的ip（不是全零或类似10.x.x.x内网型的就对了。当然局域网内用户除外）2、优化补遗在zeuslooknstop防火墙中级使用指南（7月19日更新）这个帖子的末尾，有一段关于如何对应用程序过滤进行设置的技巧。是把svchost.exe设置为只允许53端口访问dns，并不允许svchost.exe调用其他程序连接。这个设置的思路是对的：是让svchost.exe只访问一个ip的特定端口，阻止一些利用svchost.exe进行调用，并试图连网的病毒或木马。不过这样设置有有一个问题。就是很多通过svchost调用的合法服务或程序也被阻止了。比如你在msn上点hotmail的图标，就不能连上网，一些浏览器的跳转也被阻止。所以还是把禁止启动其他连接给恢复成允许吧。3、rules规则补遗a、新建一条针对特定应用程序才启动的规则时，必须重启该应用程序才能生效。比如，你在运行比特精灵的时候针对比特精灵的监听端口建立了一个开放端口的规则，要让该规则生效（就是暗红的钩子变绿色）必须关闭比特精灵后再启动才行。否则你会发现即便比特精灵已经运行，这个规则还是暗红的没有启用。b、很多高手为我们定制了现成的规则表，直接导入就可以了。不过我还是建议每个人都从lsn提供给你的enhancedrulesset.rls入手，逐步建立个性化的规则表。比如每个人使用的bt客户端和电驴，其监听端口都是不一样的。有些规则不指定ip和端口，只要特定程序运行，就开放所有端口通信，这其实有安全隐患。另外这么做可以让你了解防火墙的运行机制，了解程序访问网络的手续和步骤，还可以锻炼你创建规则和分析问题的能力，虽然麻烦了点，但好处多多。c、lns对不同的用户建立不同的应用程序过滤列表（网络过滤列表是全局的），如果你嫌麻烦让不同的用户去逐个授权，可以打开注册表，找到hkey_current_usersoftwaresoft4everlooknstopapplis这里保存着当前用户的应用程序列表，dll过滤列表也保存在这里哦。以后重装lns就不用授权应用程序了，导入就可以了。=ARP攻击原理及解决方法【故障原因】局域网内有人使用ARP欺骗的木马程序（比如：传奇盗号的软件，某些传奇外挂中也被恶意加载了此程序）。【故障原理】要了解故障原理，我们先来了解一下ARP协议。在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下表所示。主机 IP地址 MAC地址 A aa-aa-aa-aa-aa-aa B bb-bb-bb-bb-bb-bb C cc-cc-cc-cc-cc-cc D dd-dd-dd-dd-dd-dd 我们以主机A（）向主机B（）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“的MAC地址是bb-bb-bb-bb-bb-bb”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗，A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候，把C的MAC地址骗为DD-DD-