[IT计算机]ARP病毒入侵原理和解决方案

1、arp病毒入侵原理和解决方案2008-01-02 17:01【故障原理】 要了解故障原理，我们先来了解一下arp协议。 在局域网中，通过arp协议来完成ip地址转换为第二层物理地址（即mac地址）的。arp协议对网络安全具有重要的意义。通过伪造ip地址和mac地址实现arp欺骗，能够在网络中产生大量的arp通信量使网络阻塞。 arp协议是“address resolution protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的mac地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的mac地址。但这个目标mac地址是如何

2、获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标ip地址转换成目标mac地址的过程。arp协议的基本功能就是通过目标设备的ip地址，查询目标设备的mac地址，以保证通信的顺利进行。 每台安装有tcp/ip协议的电脑里都有一个arp缓存表，表里的ip地址与mac地址是一一对应的，如下表所示。 主机 ip地址 mac地址 a aa-aa-aa-aa-aa-aa b bb-bb-bb-bb-bb-bb c cc-cc-cc-cc-cc-cc d dd-dd-dd-d

3、d-dd-dd 我们以主机a（）向主机b（）发送数据为例。当发送数据时，主机a会在自己的arp缓存表中寻找是否有目标ip地址。如果找到了，也就知道了目标mac地址，直接把目标mac地址写入帧里面发送就可以了；如果在arp缓存表中没有找到相对应的ip地址，主机a就会在网络上发送一个广播，目标mac地址是“ff.ff.ff.ff.ff.ff”，这表示向同一网段内的所有主机发出这样的询问：“的mac地址是什么？”网络上其他主机并不响应arp询问，只有主机b接收到这个帧时，才向主机a做出这样的回应：“的ma

4、c地址是bb-bb-bb-bb-bb-bb”。这样，主机a就知道了主机b的mac地址，它就可以向主机b发送信息了。同时它还更新了自己的arp缓存表，下次再向主机b发送信息时，直接从arp缓存表里查找就可以了。arp缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少arp缓存表的长度，加快查询速度。 从上面可以看出，arp协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的arp欺骗。对目标a进行欺骗，a去ping主机c却发送到了dd-dd-dd-dd-dd-dd这个地址上。如果进行欺骗的时候，把c的mac地址骗为dd-dd-dd-dd-dd-d

5、d，于是a发送到c上的数据包都变成发送给d的了。这不正好是d能够接收到a发送的数据包了么，嗅探成功。 a对这个变化一点都没有意识到，但是接下来的事情就让a产生了怀疑。因为a和c连接不上了。d对接收到a发送给c的数据包可没有转交给c。 做“man in the middle”，进行arp重定向。打开d的ip转发功能，a发送过来的数据包，转发给c，好比一个路由器一样。不过，假如d发送icmp重定向的话就中断了整个计划。 d直接进行整个包的修改转发，捕获到a发送给c的数据包，全部进行修改后再转发给c，而c接收到的数据包完全认为是从a发送来的。不过，c发送的数据包又直接传递给a，倘若再次进行对c的ar

6、p欺骗。现在d就完全成为a与c的中间桥梁了，对于a和c之间的通讯就可以了如指掌了。 【故障现象】 当局域网内某台主机运行arp欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。 切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。 由于arp欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当arp欺骗的木马程序停止运行时，

7、用户会恢复从路由器上网，切换过程中用户会再断一次线。 【hiper用户快速发现arp欺骗木马】 在路由器的“系统历史记录”中看到大量如下的信息（440以后的路由器软件版本中才有此提示）： mac chged 24 mac old 00:01:6c:36:d1:7f mac new 00:05:5d:60:c7:18 这个消息代表了用户的mac地址发生了变化，在arp欺骗木马开始运行的时候，局域网所有主机的mac地址更新为病毒主机的mac地址（即所有信息的mac new地址都一致为病毒主机的mac地址），同时在路由器的“用户统计”中看到所有用户的mac地址信息都一样。 如

8、果是在路由器的“系统历史记录”中看到大量mac old地址都一致，则说明局域网内曾经出现过arp欺骗（arp欺骗的木马程序停止运行时，主机在路由器上恢复其真实的mac地址）。 【在局域网内查找病毒主机】 在上面我们已经知道了使用arp欺骗木马的主机的mac地址，那么我们就可以使用nbtscan（下载地址：/upload/nbtscan.rar）工具来快速查找它。 nbtscan可以取到pc的真实ip地址和mac地址，如果有”传奇木马”在做怪，可以找到装有木马的pc的ip/和mac地址。 命令：“nbtscan -r /24”（搜索

9、整个/24网段, 即 -54）；或“nbtscan 5-137”搜索5-137 网段，即5-37。输出结果第一列是ip地址，最后一列是mac地址。 nbtscan的使用范例： 假设查找一台mac地址为“000d870d585f”的病毒主机。 1）将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。 2）在windows开始运行打开，输入cmd（windows98输入“command”），在出现的dos窗

10、口中输入：c: btscan -r /24（这里需要根据用户实际网段输入），回车。 c:documents and settingsalanc: btscan -r /24 warning: -r option not supported under windows. running without it. doing nbt name scan for addresses from /24 ip address netbios name server user mac address - sen

11、dto failed: cannot assign requested address 0 server 00-e0-4c-4d-96-c6 11 llf administrator 00-22-55-66-77-88 21 utt-hiper 00-0d-87-26-7d-78 75 jc 00-07-95-e0-7c-d7 23 test123 test123 00-0d-87-0d-58-5f 3）通过查询ip-mac对应表，查出“000d870d585f”的病毒主机的

12、ip地址为“23”。 【解决思路】 1、不要把你的网络安全信任关系建立在ip基础上或mac基础上，（rarp同样存在欺骗的问题），理想的关系应该建立在ip+mac基础上。 2、设置静态的mac-ip对应表，不要让主机刷新你设定好的转换表。 3、除非很有必要，否则停止使用arp，将arp做为永久条目保存在对应表中。 4、使用arp服务器。通过该服务器查找自己的arp转换表来响应其他机器的arp广播。确保这台arp服务器不被黑。 5、使用proxy代理ip的传输。 6、使用硬件屏蔽主机。设置好你的路由，确保ip地址能到达合法的路径。（静态配置路由arp条目），注意，使用交换

13、集线器和网桥无法阻止arp欺骗。 7、管理员定期用响应的ip包中获得一个rarp请求，然后检查arp响应的真实性。 8、管理员定期轮询，检查主机上的arp缓存。 9、使用防火墙连续监控网络。注意有使用snmp的情况下，arp的欺骗有可能导致陷阱包丢失。 【hiper用户的解决方案】 建议用户采用双向绑定的方法解决并且防止arp欺骗。 1、在pc上绑定路由器的ip和mac地址： 1）首先，获得路由器的内网的mac地址（例如hiper网关地址54的mac地址为0022aa0022aa局域网端口mac地址）。 2）编写一个批处理文件rarp.bat内容如下： echo off

14、 arp -d arp -s 54 00-22-aa-00-22-aa 将文件中的网关ip地址和mac地址更改为您自己的网关ip地址和mac地址即可。 将这个批处理软件拖到“windows-开始-程序-启动”中。 arp欺骗攻击原理及解决方案(摘)2007-12-06 13:52想了解的进arp攻击的原理，现象，和解决方法是什么？ 1.首先给大家说说什么是arp arp（address resolution protocol）是地址解析协议，是一种将ip地址转化成物理地址的协议。从ip地址到物理地址的映射有两种方式：表格方式和非表格方式。arp具体说来就是将网络层（ip

15、层，也就是相当于osi的第三层）地址解析为数据连接层（mac层，也就是相当于osi的第二层）的mac地址。 arp原理：某机器a要向主机b发送报文，会查询本地的arp缓存表，找到b的ip地址对应的mac地址后，就会进行数据传输。如果未找到，则广播a一个arp请求报文（携带主机a的ip地址ia物理地址pa），请求ip地址为ib的主机b回答物理地址pb。网上所有主机包括b都收到arp请求，但只有主机b识别自己的ip地址，于是向a主机发回一个arp响应报文。其中就包含有b的mac地址，a接收到b的应答后，就会更新本地的arp缓存。接着使用这个mac地址发送数据（由网卡附加mac地址）。因此，本地高速

16、缓存的这个arp表是本地网络流通的基础，而且这个缓存是动态的。 arp协议并不只在发送了arp请求才接收arp应答。当计算机接收到arp应答数据包的时候，就会对本地的arp缓存进行更新，将应答中的ip和mac地址存储在arp缓存中。因此，当局域网中的某台机器b向a发送一个自己伪造的arp应答，而如果这个应答是b冒充c伪造来的，即ip地址为c的ip，而mac地址是伪造的，则当a接收到b伪造的arp应答后，就会更新本地的arp缓存，这样在a看来c的ip地址没有变，而它的mac地址已经不是原来那个了。由于局域网的网络流通不是根据ip地址进行，而是按照mac地址进行传输。所以，那个伪造出来的mac地址

17、在a上被改变成一个不存在的mac地址，这样就会造成网络不通，导致a不能ping通c！这就是一个简单的arp欺骗。 2.网络执法官利用的就是这个原理！ 在网络执法官中，要想限制某台机器上网，只要点击网卡菜单中的权限，选择指定的网卡号或在用户列表中点击该网卡所在行，从右键菜单中选择权限，在弹出的对话框中即可限制该用户的权限。对于未登记网卡，可以这样限定其上线：只要设定好所有已知用户（登记）后，将网卡的默认权限改为禁止上线即可阻止所有未知的网卡上线。使用这两个功能就可限制用户上网。其原理是通过arp欺骗发给被攻击的电脑一个假的网关ip地址对应的mac，使其找不到网关真正的mac地址，这样就可以禁止其

18、上网。 3.修改mac地址突破网络执法官的封锁 根据上面的分析，我们不难得出结论：只要修改mac地址，就可以骗过网络执法官的扫描，从而达到突破封锁的目的。下面是修改网卡mac地址的方法： 在开始菜单的运行中输入regedit，打开注册表编辑器，展开注册表到：hkey_local_ machine/system/currentcontrol set/control/class/4d36e972-e325-11ce-bfc1-08002be103 18子键，在子键下的0000，0001，0002等分支中查找driverdesc（如果你有一块以上的网卡，就有0001，0002.在这里保存了有关你的网

19、卡的信息，其中的driverdesc内容就是网卡的信息描述，比如我的网卡是intel 210 41 based ethernet controller），在这里假设你的网卡在0000子键。 在0000子键下添加一个字符串，命名为networkaddress，键值为修改后的mac地址，要求为连续的12个16进制数。然后在0000子键下的ndi/params中新建一项名为networkaddress的子键，在该子键下添加名为default的字符串，键值为修改后的mac地址。 在networkaddress的子键下继续建立名为paramdesc的字符串，其作用为指定network address的描

20、述，其值可为mac address。这样以后打开网络邻居的属性，双击相应的网卡就会发现有一个高级设置，其下存在mac address的选项，它就是你在注册表中加入的新项networkaddress，以后只要在此修改mac地址就可以了。 关闭注册表，重新启动，你的网卡地址已改。打开网络邻居的属性，双击相应网卡项会发现有一个mac address的高级设置项，用于直接修改mac地址。 mac地址也叫物理地址、硬件地址或链路地址，由网络设备制造商生产时写在硬件内部。这个地址与网络无关，即无论将带有这个地址的硬件（如网卡、集线器、路由器等）接入到网络的何处，它都有相同的mac地址，mac地址一般不可改

21、变，不能由用户自己设定。mac地址通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如：08:00:20:0a:8c:6d就是一个mac地址，其中前6位16进制数，08:00:20代表网络硬件制造商的编号，它由ieee分配，而后3位16进制数0a:8c:6d代表该制造商所制造的某个网络产品（如网卡）的系列号。每个网络制造商必须确保它所制造的每个以太网设备都具有相同的前三字节以及不同的后三个字节。这样就可保证世界上每个以太网设备都具有唯一的mac地址。 另外，网络执法官的原理是通过arp欺骗发给某台电脑有关假的网关ip地址所对应的mac地址，使其找不到网关真正的mac地址。因此，只要我

22、们修改ip到mac的映射就可使网络执法官的arp欺骗失效，就隔开突破它的限制。你可以事先ping一下网关，然后再用arp -a命令得到网关的mac地址，最后用arp -s ip 网卡mac地址命令把网关的ip地址和它的mac地址映射起来就可以了。 4.找到使你无法上网的对方 解除了网络执法官的封锁后，我们可以利用arpkiller的sniffer杀手扫描整个局域网ip段，然后查找处在混杂模式下的计算机，就可以发现对方了。具体方法是：运行arpkiller（图2），然后点击sniffer监测工具，在出现的sniffer杀手窗口中输入检测的起始和终止ip（图3），单击开始检测就可以了。 检测完成后

23、，如果相应的ip是绿帽子图标，说明这个ip处于正常模式，如果是红帽子则说明该网卡处于混杂模式。它就是我们的目标，就是这个家伙在用网络执法官在捣乱。 扫描时自己也处在混杂模式，把自己不能算在其中哦！ 找到对方后怎么对付他就是你的事了，比方说你可以利用网络执法官把对方也给封锁了！:-)文二（转自百度知道）arp攻击的原理与解决方法(第三版）含如何在局域网内查找病毒主机 【故障原因】 局域网内有人使用arp欺骗的木马程序（比如：魔兽世界，天堂，劲舞团等盗号的软件，某些外挂中也被恶意加载了此程序）。 【故障原理】 要了解故障原理，我们先来了解一下arp协议。 在局域网中，通过arp协议来完成ip地址转

24、换为第二层物理地址（即mac地址）的。arp协议对网络安全具有重要的意义。通过伪造ip地址和mac地址实现arp欺骗，能够在网络中产生大量的arp通信量使网络阻塞。 arp协议是“address resolution protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的mac地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的mac地址。但这个目标mac地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标ip地址转换成目标mac地址的过程。arp协议的基本功能就是通过目标设备的ip地址

25、，查询目标设备的mac地址，以保证通信的顺利进行。 每台安装有tcp/ip协议的电脑里都有一个arp缓存表，表里的ip地址与mac地址是一一对应的，如下所示。 主机 ip地址 mac地址 a aa-aa-aa-aa-aa-aa b bb-bb-bb-bb-bb-bb c cc-cc-cc-cc-cc-cc d dd-dd-dd-dd-dd-dd 我们以主机a（）向主机b（）发送数据为例。当发送数据时，主机a会在自己的arp缓存表中寻找是否有目标

26、ip地址。如果找到了，也就知道了目标mac地址，直接把目标mac地址写入帧里面发送就可以了；如果在arp缓存表中没有找到相对应的ip地址，主机a就会在网络上发送一个广播，目标mac地址是“ff.ff.ff.ff.ff.ff”，这表示向同一网段内的所有主机发出这样的询问：“的mac地址是什么？”网络上其他主机并不响应arp询问，只有主机b接收到这个帧时，才向主机a做出这样的回应：“的mac地址是bb-bb-bb-bb-bb-bb”。这样，主机a就知道了主机b的mac地址，它就可以向主机b发送信息了。同时它还更新了自己的arp缓存表，下次再向主机b发

27、送信息时，直接从arp缓存表里查找就可以了。arp缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少arp缓存表的长度，加快查询速度。 从上面可以看出，arp协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的arp欺骗。对目标a进行欺骗，a去ping主机c却发送到了dd-dd-dd-dd-dd-dd这个地址上。如果进行欺骗的时候，把c的mac地址骗为dd-dd-dd-dd-dd-dd，于是a发送到c上的数据包都变成发送给d的了。这不正好是d能够接收到a发送的数据包了么，嗅探成功。 a对这个变化一点都没有意识到，但是接下来的事情就让a产生了怀疑

28、。因为a和c连接不上了。d对接收到a发送给c的数据包可没有转交给c。 做“man in the middle”，进行arp重定向。打开d的ip转发功能，a发送过来的数据包，转发给c，好比一个路由器一样。不过，假如d发送icmp重定向的话就中断了整个计划。 d直接进行整个包的修改转发，捕获到a发送给c的数据包，全部进行修改后再转发给c，而c接收到的数据包完全认为是从a发送来的。不过，c发送的数据包又直接传递给a，倘若再次进行对c的arp欺骗。现在d就完全成为a与c的中间桥梁了，对于a和c之间的通讯就可以了如指掌了。 【故障现象】 当局域网内某台主机运行arp欺骗的木马程序时，会欺骗局域网内所有主

29、机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。 切换到病毒主机上网后，如果用户已经登陆了服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录服务器，这样病毒主机就可以盗号了。 由于arp欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当arp欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。 【hiper用户快速发现arp欺骗木马】 在路由器的“系统历史记录”中看到大量如下的信息（440以后的路由器软件版本中

30、才有此提示）： mac chged 24 mac old 00:01:6c:36:d1:7f mac new 00:05:5d:60:c7:18 这个消息代表了用户的mac地址发生了变化，在arp欺骗木马开始运行的时候，局域网所有主机的mac地址更新为病毒主机的mac地址（即所有信息的mac new地址都一致为病毒主机的mac地址），同时在路由器的“用户统计”中看到所有用户的mac地址信息都一样。 如果是在路由器的“系统历史记录”中看到大量mac old地址都一致，则说明局域网内曾经出现过arp欺骗（arp欺骗的木马程序停止运行时，主机在路由器上恢复其真实的mac地址）

31、。 【在局域网内查找病毒主机】 在上面我们已经知道了使用arp欺骗木马的主机的mac地址，那么我们就可以使用nbtscan工具来快速查找它。 nbtscan可以取到pc的真实ip地址和mac地址，如果有”arp攻击”在做怪，可以找到装有arp攻击的pc的ip/和mac地址。 命令：“nbtscan -r /24”（搜索整个/24网段, 即-54）；或“nbtscan 5-137”搜索5-137 网段，即5-192.168.16.

32、137。输出结果第一列是ip地址，最后一列是mac地址。 nbtscan的使用范例： 假设查找一台mac地址为“000d870d585f”的病毒主机。 1）将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。 2）在windows开始运行打开，输入cmd（windows98输入“command”），在出现的dos窗口中输入：c: btscan -r /24（这里需要根据用户实际网段输入），回车。 3）通过查询ip-mac对应表，查出“000d870d585f”的病毒主机的ip地址为“23”。 【解决思路】 1、不要把你的

33、网络安全信任关系建立在ip基础上或mac基础上，（rarp同样存在欺骗的问题），理想的关系应该建立在ip+mac基础上。 2、设置静态的mac-ip对应表，不要让主机刷新你设定好的转换表。 3、除非很有必要，否则停止使用arp，将arp做为永久条目保存在对应表中。 4、使用arp服务器。通过该服务器查找自己的arp转换表来响应其他机器的arp广播。确保这台arp服务器不被黑。 5、使用proxy代理ip的传输。 6、使用硬件屏蔽主机。设置好你的路由，确保ip地址能到达合法的路径。（静态配置路由arp条目），注意，使用交换集线器和网桥无法阻止arp欺骗。 7、管理员定期用响应的ip包中获得一个r

34、arp请求，然后检查arp响应的真实性。 8、管理员定期轮询，检查主机上的arp缓存。 9、使用防火墙连续监控网络。注意有使用snmp的情况下，arp的欺骗有可能导致陷阱包丢失。 【hiper用户的解决方案】 建议用户采用双向绑定的方法解决并且防止arp欺骗。 1、在pc上绑定路由器的ip和mac地址： 1）首先，获得路由器的内网的mac地址（例如hiper网关地址54的mac地址为0022aa0022aa）。 2）编写一个批处理文件rarp.bat内容如下： echo off arp -d arp -s 54 00-22-aa-00-22-aa

35、 将文件中的网关ip地址和mac地址更改为您自己的网关ip地址和mac地址即可。 将这个批处理软件拖到“windows-开始-程序-启动”中。 3）如果是网吧，可以利用收费软件服务端程序（pubwin或者万象都可以）发送批处理文件rarp.bat到所有客户机的启动目录。windows2000的默认启动目录为“c:documents and settingsall users开始菜单程序启动”。 2、在路由器上绑定用户主机的ip和mac地址（440以后的路由器软件版本支持）： 在hiper管理界面-高级配置-用户管理中将局域网每台主机均作绑定。补丁下载地址（转自百度知道）：因为网络剪刀手等工具的

36、原理就是利用了arp欺骗，所以，只要防止了arp欺骗也等于防止了网络剪刀手。 解决办法(一)：应该把你的网络安全信任关系建立在ip+mac地址基础上，设置静态的mac-地址-ip对应表，不要让主机刷新你设定好的转换表。 具体步骤：编写一个批处理文件arp.bat内容如下(假设的mac地址是00-22-aa-00-22-aa)： echo off arp -d arp -s 00-22-aa-00-22-aa . . . arp -s 54 00-99-cc-00-99-cc (所有的ip与相应mac地址都按上面的格式写好) 将

37、文件中的ip地址和mac地址更改为您自己的网络ip地址和mac地址即可。 将这个批处理软件拖到每一台主机的“windows-开始-程序-启动”中。这样每次开机时，都会刷新arp表。 解决办法(二)： 下载防arp攻击补丁安装! 防arp攻击补丁for win.2k 防arp攻击补丁for win.2k.rar 防arp攻击补丁for win.xp 防arp攻击补丁for win.xp.rar 解决办法(三) 局域网arp攻击免疫器 这个在2000，xp 1,xp 2,2003下面都正常使用，不会对系统或游戏有任何影响。98的确没有测试过。 98下面，这个“局域网arp攻击免疫器”packet.

38、dll pthreadvc.dll wpcap.dll要解压缩到c:windowssystem里面才有效,另外一个npf.sys还是解压到system32drivers里面就可以了。 我可以很负责的告诉你们! 用了以后网络执法官是不可以用了! 可是用了带arp病毒的外挂还是会掉的! 本人再次详细申明一下：这个东东可以在2000，xp，2003下面正常使用，不会对系统.游戏有任何影响。对与98，需要使用dos命令来实现这几个文件的免修改属性。可以屏蔽网络执法官.网络终结者之类的软件对网吧进行毁灭性打击。至于由于病毒造成的危害，就无能为力了。没有一个东西是万能滴。 他的原理就是不让winpcap安

39、装成功，以上的程序只是随便找个sys 和dll文件代替winpcap的安装文件,并把这几个文件只读,至于win98下如何用,原理也一样,自己先安装winpcap然后再其卸载程序当中看到winpcap在system里面写了什么文件,再便找个sys 和dll文件代替其中关键的三个wpcap.dll、packet.dll、npf.sys，在win98当中可能是两个。至于这种方法安全吗？我认为一般，首先arp病毒不能防止，并且能容易把它破掉 1、arp攻击 针对arp的攻击主要有两种，一种是dos,一种是spoof。 arp欺骗往往应用于一个内部网络，我们可以用它来扩大一个已经存在的网络安全漏洞。 如

40、果你可以入侵一个子网内的机器，其它的机器安全也将受到arp欺骗的威胁。同样，利用apr的dos甚至能使整个子网瘫痪。 2、对arp攻击的防护 防止arp攻击是比较困难的,修改协议也是不大可能。但是有一些工作是可以提高本地网络的安全性。 首先，你要知道，如果一个错误的记录被插入arp或者ip route表，可以用两种方式来删除。 a. 使用arp d host_entry b. 自动过期，由系统删除 局域终结者,网络执法官,网络剪刀手 1。将这里面3个dll文件复制到windowssystem32 里面，将npf.sys 这个文件复制到 windowssystem32drivers 里面。 2。

41、将这4个文件在安全属性里改成只读。也就是不允许任何人修改。 arp欺骗的原理和简单解决方案2007/11/11 11:13 p.m.最近不少朋友及客户的服务器遇到arp欺骗攻击,造成站点被挂木马.由于是采用arp技术欺骗,所以主机并没入侵,在服务器里查看网页源码也是没任何挂马代码,但是网站在访问时候却全部被挂马! 开始我也不懂这就是网络传说中的arp欺骗,后来查了下资料才知道这就是arp欺骗.arp欺骗我们要先从arp工作原理讲起. 我们先熟悉下arp,大学计算机网络基础课学过,arp就是地址解析协议.osi参考模型里将整个网络通信的功能划分为七个层次.由低到高分别是:物理层、链路层、网络层、

42、传输层、会议层、表示层、应用层.第四层到第七层主要负责互操作性，第一层到三层则用于创造两个网络设备间的物理连接. 而arp欺骗就是一种用于会话劫持攻击中的常见手法.地址解析协议(arp)利用第2层物理mac地址来映射第3层逻辑ip地址，如果设备知道了ip地址，但不知道被请求主机的mac地址,它就会发送arp请求.arp请求通常以广播形式发送，以便所有主机都能收到. 在电信一般接终端的交换机都是2层交换机,交换原理是通过ip寻找对应的mac网卡地址,由于tcp/ip协议决定了只会通过mac寻址到对应的交换机的物理端口,所以才会遭到arp欺骗攻击. 现在我们做下比方,更能形象点解释arp欺骗过程及

43、原理： 假设有肉鸡a，被arp欺骗的主机b。肉鸡a不断告诉主机b它是网关,结果主机b也认为它是网关,于是把连接数据发送给它.肉鸡a再做一个连接的角色，把主机b的信息包加上木马发到真正的网关,结果用户得到的信息都是带了木马的网页,而主机b本身没木马.目前idc机房可以将类似思科2950及华为3026之类以上的交换机并启动arp广播屏蔽功能的话,应该可以阻止arp欺骗.另外,我们根据解析协议(arp)的工作原理,将网关ip和mac地址绑定成静态不可修改,这样就不会出现arp欺骗了,因为地址解析协议(arp)是利用第2层物理mac地址来映射第3层逻辑ip地址,也就是mac寻址来实现的.当然在我们每一

44、个主机上也要绑定网关的mac和ip，命令很简单,例如: arp -s 9 00-aa-00-62-c6-09现在总结下关预防arp欺骗:新建一个批处理文件，内容如下： echo off arp -s 默认网关ip地址 网关的mac地址 将这个批处理放到启动里。可以零时解决问题。另外也有软件可以解决:1、开启anti arp sniffer 3,输入网关ip地址,点击枚取mac如你网关填写正确将会显示出网关的mac地址.2、点击 自动保护 即可保护当前网卡与网关的通信不会被第三方监听.追踪arp攻击者：当局域网内有人试图与本机进行arp欺骗,其数据会被anti arp sn

45、iffer记录.请在欺骗数据详细记录表中选择需要追踪的行,然后点击追捕欺骗机,追捕过程中需要几分钟时间，如果该arp地址是真实的,也快就能追捕到攻击者. (追捕arp攻击者时需要停止自动保护) arp病毒入侵原理与解决方案2007年06月22日 星期五 下午 12:38 arp病毒入侵网络，导致很多家庭、网吧、企事业单位上网时，出现时断时续的情况，严重影响了我们的工作、生活和学习。为此 ，查阅了一些相关资料，把arp病毒入侵原理与解决方案告诉给大家。希望对大家防御此病毒起到一些帮助。【故障现象】 当局域网内某台主机运行arp欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须

46、经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。 &clpz7zd4m lapi dl 切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。 n$ ! wcgvm : q:?9 t 由于arp欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当arp欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。【在局域网内查找病毒主机】 在上面我们已经知道了使用arp欺骗木马

47、的主机的mac地址，那么我们就可以使用nbtscan（可以到百度搜索下载）工具来快速查找它。 l? 3+ 7r sltm6c|2 nbtscan可以取到pc的真实ip地址和mac地址，如果有”传奇木马”在做怪，可以找到装有木马的pc的ip/和mac地址。 命令：“nbtscan -r /24”（搜索整个/24网段, 即-54）；或“nbtscan 5-127”搜索5-127 网段，即5-27。输出结果第一列是ip地址，最

48、后一列是mac地址。 arp病毒病毒发作时候的特征为，中毒的机器会伪造某台电脑的mac地址，如该伪造地址为网关服务器的地址，那么对整个网络均会造成影响，用户表现为上网经常瞬断。 一、在任意客户机上进入命令提示符(或ms-dos方式)，用arp a命令查看： c:winntsystem32arp -a interface: 93 on interface 0x1000003 internet address physical address type 00-50-da-8a-62-2c dynamic 3 00-11-2f-43

49、-81-8b dynamic 4 00-50-da-8a-62-2c dynamic 5 00-05-5d-ff-a8-87 dynamic 00 00-50-ba-fa-59-fe dynamic 可以看到有两个机器的mac地址相同，那么实际检查结果为 00-50-da-8a-62-2c为4的mac地址，的实际mac地址为00-02-ba-0b-04-32，我们可以判定4实际上为有病毒的机器，它伪造了的mac地址。 arp病毒入侵原理和解决

50、方案22007-01-25 23:03【在局域网内查找病毒主机】 在上面我们已经知道了使用arp欺骗木马的主机的mac地址，那么我们就可以使用nbtscan（下载地址：/upload/nbtscan.rar）工具来快速查找它。 nbtscan可以取到pc的真实ip地址和mac地址，如果有”传奇木马”在做怪，可以找到装有木马的pc的ip/和mac地址。 命令：“nbtscan -r /24”（搜索整个/24网段, 即 -54）；或“nbtscan 192.168

51、.16.25-137”搜索5-137 网段，即5-37。输出结果第一列是ip地址，最后一列是mac地址。 nbtscan的使用范例： 假设查找一台mac地址为“000d870d585f”的病毒主机。 1）将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。 2）在windows开始运行打开，输入cmd（windows98输入“command”），在出现的dos窗口中输入：c:btscan -r /24（这里需要根据用户实际网段输入），回车。 cocuments and se

52、ttingsalanc: btscan -r /24 warning: -r option not supported under windows. running without it. doing nbt name scan for addresses from /24 ip address netbios name server user mac address - sendto failed: cannot assign requested address 0 server 00-e0-4

53、c-4d-96-c6 11 llf administrator 00-22-55-66-77-88 21 utt-hiper 00-0d-87-26-7d-78 75 jc 00-07-95-e0-7c-d7 23 test123 test123 00-0d-87-0d-58-5f 3）通过查询ip-mac对应表，查出“000d870d585f”的病毒主机的ip地址为“23”。 arp病毒原理及解决方案2007年12月11日 星期二 11:06每台计算机都有一个ip地址与ma

54、c地址的对照表（arp表），这个表是动态的，一般不需要维护。当你的机器需要与网关通信以便上网时，计算机自动广播查询请求，网关即响应其mac地址，你的机器再根据这个地址上网。 由于你的网段中某机器中毒，中毒的机器伪装成网关回应了你计算机的请求，你便得到了一个不正确的网关mac地址，这样你就断网了。 解决方案有两种： 一是临时应急型，可暂时解决不能上网的问题，而不是彻底清除病毒：只需使用windows系统自带的arp命令即可完成。方法如下：点击开始，运行，输入“arp -s 网关地址 网关mac地址”，这样即可使网关地址与真正的网关mac地址绑定，使得局域网内病毒主机无法再进行干扰！但问题是此方法

55、在计算机重启后自动失效，想再次使用必须重复上述操作。 为了方便可将其存成批处理文件。 打开记事本，将arp -s xxx.xxx.xxx.254 xx-xx-xx-xx-xx-xx输入，然后保存到桌面，注意保存类型选择“所有文件”，文件名可以自己取，后面一定要加上.bat后缀(文件名不可以是arp.bat)。这样，每次开机后双击这个文件即可完成注册静态arp的操作，就不怕因为病毒断网了。 p.s.可将这个bat文件放在开始-程序-启动目录下，这样每次开机后就自动执行这个命令，可同样实现这个功能。 二是彻底清除型，此方法必须将网内受感染的病毒主机找出，将其断网、杀毒（最好格式化硬盘，重装系统）同时在终端机绑定ip-mac以及在路由器内做路由器和每一台机器的ip-mac的绑定。 解决方案 一、在局域网内查找病毒主机 1、查