作者:hacker发布时间:2022-07-11分类:破解邮箱浏览:145评论:4
对ARP病毒攻击的防范和处理
如果在使用网络时速度越来越慢,直至掉线,而过一段时间后又可能恢复正常,或者,重启路由器后又可正常上网。故障出现时,网关ping
不通或有数据丢失,那么很有可能是受到了ARP病毒攻击。下面我就谈谈对这种情况处理的一些意见。
一、首先诊断是否为ARP病毒攻击
1、当发现上网明显变慢,或者突然掉线时,我们可以用arp-命令来检查ARP表:(点击 开始 按钮-选择运行-输入 cmd 点击 确定
按钮,在窗口中输入 arp -a 命令)如果发现网关的MAC地址发生了改变,或者发现有很多IP指向同一个物理地址,那么肯定就是ARP欺骗所致。
2、利用Anti ARP Sniffer软件查看(详细使用略)。
二、找出ARP病毒主机
1、用“arp –d”命令,只能临时解决上网问题,要从根本上解决问题,就得找到病毒主机。通过上面的arp
–a命令,可以判定改变了的网关MAC地址或多个IP指向的物理地址,就是病毒机的MAC地址。哪么对应这个MAC地址的主机又是哪一台呢,windows中有ipconfig/all命令查看每台的信息,但如果电脑数目多话,一台台查下去不是办法,因此可以下载一个叫“NBTSCAN”的软件,它可以取到PC的真实IP地址和MAC地址。
命令:“nbtscan -r 192.168.80.0/24”(搜索整个192.168.80.0/24网段, 即
192.168.80.1-192.168.80.254);或“nbtscan 192.168.80.25-137”搜索192.168.80.25-137
网段,即192.168.80.25-192.168.80.137。输出结果第一列是IP地址,最后一列是MAC地址。这样就可找到病毒主机的IP地址。
2、如果手头一下没这个软件怎么办呢?这时也可在客户机运行路由跟踪命令如:tracert –d
,马上就发现第一条不是网关机的内网ip,而是本网段内的另外一台机器的IP,再下一跳才是网关的内网IP;正常情况是路由跟踪执行后的输出第一条应该是默认网关地址,由此判定第一跳的那个非网关IP
地址的主机就是罪魁祸首。
当然找到了IP之后,接下来是要找到这个IP具体所对应的机子了,如果你每台电脑编了号,并使用固定IP,IP的设置也有规律的话,那么就很快找到了。但如果不是上面这种情况,IP设置又无规律,或者IP是动态获取的那该怎么办呢?难道还是要一个个去查?非也!你可以这样:把一台机器的IP地址设置成与作祟机相同的相同,然后造成IP地址冲突,使中毒主机报警然后找到这个主机。
三、处理病毒主机
1、用杀毒软件查毒,杀毒。
2、建议重装系统,一了百了。(当然你应注意除系统盘外其他盘有无病毒)
四、如何防范ARP病毒攻击
1、从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。因此很多人建议用户采用双向绑定的方法解决并且防止ARP欺骗,这个确实是最好解决的办法,但如果电脑数量多的情况下,在路由器上作绑定工作量将很大,我个人认为主要做好在PC上绑定路由器的IP和MAC地址就行了,在PC上绑定可以按下面方法做:
1)首先,获得路由器的内网的MAC地址(例如网关地址172.16.1.254的MAC地址为0022aa0022ee)。
2)编写一个批处理文件rarp.bat内容如下:
@echo off
arp -d
arp -s 172.16.1.254 00-22-aa-00-22-ee
将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。将这个批处理软件拖到“windows--开始--程序--启动”中。
这样即减轻了一台台设置的麻烦,也避免了由于电脑重新启动使得数据又要重做的麻烦。当然最好电脑要有还原卡和保护系统,使得这个批处理不会被随意删除掉。
2、作为网络管理员,我认为应该充分利用一些工具软件,备一些常用的工具,就ARP而言,推荐在手头准备这样几个软件:
①“Anti ARP Sniffer”(使用Anti ARP
Sniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包,并能查找攻击主机的IP及MAC地址)。
②“NBTSCAN”(NBTSCAN可以取到PC的真实IP地址和MAC地址,利用它可以知道局域网内每台IP对应的MAC地址)
③“网络执法官”
(一款局域网管理辅助软件,采用网络底层协议,能穿透各客户端防火墙对网络中的每一台主机、交换机等配有IP的网络设备进行监控;采用网卡号(MAC)识别用户,主要功能是依据管理员为各主机限定的权限,实时监控整个局域网,并自动对非法用户进行管理,可将非法用户与网络中某些主机或整个网络隔离,而且无论局域网中的主机运行何种防火墙,都不能逃避监控,也不会引发防火墙警告,提高了网络安全性)
3、定时检查局域网病毒,对机器进行病毒扫描,平时给系统安装好补丁程序,最好是局域网内每台电脑保证有杀毒软件(可升级)
4、指导好网络内使用者不要随便点击打开QQ、MSN等聊天工具上发来的链接信息,不要随便打开或运行陌生、可疑文件和程序,如邮件中的陌生附件,外挂程序等。
5、建议对局域网的每一台电脑尽量作用固定IP,路由器不启用DHCP,对给网内的每一台电脑编一个号,每一个号对应一个唯一的IP,这样有利用以后故障的查询也方便管理。并利用“NBTSCAN”软件查出每一IP对应的MAC地址,建立一个“电脑编号-IP地址-MAC地址”一一对应的数据库。
防护arp攻击软件最终版-Antiarp安全软件
使用方法:
1、填入网关IP地址,点击〔获取网关地址〕将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。注意:如出现ARP欺骗提示,这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包,如果您想追踪攻击来源请记住攻击者的MAC地址,利用MAC地址扫描器可以找出IP 对应的MAC地址.
2、IP地址冲突
如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数据包,才会出现IP冲突的警告,利用Anti ARP Sniffer可以防止此类攻击。
3、您需要知道冲突的MAC地址,Windows会记录这些错误。查看具体方法如下:
右击[我的电脑]--[管理]--点击[事件查看器]--点击[系统]--查看来源为[TcpIP]---双击事件可以看到显示地址发生冲突,并记录了该MAC地址,请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-),输入完成之后点击[防护地址冲突],为了使MAC地址生效请禁用本地网卡然后再启用网卡,在CMD命令行中输入Ipconfig /all,查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符,如果更改失败请与我联系。如果成功将不再会显示地址冲突。
注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。
全中文界面,绿色不用安装
ARP欺骗严重的情况下会导致网络瘫痪的。
建议采取如下方案:
1. 在DOS窗口中输入arp -a。检查各IP对应的mac地址,如果发现mac地址有重复,就可能存在ARP欺骗。
2. 安装ARP防火墙,有arp攻击时一般可以提示攻击来源。
3. 安装WFilter里面的“网络健康度检测插件”,可以检测出ARP攻击的IP地址、MAC地址和MAC厂商信息。
你是不是无意中改动了IP和路由器一样了,或者你私自增加了网络设备,比如无线路由什么的,它默认IP可能与校园网的路由器一样,这样其它电脑上都会显示ARP攻击,来自你的无线路由的MAC。。。。
p2p终结者现在很多软件都可以限制,下载360安全卫士,把arp防火墙打开,确认别人没有攻击你。下面mac限制,会让别人的机子无法上网,请慎用。
1:路由是什么牌子的,用baidu搜索一下初始密码
2:密码如果被改了,直接按路由上面的小按扭,恢复出产设置。(这样你要重新设置无线,如果不懂的话最好不要恢复出产设置)
------------------------得到密码
1.进入路由,进入mac地址过滤(MAC ADDRESS FILLTER 按字面翻译应该是,我的路由是英文版的)
2.添加对方mac地址 | 使 “局域网查看工具”--“nbtstat”可以查到对方的mac地址,也可以使用命令提示符---nbtstat -a ip 就可以得到对方的mac地址 |
3.把mac地址过滤打勾,再打勾新添加的mac地址。应用设置就可以了
---------------------------------
另外还有一个限制上网工具,局域网终结者,很老的工具。一般来讲起不到作用
不过还是推荐MAC限制上网,直接令对方无法上网, 比较强大,甚用。
ARP防火墙建议: ARPtiarp
下载地址
自己研究下设置,如果攻击比较强,那在这里里把防御等级改成主动防御,防御等级调高点
另外,进攻是最好的防御,安装好ARP防火墙后,再装个P2P终结者,不过局域网的这种斗争是个长期的过程,你在这里能找到方法,别人也能找到。最好是互相沟通下好,
简单点的,你会点CMD命令吧,双绑IP和路由也可以防止ARP攻击,我给你个开机自动绑定路由MACIP和你电脑的MACIP的批处理文件,你设置在开机自动启动里面,重启电脑,这样可以有效防止ARP欺骗。我就是用这个的,还不错
把一下命令复制在记事本里,然后保存,重命名文件名为,REARP.bat , 然后把这个批处理文件放在程序启动里,重启电脑,这样每次开机后都会自动删除非法MAC绑定,并重新绑定路由和你电脑的MACIP,试试吧,
@echo OFF
arp -d
if %~n0==arp exit
if %~n0==Arp exit
if %~n0==ARP exit
echo 正在获取本机信息.....
:IP
FOR /f "skip=13 tokens=15 usebackq " %%i in (`ipconfig /all`) do Set IP=%%i GOTO MAC
:MAC
echo IP:%IP%
FOR /f "skip=13 tokens=12 usebackq " %%i in (`ipconfig /all`) do Set MAC=%%i GOTO GateIP
:GateIP
echo MAC:%MAC%
arp -s %IP% %MAC%
echo 正在获取网关信息.....
FOR /f "skip=17 tokens=13 usebackq " %%i in (`ipconfig /all`) do Set GateIP=%%i GOTO GateMac
:GateMac
echo GateIP:%GateIP%
ping %GateIP% -t -n 1
FOR /f "skip=3 tokens=2 usebackq " %%i in (`arp -a %GateIP%`) do Set GateMAC=%%i GOTO Start
:Start
echo GateMAC:%GateMAC%
arp -s %GateIP% %GateMAC%
@pause
echo 操作完成!!!
运行之后,你在CMD里面, 输入 arp -a 看下路由IP和你IP后面的状态是不是static, 如果是说明绑定成功,Ok了,
标签:锐捷arp攻击的软件
已有4位网友发表了看法:
访客 评论于 2022-07-11 18:21:20 回复
就行了,在PC上绑定可以按下面方法做:1)首先,获得路由器的内网的MAC地址(例如网关地址172.16.1.254的MAC地址为0022aa0022ee)。2)编写一个批处理文件rarp.bat内容如下:@echo
访客 评论于 2022-07-12 05:02:00 回复
软件最终版-Antiarp安全软件 使用方法: 1、填入网关IP地址,点击〔获取网关地址〕将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。注意:如出现ARP欺骗提示,这说明攻击者发送了
访客 评论于 2022-07-12 04:34:16 回复
%MAC% echo 正在获取网关信息..... FOR /f "skip=17 tokens=13 usebackq " %%i in (`ipconfig /all`) do Set GateIP=%%i GOTO GateMac :GateMac
访客 评论于 2022-07-12 02:16:34 回复
显示地址冲突。 注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。 全中文界面,绿色不用安装校园网(锐捷)遭到arp攻击,请问怎么解决ARP欺骗严重的情况下会导致网络瘫痪的。建议采取如下方案:1. 在DOS窗口中输入arp