【正文】 C 地址，如該偽造地址為網(wǎng)關(guān)服務器的地址，那么對整個網(wǎng)吧均會造成影響，用 戶表現(xiàn)為上網(wǎng)經(jīng)常瞬斷。那時候我們?nèi)绾稳ソ鉀Q呢？ ARP 對網(wǎng)吧的危害最大，在前期我們一般采用雙向梆定的方法即可解決但是 ARP變種 ， 大家也許還在為網(wǎng)關(guān)掉線還以為是電信的問題還煩惱吧，其實不然變種過程 ARP病毒 變種 或 現(xiàn)在的這個ARP 變種病毒更 是厲害，我把 一些實際遇到的問題介紹 大家聽聽，如果大家有這些情況，不好意思 “恭喜你 ”你中大獎了，呵呵 ~~先了解 ARP 變種病毒的特性吧 : 9 一 :破壞你的 ARP 雙向綁定批出理 二 :中毒機器改變成代理服務器又叫代理路由 三 :改變路由的網(wǎng)關(guān) MAC 地址和 internat 網(wǎng)關(guān)的 MAC 地址一樣病毒發(fā)作情況：現(xiàn)在的 ARP 變種 不是攻擊客戶機的 MAC 地址攻擊路由內(nèi)網(wǎng)網(wǎng)關(guān)，改變了它的原理，這點實在佩服直接攻擊您的路由的什么地址你知道嗎？哈哈 ~~猜猜吧 ~~不賣關(guān)了 ~~新的變種 ARP 直接攻擊您路由的 MAC 地址和 外網(wǎng)網(wǎng)關(guān)而且直接就把綁定 IP 與 MAC 的批處理文件禁用了。 選課題目的 選擇 ARP 這個題目作為研究，那是為了更好的維護好我們的網(wǎng)絡。 ARP 攻擊不同于病毒，也不是系統(tǒng)漏洞，他不是病毒，但比病毒厲害；你打補丁 ，或裝防火墻，或安裝殺毒軟件都對他毫無意義。完全單機的用戶也可直接關(guān)閉 Server 服務。 經(jīng)常更新殺毒軟件（病毒庫），設(shè)置允許的可設(shè)置為每天定時自動更新。此操作比較重要，解決了 ARP 攻擊的源頭 PC 機的問題，可以保證內(nèi)網(wǎng)免受攻擊 。 針對網(wǎng)絡內(nèi)的其它主機用同樣的方法輸入相應的主機 IP 以及 MAC 地址完成 IP 與MAC 綁定。 在理解了 ARP 之后， ARP 欺騙攻擊以及如何判斷此類攻擊，我們簡單介紹一下如何找到行之有效的防制辦法來防止這類攻擊對網(wǎng)絡造成的危害。 ping 路由器的 LAN IP 丟包情況。如果找到了，也就知道了目標 MAC 地址，直接把目標 MAC 地址寫入幀里面 發(fā)送就可以了；如果在 ARP 緩存表中 沒有找到相對應的 IP 地址，主機 A 就會 在網(wǎng)絡上發(fā)送一個廣播，目標 MAC 地址是 “” ，這表示向同一網(wǎng)段內(nèi)的所有主機發(fā)出這樣的詢問： “ 的 MAC 地址是什么？ ” 網(wǎng)絡上其它主機 并不響應 ARP 詢問，只有主機 B 接收到這個幀時，才向主機 A 做出這樣的回應：“ 的 MAC 地址是 00aa0062c6 09。 ARP 協(xié)議的基本功能就是通過目標設(shè)備的 IP 地址，查詢目標設(shè)備的 MAC 地址，以保證通信的順利進行。 ARP 攻擊 與 防護措施 及解決方案 摘 要 要了解 ARP 欺騙攻擊 , 我們首先要了解 ARP 協(xié)議以及它的工作原理，以更好的來防范和排除 ARP 攻擊的帶來的危害。本文為大家?guī)磉M階的 ARP 攻擊防制方法。 ARP 協(xié)議的工作原理：在每臺安裝有 TCP/IP 協(xié)議的電腦里都有一個 ARP 緩存表，表里的 IP 地址與 MAC 地址是一一對應的，如表所示。 ” 這樣，主機 A 就知道了主機 B 的MAC 地址，它就可以向主機 B 發(fā)送信息了。輸入 ping （網(wǎng)關(guān) IP 地址） ， 如下圖： 圖 1 內(nèi)網(wǎng) ping 路由器的 LAN IP 丟幾個包，然后又連上，這很有可能是中了 ARP 攻擊。 一般處理辦法分三個步驟來完成。但是此動作，如果重起了電腦，作用就會消失，所以可以把此命令做成一個批處理文件，放在操作系統(tǒng)的啟動里面，批處理文件可以這樣寫： echo off arp d arp s 路由器 LAN IP 路由器 LAN MAC 在路由器端綁定用戶 IP/MAC 地址： 在 DHCP 功能中對 IP/MAC 進行綁定， Qno 路由器提供了一個顯示新加入的 IP 地址的功能，通過這個功能可以一次查找到網(wǎng)絡內(nèi)部的所有 PC 機的 IP/MAC 的對應列表，我們可以通過 “√” 選的功能選擇綁定 IP/MAC。 網(wǎng)吧管理員檢查局域網(wǎng)病毒，安裝殺毒軟件（金山毒霸 /瑞星 /卡巴斯基 ，必須要更新病毒代碼），對機器進行病毒掃描。安裝并使用 網(wǎng)絡防火墻軟件，網(wǎng)絡防火墻在防病毒過程中也可以起到至關(guān)重要 的作用，能有效地阻擋自來網(wǎng)絡的攻擊和病毒的入侵。 不要隨便點擊打開 、 MSN 等聊天工具上發(fā)來的鏈接信息，不要隨便打開或運行陌生、可疑文件和程序，如郵件中的陌生附件，外掛程序等。 ARP 攻擊只能在你內(nèi)部網(wǎng)絡中進行，只要在你網(wǎng)絡中的任意一臺電腦上運行 ARP 欺騙程序： ————可以在不知不覺中盜竊你網(wǎng)絡中傳輸?shù)娜魏涡畔ⅲ? ————也可以造成你整個網(wǎng)絡無法正常上網(wǎng)。如果您對 ARP的知識不了解的話那么當 你受到 ARP 攻擊的時候就會受到其大的影響。一會兒全掉線，一會兒是幾臺幾臺的掉線。 然而要處理好這種問題，就是我選擇這個課題的根本所在。 ARP 協(xié)議的基本功能就是通過目標設(shè)備的 IP 地址，查詢目標設(shè)備的 MAC 地址以保證通信的順利進行。在 Windows 中要查看或者修改 ARP緩存中的信息，可以使用 arp 命令來完成，比如在 Windows XP 的命令提示符窗口中鍵入 “arp a” 或 “arp g” 可以查看 ARP 緩存中的內(nèi)容；鍵入 “arp d IPaddress” 表示刪除指定的 IP 地址項（ IPaddress 表示 IP 地址）。 在局域網(wǎng)中，通過 ARP 協(xié)議來完成 IP 地址轉(zhuǎn)換為第二層物理地址（即 MAC 地址）的。在局域網(wǎng)中，網(wǎng)絡中實際傳輸?shù)氖?“ 幀 ” ，幀里面是有目標主機的 MAC 地址的。 ARP 協(xié)議的基本功能就是通過目標設(shè)備的 IP 地址，查詢目標設(shè)備的 MAC 地址，以保證通信的順利進行。如果找到了 ，也就知道了目標 MAC 地址，直接把目標 MAC 地址寫入幀 里面發(fā)送就可以了；如果在 ARP 緩存表中沒有找到相對應的 IP 地址，主機 A 就會在網(wǎng)絡上發(fā)送一個廣播，目標 MAC 地址是 “” ，這表示向同一網(wǎng)段內(nèi)的所有主機發(fā)出這樣的詢問：“ 的 MAC 地址是什么？ ” 網(wǎng)絡上其他主 機并不響應 ARP 詢問，只有主機B 接收到這個幀時，才向主機 A 做出這樣的回應： “ 的 MAC 地址是bbbbbbbbbb bb” 。 從上面可以看出， ARP 協(xié)議的基礎(chǔ)就是信任局域網(wǎng)內(nèi)所有的人，那么就很容易實現(xiàn)在以 太網(wǎng)上的 ARP 欺騙。 A 對這個變化一點都沒有意識到，但是接下來的事情就讓 A 產(chǎn)生了懷疑。打開 D 的 IP 轉(zhuǎn)發(fā)功能， A 發(fā)送過來的數(shù)據(jù)包，轉(zhuǎn)發(fā)給 C，好比一個路由器一樣?，F(xiàn)在 D 就完全成為 A 與 C 的中間橋梁 了，對于 A 和 C 之間的通訊就可以了如指掌了。 由于 ARP欺騙的木馬程序發(fā)作的時候會發(fā)出大量的數(shù)據(jù)包導致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶會感覺上網(wǎng)速度越來越慢。 【在局域網(wǎng)內(nèi)查找病毒主機】 在上面我們已經(jīng)知道了使用 ARP 欺騙木馬的主機的 MAC 地址，那么我們就可以使用NBTSCAN（下載地址： 快速查找它。 NBTSCAN 的使用范例： 假設(shè)查找一臺 MAC 地址為 “000d870d585f” 的病毒主機。 “ 網(wǎng)管，怎么又掉線了？！ ” 每每聽到客戶的責問，網(wǎng)管員頭都大了。 第一種 ARP 欺騙的原理是 —— 截獲網(wǎng)關(guān)數(shù)據(jù)。在 PC 看來，就是 上不了網(wǎng)了， “ 網(wǎng)絡掉線了 ” 。為此，寬帶路由器背了不少 “ 黑鍋 ” 。一般廠家要求兩個工作都要做，稱其為 IPMAC 雙向綁定。如果您有所擔心，那么不妨選用欣向網(wǎng)吧路由 IXP機種，它可以使您寬心一些。一是獨特的 NAT 處理機制，二是網(wǎng)關(guān)的主動防范機制。這就是欣向路由能夠?qū)?ARP 先天免疫的原理。 不過，如果不在 PC 上綁定 IPMAC，雖然有主動防范機制，但網(wǎng)絡依然在帶病運 行。為此，產(chǎn) 品還專門提供了一個 ARP 欺騙偵測、定位、防范的工具軟件，免費發(fā)放給所有的網(wǎng)吧，幫助網(wǎng)管員們發(fā)現(xiàn) ARP 欺騙的 存在，為清除 ARP 欺騙源提供工作輔佐，并加入了欣向主動防范機制 ,有效對付 ARP 欺騙。 網(wǎng)絡安全中的 ARP 協(xié)議和欺騙技術(shù)及其對策 ARP 協(xié)議的概念和工作原理對 學習網(wǎng)絡安全知識的初學者來說是首先遇到的幾個重要的知識點之一，其中 ARP 欺騙技術(shù)和及其對策更是學習網(wǎng)絡安全中的重點與難點， 16 往往難以一下子掌握這些 抽象復雜的機理。也就是將網(wǎng)絡層（ IP 層，也 就是相當于 ISO OSI 的第三層）地址解析為數(shù)據(jù)連接層（ MAC 層，也就是相當于 ISO OSI 的第二層）的 MAC 地址。 二， ARP 協(xié)議的工作原理 在以太網(wǎng)（ Ether）中，一個網(wǎng)絡設(shè)備要和另一個網(wǎng)絡設(shè)備進行直接通信，除了知道目標設(shè)備的網(wǎng)絡層邏輯地址（如 IP 地址）外，還要知 道目標設(shè)備的第二層物理地址（ MAC 地址）。同一網(wǎng)段中的所有其他 設(shè) 備都可以收到并分析這個 ARP 請求報文，如果某設(shè)備發(fā)現(xiàn)報文中的目標 IP 地址與自己的 IP 地址相同，則它向源設(shè)備發(fā)回 ARP 響應報文，通過該報文使源設(shè)備 獲得目標設(shè)備的 MAC 地址信息。在一次 ARP 的請求與響應過程中，通信雙方都把對方的 MAC 地址與 IP 地址的對 應關(guān)系保存在各自的 ARP表中，以在后續(xù)的通信中使用。如果未找到， ARP 程序就在網(wǎng)上廣播一個特殊格式的消息，看哪個機器知道與這個 IP 地址相關(guān)的 MAC 地址。也有反向地址解析協(xié)議（ RARP）供不知道 IP 地址的主機從 ARP 緩存中獲得 IP 地址。 當主機 A 想與主機 B 進行通訊時， A 機只知道 B 機的 IP 地址是 ,當數(shù)據(jù)包封裝到 MAC 層時他如何知道 B 的 MAC 地址呢，一般的 OS 中是這樣做的，在 OS 的內(nèi)核中保存一分 MAC 地址表，就是我們一中介始到的。 三，如何實現(xiàn) ARP 協(xié)議的欺騙技術(shù)和相應的對策 1， ARP 協(xié)議欺騙技術(shù) 當我們設(shè)定一個目標進行 ARP 欺騙時，也就是把 MAC 地址通過一主機 A 發(fā)送到主機B 上的數(shù)據(jù)包都變成發(fā)送給主機 C 的了，如果 C 能夠接收到 A 發(fā)送的數(shù)據(jù)包后，第一步屬于嗅探成功了，而對于主機 A 來目前是不可能意識到這一點，主機 C 接收到主 機 A發(fā)送給主機 B 的數(shù)據(jù)包可沒有轉(zhuǎn)交給 B。這樣就是主機 C 進行 ARP 協(xié)議欺騙技術(shù)，對于網(wǎng)絡安全來是很重要的。靜態(tài) ARP 協(xié)議表不會過期的，我們用 “arp d” 命令清除 ARP 表，即手動刪除。而 Linux 系統(tǒng)，其靜態(tài) ARP 表項不會被動態(tài)刷新，所以不需要 禁止相應網(wǎng)絡接 口做 ARP 解析 即可對抗 ARP 欺騙攻擊。 Sniffer 提供了捕獲數(shù)據(jù)包前的過濾規(guī)則的定義，過濾規(guī)則包括 3 層地址的定義和幾百種協(xié)議的定義。address，這是最常用的定義。這樣就完成了地址的定義。advanced，定義希望捕獲的相關(guān)協(xié)議的數(shù)據(jù)包。 PacketSize選項中，可以定義捕獲的包大小，圖 3，是定義捕獲包大小界于 64 至 128bytes的數(shù)據(jù)包。 Capturebuffer 選項卡，將設(shè)置緩沖區(qū)文件存放的位置。 二、捕獲數(shù)據(jù)包時觀察到的信息 Capture224。 HostTable：可以查看通信量最大的前 10 位主機。 Protocoldistribution:可以實時觀察到數(shù)據(jù)流中不同協(xié)議的分布情況。Stop 或者 Capture224。 Expert:這是 sniffer 提供的專家模式，系統(tǒng)自身根據(jù)捕獲的數(shù)據(jù)包從鏈路層到應用層進行分類并作出診斷。 要對包進行顯示過濾需切換到 Decode 模式。selectfilter,應用過濾規(guī)則。其他工具在 操作系統(tǒng) 中也有提供，不做介紹。見圖 10： 圖 10 29 可以定義連續(xù)地發(fā)送 buffer 中地數(shù)據(jù)包或只發(fā)送一次 buffer 中地數(shù)據(jù)包。因此，如何能夠快速、準確診斷出造成網(wǎng)絡流量問題的原因，是確保網(wǎng)絡高可用性的重要保證。 在 CodeRedⅡ肆虐的時候， Sniffer 就曾經(jīng)神奇地配合用戶及時地發(fā)現(xiàn)了問題。工程師首先利用 Dashboard 功能，對網(wǎng)絡的整體流量狀況進行監(jiān)控（如圖所示），發(fā)現(xiàn)該用戶的整體網(wǎng)絡帶寬占用率并不高，只有 10%左右，網(wǎng)絡中的絕對流量也不大，但網(wǎng)絡中的數(shù)據(jù)包卻非常多，甚至超過了 Sniffer 的缺