【正文】 C 地址，如該偽造地址為網(wǎng)關(guān)服務(wù)器的地址，那么對(duì)整個(gè)網(wǎng)吧均會(huì)造成影響，用 戶表現(xiàn)為上網(wǎng)經(jīng)常瞬斷。那時(shí)候我們?nèi)绾稳ソ鉀Q呢？ ARP 對(duì)網(wǎng)吧的危害最大，在前期我們一般采用雙向梆定的方法即可解決但是 ARP變種 ， 大家也許還在為網(wǎng)關(guān)掉線還以為是電信的問(wèn)題還煩惱吧，其實(shí)不然變種過(guò)程 ARP病毒 變種 或 現(xiàn)在的這個(gè)ARP 變種病毒更 是厲害，我把 一些實(shí)際遇到的問(wèn)題介紹 大家聽(tīng)聽(tīng)，如果大家有這些情況，不好意思 “恭喜你 ”你中大獎(jiǎng)了，呵呵 ~~先了解 ARP 變種病毒的特性吧 : 9 一 :破壞你的 ARP 雙向綁定批出理 二 :中毒機(jī)器改變成代理服務(wù)器又叫代理路由 三 :改變路由的網(wǎng)關(guān) MAC 地址和 internat 網(wǎng)關(guān)的 MAC 地址一樣病毒發(fā)作情況：現(xiàn)在的 ARP 變種 不是攻擊客戶機(jī)的 MAC 地址攻擊路由內(nèi)網(wǎng)網(wǎng)關(guān)，改變了它的原理，這點(diǎn)實(shí)在佩服直接攻擊您的路由的什么地址你知道嗎？哈哈 ~~猜猜吧 ~~不賣(mài)關(guān)了 ~~新的變種 ARP 直接攻擊您路由的 MAC 地址和 外網(wǎng)網(wǎng)關(guān)而且直接就把綁定 IP 與 MAC 的批處理文件禁用了。 選課題目的 選擇 ARP 這個(gè)題目作為研究，那是為了更好的維護(hù)好我們的網(wǎng)絡(luò)。 ARP 攻擊不同于病毒，也不是系統(tǒng)漏洞，他不是病毒，但比病毒厲害；你打補(bǔ)丁 ，或裝防火墻，或安裝殺毒軟件都對(duì)他毫無(wú)意義。完全單機(jī)的用戶也可直接關(guān)閉 Server 服務(wù)。 經(jīng)常更新殺毒軟件（病毒庫(kù)），設(shè)置允許的可設(shè)置為每天定時(shí)自動(dòng)更新。此操作比較重要，解決了 ARP 攻擊的源頭 PC 機(jī)的問(wèn)題，可以保證內(nèi)網(wǎng)免受攻擊 。 針對(duì)網(wǎng)絡(luò)內(nèi)的其它主機(jī)用同樣的方法輸入相應(yīng)的主機(jī) IP 以及 MAC 地址完成 IP 與MAC 綁定。 在理解了 ARP 之后， ARP 欺騙攻擊以及如何判斷此類攻擊，我們簡(jiǎn)單介紹一下如何找到行之有效的防制辦法來(lái)防止這類攻擊對(duì)網(wǎng)絡(luò)造成的危害。 ping 路由器的 LAN IP 丟包情況。如果找到了，也就知道了目標(biāo) MAC 地址，直接把目標(biāo) MAC 地址寫(xiě)入幀里面 發(fā)送就可以了；如果在 ARP 緩存表中 沒(méi)有找到相對(duì)應(yīng)的 IP 地址，主機(jī) A 就會(huì) 在網(wǎng)絡(luò)上發(fā)送一個(gè)廣播，目標(biāo) MAC 地址是 “” ，這表示向同一網(wǎng)段內(nèi)的所有主機(jī)發(fā)出這樣的詢問(wèn)： “ 的 MAC 地址是什么？ ” 網(wǎng)絡(luò)上其它主機(jī) 并不響應(yīng) ARP 詢問(wèn)，只有主機(jī) B 接收到這個(gè)幀時(shí)，才向主機(jī) A 做出這樣的回應(yīng)：“ 的 MAC 地址是 00aa0062c6 09。 ARP 協(xié)議的基本功能就是通過(guò)目標(biāo)設(shè)備的 IP 地址，查詢目標(biāo)設(shè)備的 MAC 地址，以保證通信的順利進(jìn)行。 ARP 攻擊 與 防護(hù)措施 及解決方案 摘 要 要了解 ARP 欺騙攻擊 , 我們首先要了解 ARP 協(xié)議以及它的工作原理，以更好的來(lái)防范和排除 ARP 攻擊的帶來(lái)的危害。本文為大家?guī)?lái)進(jìn)階的 ARP 攻擊防制方法。 ARP 協(xié)議的工作原理：在每臺(tái)安裝有 TCP/IP 協(xié)議的電腦里都有一個(gè) ARP 緩存表，表里的 IP 地址與 MAC 地址是一一對(duì)應(yīng)的，如表所示。 ” 這樣，主機(jī) A 就知道了主機(jī) B 的MAC 地址，它就可以向主機(jī) B 發(fā)送信息了。輸入 ping （網(wǎng)關(guān) IP 地址） ， 如下圖： 圖 1 內(nèi)網(wǎng) ping 路由器的 LAN IP 丟幾個(gè)包，然后又連上，這很有可能是中了 ARP 攻擊。 一般處理辦法分三個(gè)步驟來(lái)完成。但是此動(dòng)作，如果重起了電腦，作用就會(huì)消失，所以可以把此命令做成一個(gè)批處理文件，放在操作系統(tǒng)的啟動(dòng)里面，批處理文件可以這樣寫(xiě)： echo off arp d arp s 路由器 LAN IP 路由器 LAN MAC 在路由器端綁定用戶 IP/MAC 地址： 在 DHCP 功能中對(duì) IP/MAC 進(jìn)行綁定， Qno 路由器提供了一個(gè)顯示新加入的 IP 地址的功能，通過(guò)這個(gè)功能可以一次查找到網(wǎng)絡(luò)內(nèi)部的所有 PC 機(jī)的 IP/MAC 的對(duì)應(yīng)列表，我們可以通過(guò) “√” 選的功能選擇綁定 IP/MAC。 網(wǎng)吧管理員檢查局域網(wǎng)病毒，安裝殺毒軟件（金山毒霸 /瑞星 /卡巴斯基 ，必須要更新病毒代碼），對(duì)機(jī)器進(jìn)行病毒掃描。安裝并使用 網(wǎng)絡(luò)防火墻軟件，網(wǎng)絡(luò)防火墻在防病毒過(guò)程中也可以起到至關(guān)重要 的作用，能有效地阻擋自來(lái)網(wǎng)絡(luò)的攻擊和病毒的入侵。 不要隨便點(diǎn)擊打開(kāi) 、 MSN 等聊天工具上發(fā)來(lái)的鏈接信息，不要隨便打開(kāi)或運(yùn)行陌生、可疑文件和程序，如郵件中的陌生附件，外掛程序等。 ARP 攻擊只能在你內(nèi)部網(wǎng)絡(luò)中進(jìn)行，只要在你網(wǎng)絡(luò)中的任意一臺(tái)電腦上運(yùn)行 ARP 欺騙程序： ————可以在不知不覺(jué)中盜竊你網(wǎng)絡(luò)中傳輸?shù)娜魏涡畔ⅲ? ————也可以造成你整個(gè)網(wǎng)絡(luò)無(wú)法正常上網(wǎng)。如果您對(duì) ARP的知識(shí)不了解的話那么當(dāng) 你受到 ARP 攻擊的時(shí)候就會(huì)受到其大的影響。一會(huì)兒全掉線，一會(huì)兒是幾臺(tái)幾臺(tái)的掉線。 然而要處理好這種問(wèn)題，就是我選擇這個(gè)課題的根本所在。 ARP 協(xié)議的基本功能就是通過(guò)目標(biāo)設(shè)備的 IP 地址，查詢目標(biāo)設(shè)備的 MAC 地址以保證通信的順利進(jìn)行。在 Windows 中要查看或者修改 ARP緩存中的信息，可以使用 arp 命令來(lái)完成，比如在 Windows XP 的命令提示符窗口中鍵入 “arp a” 或 “arp g” 可以查看 ARP 緩存中的內(nèi)容；鍵入 “arp d IPaddress” 表示刪除指定的 IP 地址項(xiàng)（ IPaddress 表示 IP 地址）。 在局域網(wǎng)中，通過(guò) ARP 協(xié)議來(lái)完成 IP 地址轉(zhuǎn)換為第二層物理地址（即 MAC 地址）的。在局域網(wǎng)中，網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖?“ 幀 ” ，幀里面是有目標(biāo)主機(jī)的 MAC 地址的。 ARP 協(xié)議的基本功能就是通過(guò)目標(biāo)設(shè)備的 IP 地址，查詢目標(biāo)設(shè)備的 MAC 地址，以保證通信的順利進(jìn)行。如果找到了 ，也就知道了目標(biāo) MAC 地址，直接把目標(biāo) MAC 地址寫(xiě)入幀 里面發(fā)送就可以了；如果在 ARP 緩存表中沒(méi)有找到相對(duì)應(yīng)的 IP 地址，主機(jī) A 就會(huì)在網(wǎng)絡(luò)上發(fā)送一個(gè)廣播，目標(biāo) MAC 地址是 “” ，這表示向同一網(wǎng)段內(nèi)的所有主機(jī)發(fā)出這樣的詢問(wèn)：“ 的 MAC 地址是什么？ ” 網(wǎng)絡(luò)上其他主 機(jī)并不響應(yīng) ARP 詢問(wèn)，只有主機(jī)B 接收到這個(gè)幀時(shí)，才向主機(jī) A 做出這樣的回應(yīng)： “ 的 MAC 地址是bbbbbbbbbb bb” 。 從上面可以看出， ARP 協(xié)議的基礎(chǔ)就是信任局域網(wǎng)內(nèi)所有的人，那么就很容易實(shí)現(xiàn)在以 太網(wǎng)上的 ARP 欺騙。 A 對(duì)這個(gè)變化一點(diǎn)都沒(méi)有意識(shí)到，但是接下來(lái)的事情就讓 A 產(chǎn)生了懷疑。打開(kāi) D 的 IP 轉(zhuǎn)發(fā)功能， A 發(fā)送過(guò)來(lái)的數(shù)據(jù)包，轉(zhuǎn)發(fā)給 C，好比一個(gè)路由器一樣?，F(xiàn)在 D 就完全成為 A 與 C 的中間橋梁 了，對(duì)于 A 和 C 之間的通訊就可以了如指掌了。 由于 ARP欺騙的木馬程序發(fā)作的時(shí)候會(huì)發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶會(huì)感覺(jué)上網(wǎng)速度越來(lái)越慢。 【在局域網(wǎng)內(nèi)查找病毒主機(jī)】 在上面我們已經(jīng)知道了使用 ARP 欺騙木馬的主機(jī)的 MAC 地址，那么我們就可以使用NBTSCAN（下載地址： 快速查找它。 NBTSCAN 的使用范例： 假設(shè)查找一臺(tái) MAC 地址為 “000d870d585f” 的病毒主機(jī)。 “ 網(wǎng)管，怎么又掉線了？！ ” 每每聽(tīng)到客戶的責(zé)問(wèn)，網(wǎng)管員頭都大了。 第一種 ARP 欺騙的原理是 —— 截獲網(wǎng)關(guān)數(shù)據(jù)。在 PC 看來(lái)，就是 上不了網(wǎng)了， “ 網(wǎng)絡(luò)掉線了 ” 。為此，寬帶路由器背了不少 “ 黑鍋 ” 。一般廠家要求兩個(gè)工作都要做，稱其為 IPMAC 雙向綁定。如果您有所擔(dān)心，那么不妨選用欣向網(wǎng)吧路由 IXP機(jī)種，它可以使您寬心一些。一是獨(dú)特的 NAT 處理機(jī)制，二是網(wǎng)關(guān)的主動(dòng)防范機(jī)制。這就是欣向路由能夠?qū)?ARP 先天免疫的原理。 不過(guò)，如果不在 PC 上綁定 IPMAC，雖然有主動(dòng)防范機(jī)制，但網(wǎng)絡(luò)依然在帶病運(yùn) 行。為此，產(chǎn) 品還專門(mén)提供了一個(gè) ARP 欺騙偵測(cè)、定位、防范的工具軟件，免費(fèi)發(fā)放給所有的網(wǎng)吧，幫助網(wǎng)管員們發(fā)現(xiàn) ARP 欺騙的 存在，為清除 ARP 欺騙源提供工作輔佐，并加入了欣向主動(dòng)防范機(jī)制 ,有效對(duì)付 ARP 欺騙。 網(wǎng)絡(luò)安全中的 ARP 協(xié)議和欺騙技術(shù)及其對(duì)策 ARP 協(xié)議的概念和工作原理對(duì) 學(xué)習(xí)網(wǎng)絡(luò)安全知識(shí)的初學(xué)者來(lái)說(shuō)是首先遇到的幾個(gè)重要的知識(shí)點(diǎn)之一，其中 ARP 欺騙技術(shù)和及其對(duì)策更是學(xué)習(xí)網(wǎng)絡(luò)安全中的重點(diǎn)與難點(diǎn)， 16 往往難以一下子掌握這些 抽象復(fù)雜的機(jī)理。也就是將網(wǎng)絡(luò)層（ IP 層，也 就是相當(dāng)于 ISO OSI 的第三層）地址解析為數(shù)據(jù)連接層（ MAC 層，也就是相當(dāng)于 ISO OSI 的第二層）的 MAC 地址。 二， ARP 協(xié)議的工作原理 在以太網(wǎng)（ Ether）中，一個(gè)網(wǎng)絡(luò)設(shè)備要和另一個(gè)網(wǎng)絡(luò)設(shè)備進(jìn)行直接通信，除了知道目標(biāo)設(shè)備的網(wǎng)絡(luò)層邏輯地址（如 IP 地址）外，還要知 道目標(biāo)設(shè)備的第二層物理地址（ MAC 地址）。同一網(wǎng)段中的所有其他 設(shè) 備都可以收到并分析這個(gè) ARP 請(qǐng)求報(bào)文，如果某設(shè)備發(fā)現(xiàn)報(bào)文中的目標(biāo) IP 地址與自己的 IP 地址相同，則它向源設(shè)備發(fā)回 ARP 響應(yīng)報(bào)文，通過(guò)該報(bào)文使源設(shè)備 獲得目標(biāo)設(shè)備的 MAC 地址信息。在一次 ARP 的請(qǐng)求與響應(yīng)過(guò)程中，通信雙方都把對(duì)方的 MAC 地址與 IP 地址的對(duì) 應(yīng)關(guān)系保存在各自的 ARP表中，以在后續(xù)的通信中使用。如果未找到， ARP 程序就在網(wǎng)上廣播一個(gè)特殊格式的消息，看哪個(gè)機(jī)器知道與這個(gè) IP 地址相關(guān)的 MAC 地址。也有反向地址解析協(xié)議（ RARP）供不知道 IP 地址的主機(jī)從 ARP 緩存中獲得 IP 地址。 當(dāng)主機(jī) A 想與主機(jī) B 進(jìn)行通訊時(shí)， A 機(jī)只知道 B 機(jī)的 IP 地址是 ,當(dāng)數(shù)據(jù)包封裝到 MAC 層時(shí)他如何知道 B 的 MAC 地址呢，一般的 OS 中是這樣做的，在 OS 的內(nèi)核中保存一分 MAC 地址表，就是我們一中介始到的。 三，如何實(shí)現(xiàn) ARP 協(xié)議的欺騙技術(shù)和相應(yīng)的對(duì)策 1， ARP 協(xié)議欺騙技術(shù) 當(dāng)我們?cè)O(shè)定一個(gè)目標(biāo)進(jìn)行 ARP 欺騙時(shí)，也就是把 MAC 地址通過(guò)一主機(jī) A 發(fā)送到主機(jī)B 上的數(shù)據(jù)包都變成發(fā)送給主機(jī) C 的了，如果 C 能夠接收到 A 發(fā)送的數(shù)據(jù)包后，第一步屬于嗅探成功了，而對(duì)于主機(jī) A 來(lái)目前是不可能意識(shí)到這一點(diǎn)，主機(jī) C 接收到主 機(jī) A發(fā)送給主機(jī) B 的數(shù)據(jù)包可沒(méi)有轉(zhuǎn)交給 B。這樣就是主機(jī) C 進(jìn)行 ARP 協(xié)議欺騙技術(shù)，對(duì)于網(wǎng)絡(luò)安全來(lái)是很重要的。靜態(tài) ARP 協(xié)議表不會(huì)過(guò)期的，我們用 “arp d” 命令清除 ARP 表，即手動(dòng)刪除。而 Linux 系統(tǒng)，其靜態(tài) ARP 表項(xiàng)不會(huì)被動(dòng)態(tài)刷新，所以不需要 禁止相應(yīng)網(wǎng)絡(luò)接 口做 ARP 解析 即可對(duì)抗 ARP 欺騙攻擊。 Sniffer 提供了捕獲數(shù)據(jù)包前的過(guò)濾規(guī)則的定義，過(guò)濾規(guī)則包括 3 層地址的定義和幾百種協(xié)議的定義。address，這是最常用的定義。這樣就完成了地址的定義。advanced，定義希望捕獲的相關(guān)協(xié)議的數(shù)據(jù)包。 PacketSize選項(xiàng)中，可以定義捕獲的包大小，圖 3，是定義捕獲包大小界于 64 至 128bytes的數(shù)據(jù)包。 Capturebuffer 選項(xiàng)卡，將設(shè)置緩沖區(qū)文件存放的位置。 二、捕獲數(shù)據(jù)包時(shí)觀察到的信息 Capture224。 HostTable：可以查看通信量最大的前 10 位主機(jī)。 Protocoldistribution:可以實(shí)時(shí)觀察到數(shù)據(jù)流中不同協(xié)議的分布情況。Stop 或者 Capture224。 Expert:這是 sniffer 提供的專家模式，系統(tǒng)自身根據(jù)捕獲的數(shù)據(jù)包從鏈路層到應(yīng)用層進(jìn)行分類并作出診斷。 要對(duì)包進(jìn)行顯示過(guò)濾需切換到 Decode 模式。selectfilter,應(yīng)用過(guò)濾規(guī)則。其他工具在 操作系統(tǒng) 中也有提供，不做介紹。見(jiàn)圖 10： 圖 10 29 可以定義連續(xù)地發(fā)送 buffer 中地?cái)?shù)據(jù)包或只發(fā)送一次 buffer 中地?cái)?shù)據(jù)包。因此，如何能夠快速、準(zhǔn)確診斷出造成網(wǎng)絡(luò)流量問(wèn)題的原因，是確保網(wǎng)絡(luò)高可用性的重要保證。 在 CodeRedⅡ肆虐的時(shí)候， Sniffer 就曾經(jīng)神奇地配合用戶及時(shí)地發(fā)現(xiàn)了問(wèn)題。工程師首先利用 Dashboard 功能，對(duì)網(wǎng)絡(luò)的整體流量狀況進(jìn)行監(jiān)控（如圖所示），發(fā)現(xiàn)該用戶的整體網(wǎng)絡(luò)帶寬占用率并不高，只有 10%左右，網(wǎng)絡(luò)中的絕對(duì)流量也不大，但網(wǎng)絡(luò)中的數(shù)據(jù)包卻非常多，甚至超過(guò)了 Sniffer 的缺