【正文】 表，用來支持在 MAC 地 址和 IP 地址之間的一一對應(yīng)關(guān)系。況且，路由只需要單向綁定，已經(jīng)為您省去了另一半更繁瑣的工作，并且設(shè)置時不需要重啟路由器斷網(wǎng)。在暫時無法及時清除 ARP 病毒，網(wǎng)管員還沒有做 PC 上的 IPMAC 綁定時，它能在一定程度上 維持網(wǎng)絡(luò)的運(yùn)行，避免災(zāi)難性后果，贏取系統(tǒng)修復(fù)的時間。對付 ARP，您只要做 PC 的單向綁定就可以了。一、在寬 帶路由器中把所有 PC 的 IPMAC 輸入到一個靜態(tài)表中，這叫路由器 IPMAC 綁定。第二種 ARP 欺騙的原理是 —— 偽造網(wǎng)關(guān)。 2）在 Windows 開始 — 運(yùn)行 — 打開，輸入 cmd（ windows98 輸入 “mand” ），在出現(xiàn) 的 DOS 窗口中輸入： C:/nbtscan r （這里需要根據(jù)用戶實(shí)際網(wǎng)段輸入），回車。 【 HiPER 用戶快速發(fā)現(xiàn) ARP 欺騙木馬】 在路由器的 “ 系統(tǒng)歷史記錄 ” 中看到大量如下的信息（ 440 以后的路由器軟件版本中才有此提示）： MAC Chged MAC Old 00:01:6c:36:d1:7f MAC New 00:05:5d:60:c7:18 這個消息代表了用戶的 MAC 地址發(fā)生了變化，在 ARP 欺騙木馬開始運(yùn)行的時候，局域網(wǎng)所有主機(jī)的 MAC 地址更新為病毒主機(jī)的 MAC 地址（即所有信息的 MAC New 地址都一 13 致為病毒主機(jī)的 MAC 地址），同時在路由器的 “ 用戶統(tǒng)計 ” 中看到所有用戶的 MAC 地址信息都一樣。 D 直接進(jìn)行整個包的修改轉(zhuǎn)發(fā)，捕獲到 A 發(fā)送給 C 的數(shù)據(jù)包，全部進(jìn)行修改后再轉(zhuǎn)發(fā)給 C，而 C 接收到的數(shù)據(jù)包完全認(rèn)為是從 A 發(fā)送來的。如果進(jìn)行欺騙的時候，把 C 的 MAC 地址騙為DDDDDDDDDDDD，于是 A 發(fā)送到 C 上的數(shù)據(jù)包都變成發(fā)送給 D 的了。 主機(jī) IP 地址 MAC 地址 A aaaaaaaaaaaa B bbbbbbbbbbbb C cccccccccccc D dddddddddddd 我們以主機(jī) A（ ）向主機(jī) B（ ）發(fā) 送數(shù)據(jù)為例。通過偽造 IP 地址和 MAC 地址實(shí)現(xiàn) ARP 欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的 ARP 通信量使網(wǎng)絡(luò)阻塞。整個轉(zhuǎn)換過程是一臺主機(jī)先向 目標(biāo)主機(jī)發(fā)送包含 IP 地址信息的廣播數(shù)據(jù)包，即 ARP 請求，然后目標(biāo)主機(jī)向該主機(jī)發(fā)送一個含有 IP 地址和 MAC 地址數(shù)據(jù)包，通過 MAC 地 址兩個主機(jī)就可以 實(shí)現(xiàn)數(shù)據(jù)傳輸了。如果大家發(fā)現(xiàn)中了 ARP 沒有掉線，那說明你中了最新的變種，你只要重啟了那臺中了 ARP 病毒的電腦，那么受到 ARP 攻擊的機(jī)子就會全部掉線內(nèi)網(wǎng)的網(wǎng)關(guān)不掉包，而外網(wǎng)的 IP 和 DNS 狂掉，這點(diǎn)也是 ARP 變種的出現(xiàn)的情況，請大家留意。利用 ARP 攻擊擾亂網(wǎng)吧網(wǎng)絡(luò)的現(xiàn)象更是已經(jīng)泛濫。 關(guān)閉一些不需要的服務(wù)，條件允許的可關(guān)閉一些沒有必要的共享，也包括 C$、D$等管理共享。 病毒源，對病毒源頭的機(jī)器進(jìn)行處理，殺毒或重新裝系統(tǒng)。輸入 ARP a 命令，顯示如下圖： 圖 2 可以看出 地址和 地址的 IP 的 MAC 地址都是000f3d837428,很顯然，這就是 ARP 欺騙造成的。當(dāng)發(fā)送數(shù)據(jù)時，主機(jī) A 會在自己的 ARP 緩存表中尋找是否有目標(biāo) IP 地址。 1 廣西經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院 畢業(yè)論文 題 目 專 業(yè) 班 級 姓 名 指導(dǎo)教師 姓名 職稱 起止日期 2 廣西東方外語職業(yè)學(xué)院 畢業(yè)論文（設(shè)計）任務(wù)書 專業(yè)及班級： 學(xué)生姓名： 題目： 上交報告（論文）日期： 年 月 日 答辯日期： 年 月 日 指導(dǎo)教師： 200 年 月 日簽發(fā) 3 本人聲明 我聲明 , 本論文及其設(shè)計工作是由本人在指導(dǎo)教師的指 導(dǎo)下獨(dú)立完成的 , 在完成論文時所利用的一切資料均已在參考文獻(xiàn)中列出。 我們以主機(jī) A（ ）向主機(jī) B（ ）發(fā)送數(shù) 據(jù)為例。為了進(jìn)一步確認(rèn)，我們可以通過查找 ARP 表來判斷。 進(jìn)階 ARP 病毒防制 單靠這樣的操作基本可以解決問題，但是技術(shù)工程師建議通過進(jìn)一步通過一些手段來進(jìn)一步控制 ARP 的攻擊。部分盜版 Windows 用戶不能正常安裝 補(bǔ)丁，不妨通過使用網(wǎng)絡(luò)防火墻等其它方法來做到一定的防護(hù)。 他可以竊取你網(wǎng)絡(luò)里其他電腦上正在傳輸?shù)你y行帳號；竊取正在進(jìn)行的游戲帳號；竊取別人的 號碼更是司空見慣。而且中了 ARP 的電腦會把那臺電腦轉(zhuǎn)變成內(nèi)網(wǎng)的代理服務(wù)器進(jìn)行盜號和發(fā)動攻擊。 注解：簡單地說， ARP 協(xié)議主要負(fù)責(zé)將局域網(wǎng)中的 32 為 IP 地址轉(zhuǎn)換為對應(yīng)的 48位 物理地址，即網(wǎng)卡的 MAC 地址，比如 IP 地址為 網(wǎng)卡 MAC 地址為 10 00030FFD1D2B。 ARP 協(xié)議對網(wǎng)絡(luò)安全具有重要的意義。 11 每臺安裝有 TCP/IP 協(xié)議的電腦里都有一個 ARP 緩存表，表里的 IP 地址與 MAC 地址是一一對應(yīng)的，如下表所示。對目標(biāo) A 進(jìn)行欺騙， A 去 Ping 主機(jī) C 卻發(fā)送到了DDDDDDDDDDDD 這個地址上。不過，假如 D 發(fā)送 ICMP 重定向的話就中斷了整個計劃。當(dāng) ARP 欺騙的木馬程序停止運(yùn)行時，用戶會恢復(fù)從路由器上網(wǎng)，切換過程中用戶會再斷一次線。 1）將壓縮包中的 和 解壓縮放到 c:/下。它通知路由器一系列錯誤的內(nèi)網(wǎng) MAC地 址，并按照一定的頻率不斷進(jìn)行，使真實(shí)的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的 MAC 地址，造成正常 PC 無法收到信 息。 作為網(wǎng)吧路由器的廠家，對防范 ARP 欺騙不得已做了不少份內(nèi)、份外的工作。因?yàn)樾老蚵酚善鞲静恍枰?IPMAC 綁定，沒有那長長的 15 一串地址表。 另外，為對抗假冒網(wǎng)關(guān)的 ARP 欺騙，產(chǎn)品設(shè)計了網(wǎng)關(guān)的 ARP 廣 播機(jī)制，它以一個可選 定的頻次，向內(nèi)網(wǎng)宣布正確的網(wǎng)關(guān)地址，維護(hù)網(wǎng)關(guān)的正當(dāng)權(quán)益。 盡管如此，仍然提醒廣大的網(wǎng)吧網(wǎng)管員，為了一勞永逸，還是費(fèi)點(diǎn)力為每臺 PC 做IP MAC 綁定吧，這樣可以徹底根除 ARP 欺騙帶來的煩惱。如果您對網(wǎng)路七層協(xié)定有比較清晰的理解的話應(yīng)該知道各個層級之間都使用其各自的協(xié)定。 如果目標(biāo)設(shè)備與源設(shè)備不在同一網(wǎng)段，則源設(shè)備首先把 IP 分組發(fā)向自己的缺省網(wǎng)關(guān) （ Default Gateway），由缺省網(wǎng)關(guān)對該分組進(jìn)行轉(zhuǎn)發(fā)。如果一臺機(jī)器發(fā)現(xiàn)那是自己的 IP 地址，它就 發(fā)送回應(yīng)，這樣就指出了相應(yīng)的地址。用 arp a 就可以看見這個表的內(nèi)容了，例如： C:/arp a Interface: on Interface 0x1000002 Inter Address Physical Address Type 5254ab278283 dynamic 其中表內(nèi)有 IP 和 MAC 地址的對應(yīng)關(guān)系，當(dāng)要過進(jìn)行通訊時，系統(tǒng)先查看這個表中是否 有相關(guān)的表項(xiàng)，如果有就直接使用，如果沒有系統(tǒng)就會發(fā)出一個 ARP 請求包 ,這個包的目的地址為 ffffffffffff 的廣播地址，他的作用就是詢問局域 網(wǎng)內(nèi) IP 地址為 的主機(jī)的 MAC 地址，就像是 A 在局域網(wǎng)中發(fā)信息找一個 IP 地址為 . MAC地址，同樣 A機(jī)把自已的 MAC地址告訴出去是 5254ab 278283 ，隨后所有主機(jī)都會接收到這個包，但只有 IP 為 的 B 才會響應(yīng)一個 ARP 應(yīng)答包給主機(jī) A,B 機(jī)會回信息給 A 機(jī)說他的 MAC 地址是 52 54ab278284 18 ,好這下主機(jī) A 就知道 B 的 MAC 地址了，于時他就可以封包發(fā)送了，同時主機(jī) A 將 B的 MAC 地址放入 ARP 緩沖中，隔一定時間就將其刪除，確保不斷更新。當(dāng)然還 可以通過 MAC 地址進(jìn)行欺騙的。 三 ARP 防范軟件 360 安全衛(wèi)士新版發(fā)布增加 ARP 防火墻 ARP 攻擊免疫功能 Vista Vista 下開啟有 UAC 的實(shí)時保護(hù) ,開啟保護(hù)時給用戶彈出提示 解決網(wǎng)絡(luò)鏈接狀態(tài)中的 UDP 端口號顯示不正確的問題 20 bug Sniffer 什么是 Sniffer？人們談到黑客攻擊 ,一般所指的都是以主動方式進(jìn)行的 ,例如利用漏洞或者猜測系統(tǒng)密碼的方式對系統(tǒng)進(jìn)行攻擊。其中包括 MAC 地 址、 ip 地址和 ipx 地址的定義。如圖 2。 最后，需將定義的過濾規(guī)則應(yīng)用于捕獲中。 Matrix:通過連線，可以形象的看到不同主機(jī)之間的通信。StopandDisplay,前者停止捕獲包，后者停止捕獲包并把捕獲的數(shù)據(jù)包進(jìn)行解碼和顯示。 Display224。 包發(fā)生器提供三種生成數(shù)據(jù)包的方式： 點(diǎn)選 ，新構(gòu)一個數(shù)據(jù)包，包頭、包內(nèi)容及包長由用戶直接填寫。美國網(wǎng)絡(luò)聯(lián)盟（ NAI）的主打產(chǎn)品之一 Sniffer 目前已成為企業(yè)首選的網(wǎng)絡(luò)故 障和性能管理的工具系列，它能夠自動地幫助網(wǎng)絡(luò)管理人員維護(hù)網(wǎng)絡(luò)、查找故障，有效簡化了發(fā)現(xiàn)及解決網(wǎng)絡(luò)問題的過程。從數(shù)值分析中他發(fā)現(xiàn)，這些數(shù)據(jù)包中數(shù)目最多的是 64 個字節(jié)以下的小數(shù)據(jù)包，因此，工程師初步斷定，這些太多的小數(shù)據(jù)包可能是引起網(wǎng)絡(luò)癱瘓的 主要原因。 利用 SnifferPro 徹底解決 IP 被盜用問題 在公司中，經(jīng)常有一些事情令網(wǎng)管很頭痛， IP 地址被非法用戶盜用更是頭痛。如果我們能夠監(jiān)聽到這些數(shù)據(jù)并對它進(jìn)行分析的話，就有可能找出特定用戶的位置。伴隨著 1998 年 NAI 進(jìn)入中國， Sniffer 也來到了廣大中國用戶面前。 Sniffer 采用類似剝洋蔥的方式，從最低層開始，一直到第七層，甚至對 ORACAL 與 SYBASE 的數(shù)據(jù)庫都可以進(jìn)行協(xié)議分析，每一層使用不同的顏色加以區(qū)別。 Sniffer 報表生成器 Sniffer 報表生成器允許用戶創(chuàng)建圖形報告，該報告建立在Sniffer 所收集的 RMON 和類似于 RMON2 的數(shù)據(jù)基礎(chǔ)之上。 提供整體網(wǎng)絡(luò)運(yùn)行的健康分析及發(fā)展趨勢分析 Sniffer 可對網(wǎng)絡(luò)系統(tǒng)的 整體運(yùn)行情況作出長期的健康分析與發(fā)展趨勢報告，分析系統(tǒng)目前的使用情況，以及對新系統(tǒng)的規(guī)劃作出精確的報告。而在這種了無頭緒的狀態(tài)下， Sniffer 卻顯示出強(qiáng)大的網(wǎng)絡(luò)管理能力。通過這些特征，技術(shù)人員已經(jīng)十分確定用戶網(wǎng)絡(luò)的癱瘓原因是由于圖三中所示的那些計算機(jī)感染了 CodeRed 病毒引起的。 一、不堅定的 ARP 協(xié)議 一般計算機(jī)中的原始的 ARP 協(xié)議，很像一個思想不堅定，容易被其它人影響的人，ARP 欺騙 /攻擊就是利用這個特性，誤導(dǎo)計算機(jī)作出錯誤的行為。攻擊網(wǎng)絡(luò)網(wǎng)關(guān)就好比發(fā)送錯誤的地址信息給快遞員，讓快遞員整個工作大亂，所有信件無法正常送達(dá)；而攻擊一般計算機(jī)就是直接和一般人謊稱自己就是快遞員，讓一般用戶把需要傳送物品傳送給發(fā)動攻擊的計算機(jī)。 二、 PK 賽之 ARP echo ARP echo 是最早開發(fā)出來的 ARP 攻擊解決方案，但隨著 ARP 攻擊的發(fā)展，漸漸失去它的效果。第三，必須在局域網(wǎng)有一臺負(fù)責(zé)負(fù)責(zé)發(fā) ARP echo 廣播包的設(shè)備，不管是路由器、服務(wù)器或是計算機(jī)，由于發(fā)包是以一 38 秒數(shù)以百計的方式來發(fā)送，對該設(shè)備都是很大的負(fù)擔(dān)。 感謝我的室友們，從遙遠(yuǎn)的家來到這個陌生的城市里，是你們和我共同維系著彼此之間兄弟般的感情，維系著寢室那份家的