【正文】 ubwin 或者萬象都可以）發(fā)送批處理文件 到所有客戶機的啟動目錄。 管理員定期用響應(yīng)的 IP 包中獲得一個 rarp 請求，然后檢查 ARP 響應(yīng)的真實性。 除非很有必要， 否則停止使用 ARP，將 ARP 做為永久條目保存在對應(yīng)表中。 命令：“ nbtscan r ”（搜索整個 網(wǎng)段 , 即 ）； 或 “ nbtscan ”搜索 網(wǎng)段，即。其他用戶原來直接通過路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過病毒主機上網(wǎng)，切換的時候用戶會斷一次線。 D 對接收到 A 發(fā)送給 C 的數(shù)據(jù)包可沒有轉(zhuǎn)交給 C。同時它還更新了自己的 ARP 緩存表，下次再向主機 B 發(fā)送信息時，直接從 ARP緩存表里查找就可以了。但這個目標 MAC 地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。 掃描時自己也處在混雜模式，把自己不能算在其中哦！ 找到對方后怎么對付他就是你的事了，比 方說你可以利用網(wǎng)絡(luò)執(zhí)法官把對方也給封鎖了！ :) 文二（轉(zhuǎn)自百度知道） ARP 攻擊的原理與解決方法 (第三版）含如何在局域網(wǎng)內(nèi)查找病毒主機 【故障原因】 局域網(wǎng)內(nèi)有人使用 ARP 欺騙的木馬程序（比如：魔獸世界，天堂，勁舞團等盜號的軟件，某些外掛中也被惡意加載了此程序）。這樣就可保證世界上每個以太網(wǎng)設(shè)備都具有唯一的 MAC 地址。 在 NetworkAddress 的子鍵下繼續(xù)建立名為 ParamDesc的字符串，其作用為指定 Network Address 的描述，其值可為 MAC Address。 ！ 在網(wǎng)絡(luò)執(zhí)法官中，要想限制某臺機器上網(wǎng)，只要點擊 網(wǎng)卡 菜單中的 權(quán)限 ，選擇指定的網(wǎng)卡號或在用戶列表中點擊該網(wǎng)卡所在行，從右鍵菜單中選擇 權(quán)限 ，在彈出的對話框中即可限制該用戶的權(quán)限。其中就包含有 B的 MAC地址，A 接收到 B 的應(yīng)答后，就會更新本地的 ARP 緩存。 2）編寫一個批處理文件 內(nèi)容如下： echo off arp d arp s 0022aa0022aa 將文件中的網(wǎng)關(guān) IP 地址和 MAC地址更改為您自己的網(wǎng)關(guān) IP 地址和 MAC 地址即可。設(shè)置好你的路由，確保 IP 地址能到達合法的路徑。 【解決思路】 不要把你的網(wǎng)絡(luò)安全信任關(guān)系建立在 IP 基礎(chǔ)上或MAC 基礎(chǔ)上，（ rarp 同樣存在欺騙的問題），理想的關(guān)系應(yīng)該建立在 IP+MAC 基礎(chǔ)上。 如果是在路由器的“系統(tǒng)歷史記錄”中看到大量 MAC Old地址都一致，則說明局域網(wǎng)內(nèi)曾經(jīng)出現(xiàn)過 ARP欺騙（ ARP欺騙的木馬程序停止運行時，主機在路由器上恢復(fù)其真實的MAC 地址）。不過， C 發(fā) 送的數(shù)據(jù)包又直接傳遞給 A，倘若再次進行對 C 的 ARP 欺騙。這不正好是 D 能夠 接收到 A 發(fā)送的數(shù)據(jù)包了么，嗅探成功。當發(fā)送數(shù)據(jù)時，主機 A 會在自己的 ARP 緩存表中尋找是否有目標 IP 地址。 ARP 協(xié)議是“ Address Resolution Protocol”（地址解析協(xié)議）的縮寫。通過偽造 IP 地址和 MAC 地址實現(xiàn) ARP 欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的 ARP 通信量使網(wǎng)絡(luò)阻塞。 主機 IP 地址 MAC 地址 A aaaaaaaaaaaa B bbbbbbbbbbbb C cccccccccccc D dddddddddddd 我們以主機 A（ ）向主機 B（ ）發(fā)送數(shù)據(jù)為例。如果進行欺騙的時候，把 C 的 MAC 地址騙為 DDDDDDDDDDDD，于是 A 發(fā)送到 C 上的數(shù)據(jù)包都變成發(fā)送給 D 的了。 D 直接進行整個包的修改轉(zhuǎn)發(fā)，捕獲到 A發(fā)送給 C 的數(shù)據(jù)包，全部進行修改后再轉(zhuǎn)發(fā)給 C，而 C 接收到的數(shù)據(jù)包完全認為是從 A 發(fā)送來的。 【 HiPER 用戶快速發(fā)現(xiàn) ARP 欺騙木馬】 在路由器的“系統(tǒng)歷史記錄”中看到大量如下的信息（ 440 以后的路由器軟件版本中才有此提示）： MAC Chged MAC Old 00:01:6c:36:d1:7f MAC New 00:05:5d:60:c7:18 這個消息代表了用戶的 MAC 地址發(fā)生了變化，在 ARP欺騙木馬開始運行的時候，局域網(wǎng)所有主機的 MAC 地址更新為病毒主機的 MAC 地址（即所有信息的 MAC New地址都一致為病毒主機的 MAC 地址），同時在路由器的“用戶統(tǒng)計”中看到所有用戶的 MAC 地址信息都一樣。 C:Documents and SettingsALANC: btscan r Warning: r option not supported under Windows. Running without it. Doing NBT name scan for addresses from IP address NetBIOS Name Server User MAC address Sendto failed: Cannot assign requested address SERVER 00e04c4d96c6 LLF ADMINISTRATOR 002255667788 UTTHIPER 000d87267d78 JC 000795e07cd7 test123 test123 000d870d585f 3）通過查詢 IPMAC 對應(yīng)表，查出“ 000d870d585f”的病毒主機的 IP 地址 為“ ”。 使用硬件屏蔽主機。 在 PC 上綁定路由器的 IP 和 MAC 地址： 1）首先，獲得路由器的內(nèi)網(wǎng)的 MAC 地址（例如 HiPER網(wǎng)關(guān)地址 的 MAC 地址為 0022aa0022aa 局域網(wǎng)端口 MAC 地址 ）。網(wǎng)上所有主機包括 B 都收到 ARP 請求，但只有主機 B 識別自己的 IP 地址，于是向 A主機發(fā)回一個 ARP響應(yīng)報文。所以，那個偽造出來的 MAC 地址在 A 上被改變成一個不存在的 MAC 地址，這樣就會造成網(wǎng)絡(luò)不通，導(dǎo)致 A不能 Ping通 C！這就是一個簡單的 ARP 欺騙。然后在 0000子鍵下的 NDI/params 中新建一項名為NetworkAddress 的子鍵，在該子鍵下添加名為 default的字符串，鍵值為修改后的 MAC 地址。每個網(wǎng)絡(luò)制造商必須確保它所制造的每個以太網(wǎng)設(shè)備都具有相同的前三字節(jié)以及不同的后三個字節(jié)。它就是我們的目標，就是這個家伙在用網(wǎng)絡(luò)執(zhí)法官在搗亂。在以太網(wǎng)中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的 MAC 地址。這樣，主機 A就知道了主機 B 的 MAC地址，它就可以向主機 B 發(fā)送信息了。因為 A 和 C 連接不上了。 【故障現(xiàn)象】 當局域網(wǎng)內(nèi)某臺主機運行 ARP 欺騙的木馬程序時，會欺騙局域網(wǎng)內(nèi)所有主機和路由器，讓所有上網(wǎng)的流量必須經(jīng)過病毒主機。 NBTSCAN 可以取到 PC 的真實 IP 地址和 MAC 地址，如果有” ARP 攻擊”在做怪，可以找到裝有 ARP 攻擊的 PC 的 IP/和 MAC 地址。 設(shè)置靜態(tài)的 MACIP 對應(yīng)表，不要讓主機刷新你設(shè)定好的轉(zhuǎn)換表。（靜態(tài)配置路由 ARP 條目），注意，使用交換集線器和網(wǎng)橋無法阻止 ARP 欺騙。 將這個批處理軟件拖到“ windows開始 程序 啟動”中。這樣每次開機時，都會刷新 ARP 表。沒有一個東西是萬能滴。 首先，你要知道，如果一個錯誤的記錄被插入 ARP 或者 IP route 表，可以用兩種方式來刪除?？梢粤銜r解決問題。] 切換到病毒主機上網(wǎng)后 ，如果用戶已經(jīng)登陸了傳奇服務(wù)器，那么病毒主機就會經(jīng)常偽造斷線的假像，那么用戶就得重新登錄傳奇服務(wù)器，這樣病毒主機就可以盜號了。 一、在任意客戶機上進入命令提示符 (或 MSDOS 方式 )，用arp – a 命令查看： C:WINNTsystem32arp a Interface: on Interface 0x1000003 Inter Address Physical Address Type 0050da8a622c dynamic 00112f43818b dynamic 0050da8a622c dynamic 00055dffa887 dynamic 0050bafa59fe dynamic 可以看到有兩個機器的 MAC 地址相同，那么實際檢查結(jié)果為 0050da8a622c 為 的 MAC 地址， 的實際 MAC 地址為 0002ba0b0432，我們可以判定 實際上為有病毒的機器，它偽造了 的 MAC 地址。 ARP 病毒原理及解決方案 2020 年 12 月 11 日 星期二 11:06每臺計算機都有一個 IP 地址與 MAC 地址的對照表（ ARP表），這個表是動態(tài)的， 一般不需要維護。 BAT 文件放在開始 程序 啟動目錄下，這樣每次開機后就自動執(zhí)行這個命令，可同樣實現(xiàn)這個功能。 NBTSCAN 的使用范例： 假設(shè)查找一臺 MAC 地址為“ 000d870d585f”的病毒主機。 四、路由器內(nèi)綁定 IPMAC。要確認該問題方法也很簡單，在確保局域網(wǎng)交換機正常工作和網(wǎng)線正常連接的情況下，隨便找個不能上網(wǎng)的PC，打開 CMD命令行界面，執(zhí)行 arp /a，察看網(wǎng)關(guān) ip 地址對應(yīng)的 mac 是否是路由器的網(wǎng)口的 mac 地址，如果不是，那么基本可以確定是 ARP 欺騙了。在路由器上面也有 ARP 靜態(tài)綁定的命令，但是 ARP 欺騙的是仿冒網(wǎng)關(guān)的身份去欺騙局域網(wǎng)的 PC，所以在路由器上綁定各個 PC 的 mac 地址意義不大。在局域網(wǎng)中，網(wǎng)絡(luò)中實際 傳輸?shù)氖恰皫?，幀里面是有目標主機的 MAC 地址的。如果找到了，也就知道了目標 MAC 地址，直接把目標 MAC 地址 寫入幀里面發(fā)送就可以了；如果在 ARP 緩存表中沒有找到相對應(yīng)的 IP 地址，主機 A 就會在網(wǎng)絡(luò)上發(fā)送一個 廣播，目標 MAC 地址是“ ”，這表示向同一網(wǎng)段內(nèi)的所有主機發(fā)出這樣的 詢問： “ 的 MAC 地址是什么？”網(wǎng)絡(luò)上其他主機并不響應(yīng) ARP 詢問，只有主機 B 接收到這個幀時，才 向主機 A 做出這樣的回應(yīng)：“ 的 MAC 地址是bbbbbbbbbbbb”。 A 對這個變化一點都沒有意識到，但是接下來的事情就讓 A 產(chǎn)生了懷疑?，F(xiàn) 在 D 就完全成為 A與 C 的中間橋梁了，對于 A和 C 之間的通訊就可以了如指掌了。 【在局域網(wǎng)內(nèi)查找病毒主機】 在上面我們已經(jīng)知道了使用 ARP 欺騙木馬的主機的MAC 地址，那么我們就可以使用 NBTSCAN（下載地址 ： 它。 【解決思路】： 不要把你的網(wǎng)絡(luò)安全信任關(guān)系建立在 IP 基礎(chǔ)上或 MAC基礎(chǔ)上，（ rarp 同樣存在欺騙的問題），理想的 關(guān)系應(yīng)該建立在 IP+MAC 基礎(chǔ)上。設(shè)置好你的路由，確保 IP 地址能到達合法的路徑。 2）編寫一個批處理文件 內(nèi)容如下： echo off arp d arp s 0022aa0022aa 將文件中的網(wǎng)關(guān) IP 地址和 MAC地址更改為您自己的網(wǎng)關(guān) IP 地址和 MAC 地址即可。查看具體方法如 下： 右擊 [我的電腦 ][管理 ]點擊 [事件查看器 ]點擊 [系統(tǒng) ]查看來源為 [TcpIP]雙擊事件可以看到 顯示地址發(fā)生沖突，并記錄了該 MAC 地址，請復(fù)制該 MAC地址并填入 Anti ARP Sniffer 的本地 MAC 地址輸入 框中 (請注意將 :轉(zhuǎn)換為 )，輸入完成之后點擊 [防護地址沖突 ]，為了使 M 地址生效請禁用本地網(wǎng)卡然后再 啟用網(wǎng)卡，在 CMD 命令行中輸入 Ipconfig /all，查看當前MAC 地址是否與本地 MAC 地址輸入框中的地址相 符，如果更改失敗請與我聯(lián)系。是系統(tǒng)進行通訊的基礎(chǔ)，是以信任為基礎(chǔ)的，如果破壞了這個信任，那就形成 ARP欺騙了。這樣是導(dǎo)致丟號的真