【導(dǎo)讀】要了解故障原理，我們先來了解一下ARP協(xié)議。ARP協(xié)議對(duì)網(wǎng)絡(luò)安全具有。通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞。在局域網(wǎng)中，網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖恰皫?，幀。地址解析協(xié)議獲得的。前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程。MAC地址，以保證通信的順利進(jìn)行。每臺(tái)安裝有TCP/IP協(xié)議的電腦里都有一個(gè)ARP緩存表，表里的IP地址與MAC地址是一一對(duì)應(yīng)的，如下表所示。當(dāng)發(fā)送數(shù)據(jù)時(shí)，主機(jī)A會(huì)在自己的ARP緩。存表中尋找是否有目標(biāo)IP地址。其他主機(jī)并不響應(yīng)ARP詢問，只有主機(jī)B接收到這個(gè)幀時(shí)，同時(shí)它還更新了自己。ARP緩存表采用了老化機(jī)制，在一。以大大減少ARP緩存表的長(zhǎng)度，加快查詢速度。發(fā)送給C的數(shù)據(jù)包可沒有轉(zhuǎn)交給C。全認(rèn)為是從A發(fā)送來的。病毒主機(jī)上網(wǎng)，切換的時(shí)候用戶會(huì)斷一次線。重新登錄傳奇服務(wù)器，這樣病毒主機(jī)就可以盜號(hào)了。當(dāng)ARP欺騙的木馬程序停止運(yùn)行。計(jì)”中看到所有用戶的MAC地址信息都一樣。NBTSCAN可以取到PC的真實(shí)IP地址和MAC地址，

　　

【正文】 欺騙。對(duì)目標(biāo) A 進(jìn)行欺騙， A 去 Ping 主機(jī) C 卻發(fā)送到了DDDDDDDDDDDD 這個(gè)地址上。如果進(jìn)行欺騙的時(shí) 候，把 C 的 MAC 地址騙為 DDDDDDDDDDDD，于是 A發(fā)送到 C 上的數(shù)據(jù)包都變成發(fā)送給 D 的了。這不正好是 D 能夠接收到 A 發(fā)送的數(shù)據(jù)包了么，嗅探成功。 A 對(duì)這個(gè)變化一點(diǎn)都沒有意識(shí)到，但是接下來的事情就讓 A 產(chǎn)生了懷疑。因?yàn)?A 和 C 連接不上了。 D 對(duì)接 收到 A 發(fā)送給 C 的數(shù)據(jù)包可沒有轉(zhuǎn)交給 C。 做“ man in the middle”，進(jìn)行 ARP 重定向。打開 D 的IP 轉(zhuǎn)發(fā)功能， A 發(fā)送過來的數(shù)據(jù)包，轉(zhuǎn)發(fā)給 C， 好比一個(gè)路由器一樣。不過，假如 D發(fā)送 ICMP 重定向的話就中斷了整個(gè)計(jì)劃。 D 直接進(jìn)行整個(gè)包的修改轉(zhuǎn)發(fā)，捕獲到 A發(fā)送給 C 的數(shù)據(jù)包，全部進(jìn)行修改后再轉(zhuǎn)發(fā)給 C，而 C 接收到的 數(shù)據(jù)包完全認(rèn)為是從 A 發(fā)送來的。不過， C 發(fā)送的數(shù)據(jù)包又直接傳遞給 A，倘若再次進(jìn)行對(duì) C 的 ARP 欺騙?，F(xiàn) 在 D 就完全成為 A與 C 的中間橋梁了，對(duì)于 A和 C 之間的通訊就可以了如指掌了。 【故障現(xiàn)象】 當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)運(yùn)行 ARP 欺騙的木馬程序時(shí)，會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和路由器，讓所有上網(wǎng)的 流量必須經(jīng)過病毒主機(jī)。其他用戶原來直接通過路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過病毒主機(jī)上，切換的時(shí)候用戶 會(huì)斷一次線。 切換到病毒主機(jī)上網(wǎng)后，如果用戶已經(jīng)登陸了傳奇服務(wù)器，那么病毒主機(jī)就會(huì)經(jīng)常偽造斷線的假像 ，那么用戶就得重新登錄傳奇服務(wù)器，這樣病毒主機(jī)就可以盜號(hào)了。 由于 ARP 欺騙的木馬程序發(fā)作的時(shí)候會(huì)發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的 限制，用戶會(huì)感覺上網(wǎng) 速度越來越慢。當(dāng) ARP 欺騙的木馬程序停止運(yùn)行時(shí)，用戶會(huì)恢復(fù)從路由器上網(wǎng)，切 換過程中用戶會(huì)再斷一次線。 【 HiPER 用戶快速發(fā)現(xiàn) ARP 欺騙木馬】 在路由器的“系統(tǒng)歷史記錄”中看到大量如下的信息（ 440 以后的路由器軟件版本中才有此提示）： MAC Chged MAC Old 00:01:6c:36:d1:7f MAC New 00:05:5d:60:c7:18 這個(gè)消息代表了用戶的 MAC 地址發(fā)生了變化，在 ARP欺騙木馬開始運(yùn)行的時(shí) 候，局域網(wǎng)所有主機(jī)的 MAC 地址更新為病毒主機(jī)的 MAC 地址（即所有信息的 MAC New地址都一致為病毒主機(jī)的 MAC 地址），同時(shí)在路由 器的“用戶統(tǒng)計(jì)”中看到所有用戶的 MAC 地址信息都一樣。 如果是在路由器的“系統(tǒng)歷史記錄”中看到大量 MAC Old 地址都一致，則說明局域網(wǎng)內(nèi)曾經(jīng)出現(xiàn)過 ARP 欺騙（ ARP 欺騙的木馬程序停止運(yùn)行時(shí)，主機(jī)在路由器上恢復(fù)其真實(shí)的 MAC 地址）。 【在局域網(wǎng)內(nèi)查找病毒主機(jī)】 在上面我們已經(jīng)知道了使用 ARP 欺騙木馬的主機(jī)的MAC 地址，那么我們就可以使用 NBTSCAN（下載地址 ： 它。 NBTSCAN 可以取到 PC 的真實(shí) IP 地址和 MAC 地址，如果有”傳奇木馬”在做怪，可以找到裝有木馬的 PC 的 IP/和 MAC 地址。 命令：“ nbtscan r ”（搜索整個(gè), 即 ）；或“ nbtscan ”搜索 網(wǎng)段，即 。輸出結(jié)果第一列是 IP 地址，最后一列是 MAC 地址。 NBTSCAN 的使用范例： 假設(shè)查找一臺(tái) MAC 地址為“ 000d870d585f”的病毒主機(jī)。 1）將壓縮包中的 和 解壓縮放到 c:下。 2）在 Windows 開始 — 運(yùn)行 — 打開，輸入 cmd（ windows98輸入“ mand”），在出現(xiàn)的 DOS 窗口中輸入： C: btscan r （這里需要根據(jù)用戶實(shí)際網(wǎng)段輸入），回車。 C:Documents and SettingsALANC: btscan r Warning: r option not supported under Windows. Running without it. Doing NBT name scan for addresses from IP address NetBIOS Name Server User MAC address Sendto failed: Cannot assign requested address SERVER 00e04c4d96c6 LLF ADMINISTRATOR 002255667788 UTTHIPER 000d87267d78 JC 000795e07cd7 test123 test123 000d870d585f 3）通過查詢 IPMAC 對(duì)應(yīng)表，查出“ 000d870d585f”的病毒主機(jī)的 IP 地址為“ ”。 【解決思路】： 不要把你的網(wǎng)絡(luò)安全信任關(guān)系建立在 IP 基礎(chǔ)上或 MAC基礎(chǔ)上，（ rarp 同樣存在欺騙的問題），理想的 關(guān)系應(yīng)該建立在 IP+MAC 基礎(chǔ)上。 設(shè)置靜態(tài)的 MACIP 對(duì)應(yīng)表，不要讓主機(jī)刷新你設(shè)定好的轉(zhuǎn)換表。 除非很有必要，否則停止使用 ARP，將 ARP 做為永久條目保存在對(duì)應(yīng)表中。 使用 ARP 服務(wù)器。通過該服務(wù)器查找自己的 ARP 轉(zhuǎn)換表來響應(yīng)其他機(jī)器的 ARP 廣播。確保這 臺(tái) ARP 服務(wù)器不被黑。 使用 proxy代理 IP 的傳輸。 使用硬件屏蔽主機(jī)。設(shè)置好你的路由，確保 IP 地址能到達(dá)合法的路徑。（靜態(tài)配置路由 ARP 條目）， 注意，使用交換集線器 和網(wǎng)橋無法阻止 ARP 欺騙。 管理員定期用響應(yīng)的 IP 包中獲得一個(gè) rarp 請(qǐng)求，然后檢查 ARP 響應(yīng)的真實(shí)性。 管理員定期輪詢，檢查主機(jī)上的 ARP 緩存。 使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò)。注意有使用 SNMP 的情況下，ARP 的欺騙有可能導(dǎo)致陷阱包丟失。 【 HiPER 用戶的解決方案】 建議用戶采用雙向綁定的方法解決并且防止 ARP 欺騙。 在 PC 上綁定路由器的 IP 和 MAC 地址： 1）首先，獲得路由器的內(nèi)網(wǎng)的 MAC 地址（例如 HiPER網(wǎng)關(guān)地址 的 MAC 地址為 0022aa0022aa 局域網(wǎng)端口 MAC 地址 ）。 2）編寫一個(gè)批處理文件 內(nèi)容如下： @echo off arp d arp s 0022aa0022aa 將文件中的網(wǎng)關(guān) IP 地址和 MAC地址更改為您自己的網(wǎng)關(guān) IP 地址和 MAC 地址即可。 將這個(gè)批處理軟件拖到“ windows開始 程序 啟動(dòng)”中。 ARP 病毒專殺工具 ARP 病 毒 專 殺 工 具 ： 趨勢(shì)科技 ARP 病毒專殺工具，不管是否有中毒，請(qǐng)務(wù)必下載下來殺一殺。 下載后解壓縮，運(yùn)行包內(nèi) 文件，不要關(guān)讓它一直運(yùn)行完，最后查看 report 文檔便知是否中毒。 Arp 病毒專殺防御工具 Antiarp 下 載 地 址 ： ∷軟件簡(jiǎn)介∷ 防護(hù) arp 攻擊軟件最終版 Antiarp 安全軟件 使用方法： 填入網(wǎng)關(guān) IP 地址，點(diǎn)擊［獲取網(wǎng)關(guān)地址］將會(huì)顯示出網(wǎng)關(guān)的 MAC 地址。點(diǎn)擊 [自動(dòng)防護(hù) ]即可保護(hù)當(dāng)前 網(wǎng)卡與該網(wǎng)關(guān)的通信不會(huì)被第三方監(jiān)聽。注意：如出現(xiàn)這種欺騙提示，這說明攻擊者發(fā)送了對(duì)于此種欺 騙數(shù)據(jù)包來獲取網(wǎng)卡的數(shù)據(jù)包，如果您想追蹤攻擊來源請(qǐng)記住攻擊者的 MAC 地址，利用 MAC 地址掃描器可 以找出 IP 對(duì)應(yīng)的 MAC 地址 . IP 地址沖突 如頻繁的出現(xiàn) IP 地址沖突，這說明攻擊者頻繁發(fā)送 ARP 欺騙數(shù)據(jù)包，才會(huì)出現(xiàn) IP 沖突的警告，利用 Anti ARP Sniffer 可以防止此類攻擊。 您需要知道沖突的 MAC 地址， Windows 會(huì)記錄這些錯(cuò)誤。查看具體方法如 下： 右擊 [我的電腦 ][管理 ]點(diǎn)擊 [事件查看器 ]點(diǎn)擊 [系統(tǒng) ]查看來源為 [TcpIP]雙擊事件可以看到 顯示地址發(fā)生沖突，并記錄了該 MAC 地址，請(qǐng)復(fù)制該 MAC地址并填入 Anti ARP Sniffer 的本地 MAC 地址輸入 框中 (請(qǐng)注意將 :轉(zhuǎn)換為 )，輸入完成之后點(diǎn)擊 [防護(hù)地址沖突 ]，為了使 M 地址生效請(qǐng)禁用本地網(wǎng)卡然后再 啟用網(wǎng)卡，在 CMD 命令行中輸入 Ipconfig /all，查看當(dāng)前MAC 地址是否與本地 MAC 地址輸入框中的地址相 符，如果更改失敗請(qǐng)與我聯(lián)系。如果成功將不再會(huì)顯示 地址沖突。 注意 :如果您想恢復(fù)默認(rèn) MAC 地址 ,請(qǐng)點(diǎn)擊 [恢復(fù)默認(rèn) ],為了使地址生效請(qǐng)禁用本地網(wǎng)卡然后再啟用網(wǎng)卡。 ARP 原理說明及解決方案 20201214 11:19ARP的檢測(cè)防御 ARP 是什么？ ARP 欺騙是什么？ ARP（ Address Resolution Protocol）是地址解析協(xié)議，是一種將 IP 地址轉(zhuǎn)化成物理地址的協(xié)議。是系統(tǒng)進(jìn)行通訊的基礎(chǔ)，是以信任為基礎(chǔ)的，如果破壞了這個(gè)信任，那就形成 ARP 欺騙了。 ARP（ Address Resolution Protocol）是地址解析 協(xié)議，是一種將IP 地址轉(zhuǎn)化成物理地址的協(xié)議。是系統(tǒng)進(jìn)行通訊的基礎(chǔ)，是以信任為基礎(chǔ)的，如果破壞了這個(gè)信任，那就形成 ARP 欺騙了。 ARP（ Address Resolution Protocol）是地址解析協(xié)議，是一種將 IP 地址轉(zhuǎn)化成物理地址的協(xié)議。是系統(tǒng)進(jìn)行通訊的基礎(chǔ)，是以信任為基礎(chǔ)的，如果破壞了這個(gè)信任，那就形成 ARP欺騙了。 ARP 的具體現(xiàn)象是什么？其危害是什么？ 具體的現(xiàn)象有幾種：具體的現(xiàn)象有幾種： (1) 內(nèi)網(wǎng)單機(jī)或局部掉線，重啟、禁用本地連接后重新啟用、用命令輸入 arp –d 后，都可以 恢復(fù)網(wǎng)絡(luò)連接。 具體的現(xiàn)象有幾種： (1) 內(nèi)網(wǎng)單機(jī)或局部掉線，重啟、禁用本地連接后重新啟用、用命令輸入 arp – d 后，都可以恢復(fù)網(wǎng)絡(luò)連接。 (2) 網(wǎng)絡(luò)閃斷，但馬上可以連接上。 (3) 全部掉線，必須重新啟動(dòng)路由才可上網(wǎng)。 (4) 內(nèi)網(wǎng)上網(wǎng)用戶丟號(hào)問題嚴(yán)重，頻繁出現(xiàn)丟號(hào)現(xiàn)象。 其具體的危害為影響顧客正常上網(wǎng)，帳號(hào)頻繁丟失，損害顧客群，導(dǎo)致網(wǎng)吧經(jīng)濟(jì)效益受影響。有時(shí)候網(wǎng)吧沒有出現(xiàn)頻繁掉線情況，但帳號(hào)頻繁丟失也是中了 ARP 欺騙的現(xiàn)象，一般都是為閃斷后馬上可以連接上，但所上網(wǎng)使用的代理已經(jīng)更換為 偽裝的路由器了。這樣是導(dǎo)致丟號(hào)的真實(shí)原因。 如何進(jìn)行 ARP 問題的檢測(cè)或判斷，一般監(jiān)測(cè) ARP 問題的軟件都為什么？ （ 1）檢測(cè) ARP 問題方法很簡(jiǎn)單，一般如果出現(xiàn)掉線問題的時(shí)候，如果不是大面積掉線時(shí)，重新啟動(dòng)計(jì)算機(jī)、禁用本地連接后重新啟用、用命令輸入 arp – d 后，都可以恢復(fù)網(wǎng)絡(luò)連接，這樣的情況基本可以判斷為 ARP 欺騙攻擊。（ 1） 檢測(cè) ARP 問題方法很簡(jiǎn)單，一般如果出現(xiàn)掉線問題的時(shí)候，如果不是大面積掉線時(shí)，重新啟動(dòng)計(jì)算機(jī)、禁用本地連接后重新啟用、用命令輸入 arp – d 后，都可以恢復(fù)網(wǎng)絡(luò)連接，這樣的情 況基本可以判斷為 ARP 欺騙攻擊。（ 2）網(wǎng)絡(luò)不穩(wěn)，時(shí)常出現(xiàn)閃斷，但是網(wǎng)絡(luò)馬上都可以繼續(xù)連接，重起某一臺(tái)機(jī)器會(huì)導(dǎo) 致全網(wǎng)掉線也基本可以判斷為 ARP 欺騙攻擊，重啟的那臺(tái)計(jì)算機(jī)為 ARP 欺騙偽裝路由器。 （ 1）檢測(cè) ARP 問題方法很簡(jiǎn) 單，一般如果出現(xiàn)掉線問題的時(shí)候，如果不是大面積掉線時(shí)，重新啟動(dòng)計(jì)算機(jī)、禁用本地連接后重新啟用、用命令輸入 arp – d 后，都可以恢復(fù)網(wǎng)絡(luò)連接，這樣的情況基本可以判斷為 ARP 欺騙攻擊。（ 2）網(wǎng)絡(luò)不穩(wěn)，時(shí)常出現(xiàn)閃斷，但是網(wǎng)絡(luò)馬上都可以繼續(xù)連接，重起某一臺(tái)機(jī)器會(huì)導(dǎo) 致全網(wǎng)掉線也基本可以判斷為 ARP 欺騙攻擊，重啟的那臺(tái)計(jì)算機(jī)為 ARP 欺騙偽裝路由器。（ 3）內(nèi)網(wǎng)用戶頻繁丟號(hào)，但單機(jī)查不出任何木馬和盜號(hào)程序，這個(gè)時(shí) 候基本也可以判斷為 ARP 欺騙。 （ 4）經(jīng)常性的出現(xiàn)全網(wǎng)掉網(wǎng)，但重新啟動(dòng)路由器，可