【正文】 完成 IP 地址轉(zhuǎn)換為第二層物理地址（即 MAC 地址）的。 ARP 病毒的攻擊以及欺騙手段 ARP 攻擊原理及解決方法 【故障原因】 局域網(wǎng)內(nèi)有人使用 ARP 欺騙的木馬程序（比如：傳奇盜號的軟件，某些傳奇外掛中也被惡意加載了此程序）。在 Windows 中要查看或者修改 ARP緩存中的信息，可以使用 arp 命令來完成，比如在 Windows XP 的命令提示符窗口中鍵入 “arp a” 或 “arp g” 可以查看 ARP 緩存中的內(nèi)容；鍵入 “arp d IPaddress” 表示刪除指定的 IP 地址項（ IPaddress 表示 IP 地址）。整個轉(zhuǎn)換過程是一臺主機(jī)先向 目標(biāo)主機(jī)發(fā)送包含 IP 地址信息的廣播數(shù)據(jù)包，即 ARP 請求，然后目標(biāo)主機(jī)向該主機(jī)發(fā)送一個含有 IP 地址和 MAC 地址數(shù)據(jù)包，通過 MAC 地 址兩個主機(jī)就可以 實現(xiàn)數(shù)據(jù)傳輸了。 ARP 協(xié)議的基本功能就是通過目標(biāo)設(shè)備的 IP 地址，查詢目標(biāo)設(shè)備的 MAC 地址以保證通信的順利進(jìn)行。 二 常見的 ARP 病毒的攻擊以及防范措施 什么是 ARP 英文原義： Address Resolution Protocol 中文釋義：（ RFC826）地址解析協(xié)議 局域網(wǎng)中，網(wǎng)絡(luò)中實際傳輸?shù)氖?“ 幀 ” ，幀里面是有目標(biāo)主機(jī)的 MAC 地址的。 然而要處理好這種問題，就是我選擇這個課題的根本所在。如果大家發(fā)現(xiàn)中了 ARP 沒有掉線，那說明你中了最新的變種，你只要重啟了那臺中了 ARP 病毒的電腦，那么受到 ARP 攻擊的機(jī)子就會全部掉線內(nèi)網(wǎng)的網(wǎng)關(guān)不掉包，而外網(wǎng)的 IP 和 DNS 狂掉，這點也是 ARP 變種的出現(xiàn)的情況，請大家留意。一會兒全掉線，一會兒是幾臺幾臺的掉線。 比如說當(dāng) 局域網(wǎng)受 ARP 變種病毒攻擊后 就會出現(xiàn) 瞬間掉線 的情況。如果您對 ARP的知識不了解的話那么當(dāng) 你受到 ARP 攻擊的時候就會受到其大的影響。利用 ARP 攻擊擾亂網(wǎng)吧網(wǎng)絡(luò)的現(xiàn)象更是已經(jīng)泛濫。 ARP 攻擊只能在你內(nèi)部網(wǎng)絡(luò)中進(jìn)行，只要在你網(wǎng)絡(luò)中的任意一臺電腦上運行 ARP 欺騙程序： ————可以在不知不覺中盜竊你網(wǎng)絡(luò)中傳輸?shù)娜魏涡畔ⅲ? ————也可以造成你整個網(wǎng)絡(luò)無法正常上網(wǎng)。 關(guān)鍵詞： nbtscan MAC Sniffer 7 目 錄 一 選題背景 選課題的原因 選課題目的 ．．．．．．．．．． 選課題意義 ．．．．．．．．．． 二 常見的 ARP 病毒的攻擊以及防范措施 什么是 ARP ARP 病毒的攻擊以及欺騙手段 ARP 攻擊原理及解決方法 ARP 欺騙原理以及路由器的 先天免 網(wǎng)絡(luò)安全中的 ARP 協(xié)議和欺騙技術(shù)及其對策 三 ARP 防范軟件 360 安全衛(wèi)士新版發(fā)布 增加 ARP 防火墻 Sniffer 簡紹 Sniffer 使用方法 Sniffer會“抓毒”的網(wǎng)絡(luò)分析儀 利用 Sniffer Pro 徹底解決 IP 被盜用問題 聞名業(yè)界的 Sniffer 網(wǎng)絡(luò)管理解決方案 三 總結(jié) 8 一 選題背景 選課題的原因 ARP 及 IP 攻擊泛濫，嚴(yán)重影響網(wǎng)絡(luò)安全； 你的網(wǎng)絡(luò)是否發(fā)生過頻繁掉線的現(xiàn)象？ 你的網(wǎng)絡(luò)是不是發(fā)生過用戶 被盜的現(xiàn)象？ 你的網(wǎng)絡(luò)在做了雙向 IPMAC 綁定后，是不是還是會發(fā)生掉線現(xiàn)象？ 你知道是什么原因嗎？ ——ARP 攻擊， IP 攻擊！ 你覺的你的網(wǎng)絡(luò)安全嗎 ?當(dāng)你在網(wǎng)絡(luò)上傳輸敏感信息時，是否會有一雙貪婪的眼睛正在窺探著你的秘密？ ARP 是網(wǎng)絡(luò)應(yīng)用的基礎(chǔ)，沒有 ARP 就沒有網(wǎng)絡(luò)。 不要隨便點擊打開 、 MSN 等聊天工具上發(fā)來的鏈接信息，不要隨便打開或運行陌生、可疑文件和程序，如郵件中的陌生附件，外掛程序等。 關(guān)閉一些不需要的服務(wù)，條件允許的可關(guān)閉一些沒有必要的共享，也包括 C$、D$等管理共享。安裝并使用 網(wǎng)絡(luò)防火墻軟件，網(wǎng)絡(luò)防火墻在防病毒過程中也可以起到至關(guān)重要 的作用，能有效地阻擋自來網(wǎng)絡(luò)的攻擊和病毒的入侵。 6 給系統(tǒng)管理員帳戶設(shè)置足夠復(fù)雜的強(qiáng)密碼，最好能是 12 位以上，字母 +數(shù)字 +符號的組合；也可以禁用 /刪除一些不使用的帳戶。 網(wǎng)吧管理員檢查局域網(wǎng)病毒，安裝殺毒軟件（金山毒霸 /瑞星 /卡巴斯基 ，必須要更新病毒代碼），對機(jī)器進(jìn)行病毒掃描。 病毒源，對病毒源頭的機(jī)器進(jìn)行處理，殺毒或重新裝系統(tǒng)。但是此動作，如果重起了電腦，作用就會消失，所以可以把此命令做成一個批處理文件，放在操作系統(tǒng)的啟動里面，批處理文件可以這樣寫： echo off arp d arp s 路由器 LAN IP 路由器 LAN MAC 在路由器端綁定用戶 IP/MAC 地址： 在 DHCP 功能中對 IP/MAC 進(jìn)行綁定， Qno 路由器提供了一個顯示新加入的 IP 地址的功能，通過這個功能可以一次查找到網(wǎng)絡(luò)內(nèi)部的所有 PC 機(jī)的 IP/MAC 的對應(yīng)列表，我們可以通過 “√” 選的功能選擇綁定 IP/MAC。 對每臺 pc 上綁定網(wǎng)關(guān)的 IP 和其 MAC 地址 在每臺 PC 機(jī)上進(jìn)入 dos 操作，輸入 arp – s (網(wǎng)關(guān) IP) 000f3d837428(網(wǎng)關(guān) MAC),Enter 后完成每臺 PC 機(jī)的綁定。 一般處理辦法分三個步驟來完成。輸入 ARP a 命令，顯示如下圖： 圖 2 可以看出 地址和 地址的 IP 的 MAC 地址都是000f3d837428,很顯然，這就是 ARP 欺騙造成的。輸入 ping （網(wǎng)關(guān) IP 地址） ， 如下圖： 圖 1 內(nèi)網(wǎng) ping 路由器的 LAN IP 丟幾個包，然后又連上，這很有可能是中了 ARP 攻擊。 4 基本 ARP 病毒防制法 通過對 ARP 工作原理得知，如果系統(tǒng) ARP 緩存表被修改不停的通知路由器一系列錯誤的內(nèi)網(wǎng) IP 或者干脆偽造一個假的網(wǎng)關(guān)進(jìn)行欺騙的話，網(wǎng)絡(luò)就肯定會出現(xiàn)大面積的 掉線問題，這樣的情況就是典型的 ARP 攻擊，對遭受 ARP 攻擊的判斷，其方法很容易，你找到出現(xiàn)問題的電腦點開始運行進(jìn)入系統(tǒng)的 DOS 操作。 ” 這樣，主機(jī) A 就知道了主機(jī) B 的MAC 地址，它就可以向主機(jī) B 發(fā)送信息了。當(dāng)發(fā)送數(shù)據(jù)時，主機(jī) A 會在自己的 ARP 緩存表中尋找是否有目標(biāo) IP 地址。 ARP 協(xié)議的工作原理：在每臺安裝有 TCP/IP 協(xié)議的電腦里都有一個 ARP 緩存表，表里的 IP 地址與 MAC 地址是一一對應(yīng)的，如表所示。所謂 “ 地址解析 ” 就是主機(jī)在發(fā)送幀前將目 標(biāo) IP 地址轉(zhuǎn)換成目標(biāo) MAC 地址的過程。本文為大家?guī)磉M(jìn)階的 ARP 攻擊防制方法。 1 廣西經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院 畢業(yè)論文 題 目 專 業(yè) 班 級 姓 名 指導(dǎo)教師 姓名 職稱 起止日期 2 廣西東方外語職業(yè)學(xué)院 畢業(yè)論文（設(shè)計）任務(wù)書 專業(yè)及班級： 學(xué)生姓名： 題目： 上交報告（論文）日期： 年 月 日 答辯日期： 年 月 日 指導(dǎo)教師： 200 年 月 日簽發(fā) 3 本人聲明 我聲明 , 本論文及其設(shè)計工作是由本人在指導(dǎo)教師的指 導(dǎo)下獨立完成的 , 在完成論文時所利用的一切資料均已在參考文獻(xiàn)中列出。 ARP 攻擊 與 防護(hù)措施 及解決方案 摘 要 要了解 ARP 欺騙攻擊 , 我們首先要了解 ARP 協(xié)議以及它的工作原理，以更好的來防范和排除 ARP 攻擊的帶來的危害。 基本 ARP 介紹 ARP “Address Resolution Protocol” （地址解析協(xié)議），局域網(wǎng)中，網(wǎng)絡(luò)中實際傳輸?shù)氖?“ 幀 ” ，幀里面是有目標(biāo)主機(jī)的 MAC 地址的。 ARP 協(xié)議的基本功能就是通過目標(biāo)設(shè)備的 IP 地址，查詢目標(biāo)設(shè)備的 MAC 地址，以保證通信的順利進(jìn)行。 我們以主機(jī) A（ ）向主機(jī) B（ ）發(fā)送數(shù) 據(jù)為例。如果找到了，也就知道了目標(biāo) MAC 地址，直接把目標(biāo) MAC 地址寫入幀里面 發(fā)送就可以了；如果在 ARP 緩存表中 沒有找到相對應(yīng)的 IP 地址，主機(jī) A 就會 在網(wǎng)絡(luò)上發(fā)送一個廣播，目標(biāo) MAC 地址是 “” ，這表示向同一網(wǎng)段內(nèi)的所有主機(jī)發(fā)出這樣的詢問： “ 的 MAC 地址是什么？ ” 網(wǎng)絡(luò)上其它主機(jī) 并不響應(yīng) ARP 詢問，只有主機(jī) B 接收到這個幀時，才向主機(jī) A 做出這樣的回應(yīng)：“ 的 MAC 地址是 00aa0062c6 09。同時它還更新了自己的 ARP 緩存表。 ping 路由器的 LAN IP 丟包情況。為了進(jìn)一步確認(rèn)，我們可以通過查找 ARP 表來判斷。 在理解了 ARP 之后， ARP 欺騙攻擊以及如何判斷此類攻擊，我們簡單介紹一下如何找到行之有效的防制辦法來防止這類攻擊對網(wǎng)絡(luò)造成的危害。 激活防止 ARP 病毒攻擊 5 進(jìn)入路由器的防火 墻 的基本配置欄將 “ 防止 ARP病毒攻擊 ” 在這一行的 “ 激活 ” 并確定。 針對網(wǎng)絡(luò)內(nèi)的其它主機(jī)用同樣的方法輸入相應(yīng)的主機(jī) IP 以及 MAC 地址完成 IP 與MAC 綁定。 進(jìn)階 ARP 病毒防制 單靠這樣的操作基本可以解決問題，但是技術(shù)工程師建議通過進(jìn)一步通過一些手段來進(jìn)一步控制 ARP 的攻擊。此操作比較重要，解決了 ARP 攻擊的源頭 PC 機(jī)的問題，可以保證內(nèi)網(wǎng)免受攻擊 。 給系統(tǒng)安裝補(bǔ)丁程序，通過 Windows Update 安裝好系統(tǒng)補(bǔ)丁程序 (關(guān)鍵更新、安全更新和 Service Pack)。 經(jīng)常更新殺毒軟件（病毒庫），設(shè)置允許的可設(shè)置為每天定時自動更新。部分盜版 Windows 用戶不能正常安裝 補(bǔ)丁，不妨通過使用網(wǎng)絡(luò)防火墻等其它方法來做到一定的防護(hù)。完全單機(jī)的用戶也可直接關(guān)閉 Server 服務(wù)。 ARP 攻擊防制是一個任重而道遠(yuǎn)的過程，必須高度重視這個問題，而且不能大意馬虎，我們 得 隨時警 惕 ARP 攻擊，以減少受到的危害，提高工作效率，降低經(jīng)濟(jì)損失。 ARP 攻擊不同于病毒，也不是系統(tǒng)漏洞，他不是病毒，但比病毒厲害；你打補(bǔ)丁 ，或裝防火墻，或安裝殺毒軟件都對他毫無意義。 他可以竊取你網(wǎng)絡(luò)里其他電腦上正在傳輸?shù)你y行帳號；竊取正在進(jìn)行的游戲帳號；竊取別人的 號碼更是司空見慣。 選課題目的 選擇 ARP 這個題目作為研究，那是為了更好的維護(hù)好我們的網(wǎng)絡(luò)。為了解決好 局域網(wǎng) 的安全以及外網(wǎng)的正常通暢！我們必須做好 ARP 的防護(hù)工作。那時候我們?nèi)绾稳ソ鉀Q呢？ ARP 對網(wǎng)吧的危害最大，在前期我們一般采用雙向梆定的方法即可解決但是 ARP變種 ， 大家也許還在為網(wǎng)關(guān)掉線還以為是電信的問題還煩惱吧，其實不然變種過程 ARP病毒 變種 或 現(xiàn)在的這個ARP 變種病毒更 是厲害，我把 一些實際遇到的問題介紹 大家聽聽，如果大家有這些情況，不好意思 “恭喜你 ”你中大獎了，呵呵 ~~先了解 ARP 變種病毒的特性吧 : 9 一 :破壞你的 ARP 雙向綁定批出理 二 :中毒機(jī)器改變成代理服務(wù)器又叫代理路由 三 :改變路由的網(wǎng)關(guān) MAC 地址和 internat 網(wǎng)關(guān)的 MAC 地址一樣病毒發(fā)作情況：現(xiàn)在的 ARP 變種 不是攻擊客戶機(jī)的 MAC 地址攻擊路由內(nèi)網(wǎng)網(wǎng)關(guān)，改變了它的原理，這