方法如下:進入到虛擬的DOS模式下ping自己的網關,然後用arp -a 命令可以看到緩存中網關對應的MAC地址,然後記錄下來。當再次受到攻擊導致無法上網時候可以在DOS下用arp -s 網關ip 網關MAC地址 的方式手動建立映射關系重新恢復和網關的通信。
但是這種方法在碰到惡意的連續攻擊的情況下是很麻煩的,嚴整影響了正常使用,因為妳不得不常常去修改妳的緩存。還好找到了ColorSoft出的Anti Arp sniffer小東西,使用起來很簡單,直接把妳記錄到的網關正確MAC填進去,在把自己的網卡MAC填進去,然後打開自動防護和防護地址沖突就可以了,他會自動過濾掉攻擊的欺騙數據包,從而使妳網絡更穩定。呵呵,再也不怕因為攻擊而遊戲掉線了。現在Anti Arp sniffer出到了2.0版,但是感覺還是不夠方便,不能自動獲得當前本機的網卡MAC,在受到連續攻擊的時候不停彈出受攻擊的提示,十分礙眼。不過總體說來還是不錯的好東東了
arp -a 查出網關MAC地址
arp -s 192.168.x.x 00-00-00-00-00-00-00
其中:192.168.x.x(網關IP)
00-00-00-00-00-00(網關MAC)
不會多查查幫助吧,系統自帶的
二、
ARP攻擊補丁防範網絡剪刀
分類:PC病毒
因為網絡剪刀手等工具的原理就是利用了ARP欺騙,所以,只要防止了ARP欺騙也等於防止了網絡剪刀手。
解決辦法:應該把妳的網絡安全信任關系建立在IP+MAC地址基礎上,設置靜態的MAC-地址->IP對應表,不要讓主機刷新妳設定好的轉換表。
先在網上找壹些MAC地址查找器,然後用編輯軟件編輯壹下編寫成下面的批處理文件,
@echo off
arp -d
arp -s 192.168.5.10 00:0A:EB:C1:9B:89
arp -s 192.168.5.11 00:05:5D:09:41:09
arp -s 192.168.5.12 52:54:AB:4F:24:9D
arp -s 192.168.5.34 00:E0:4C:82:06:60
arp -s 192.168.5.35 00:E0:4C:62:F4:7C
arp -s 192.168.5.36 02:E0:4C:A0:F6:A2
arp -s 192.168.5.201 00:10:5C:B9:AD:99
arp -s 192.168.5.215 00:0A:EB:10:DE:74
arp -s 192.168.5.220 00:E0:4C:5B:CF:49
arp -s 192.168.5.221 00:11:D8:AE:8F:C5
arp -s 192.168.5.223 00:11:2F:E4:32:EB
(將文件中的IP地址和MAC地址更改為您自己的網絡IP地址和MAC地址即可),保存下來,如果有人更新了妳的arp,妳就運行壹下妳的批處理文件就行了。
參考資料:
因為網絡剪刀手等工具的原理就是利用了ARP欺騙,所以,只要防止了ARP欺騙也等於防止了網絡剪刀手。
解決辦法(壹):應該把妳的網絡安全信任關系建立在IP+MAC地址基礎上,設置靜態的MAC-地址->IP對應表,不要讓主機刷新妳設定好的轉換表。
具體步驟:編寫壹個批處理文件arp.bat內容如下(假設192.168.1.2的mac地址是00-22-aa-00-22-aa):
@echo off
arp -d
arp -s 192.168.1.2 00-22-aa-00-22-aa
.
.
.
arp -s 192.168.1.254 00-99-cc-00-99-cc
(所有的IP與相應MAC地址都按上面的格式寫好) ,將文件中的IP地址和MAC地址更改為您自己的網絡IP地址和MAC地址即可。
將這個批處理軟件拖到每壹臺主機的“windows開始-程序-啟動”中。這樣每次開機時,都會刷新ARP表。
解決辦法(二):
下載防ARP攻擊補丁安裝!
解決辦法(三)
局域網ARP攻擊免疫器
這個在2000,xp 1,xp 2,2003下面都正常使用,不會對系統或遊戲有任何影響。98的確沒有測試過。
98下面,這個“局域網ARP攻擊免疫器”packet.dll pthreadVC.dll wpcap.dll要解壓縮到c:\windows\system裏面才有效,另外壹個npf.sys還是解壓到system32\drivers裏面就可以了。
我可以很負責的告訴妳們!
用了以後網絡執法官是不可以用了!
可是用了帶arp病毒的外掛還是會掉的!!
本人再次詳細申明壹下:這個東東可以在2000,XP,2003下面正常使用,不會對系統.遊戲有任何影響。對與98,需要使用DOS命令來實現這幾個文件的免修改屬性。可以屏蔽網絡執法官.網絡終結者之類的軟件對網吧進行毀滅性打擊。至於由於病毒造成的危害,就無能為力了。沒有壹個東西是萬能滴。
他的原理就是不讓WinPcap安裝成功,以上的程序只是隨便找個sys 和dll文件代替WinPcap的安裝文件,並把這幾個文件只讀,至於win98下如何用,原理也壹樣,自己先安裝WinPcap然後再其卸載程序當中看到WinPcap在system裏面寫了什麽文件,再便找個sys 和dll文件代替其中關鍵的三個wpcap.dll、packet.dll、npf.sys,在win98當中可能是兩個。至於這種方法安全嗎?我認為壹般,首先arp病毒不能防止,並且能容易把它破掉
1、ARP攻擊
針對ARP的攻擊主要有兩種,壹種是DOS,壹種是Spoof。
ARP欺騙往往應用於壹個內部網絡,我們可以用它來擴大壹個已經存在的網絡安全漏洞。
如果妳可以入侵壹個子網內的機器,其它的機器安全也將受到ARP欺騙的威脅。同樣,利用APR的DOS甚至能使整個子網癱瘓。
2、對ARP攻擊的防護
防止ARP攻擊是比較困難的,修改協議也是不大可能。但是有壹些工作是可以提高本地網絡的安全性。
首先,妳要知道,如果壹個錯誤的記錄被插入ARP或者IP route表,可以用兩種方式來刪除。
a. 使用arp –d host_entry
b. 自動過期,由系統刪除
局域終結者,網絡執法官,網絡剪刀手
1。將這裏面3個dll文件復制到windows\system32 裏面,將npf.sys 這個文件復制到 windows\system32\drivers 裏面。
2。將這4個文件在安全屬性裏改成只讀。也就是不允許任何人修改
三、
1.建立DHCP服務器(建議建在網關上,因為DHCP不占用多少CPU,而且ARP欺騙攻擊壹般總是先攻擊網關,我們就是要讓他先攻擊網關,因為網關這裏有監控程序的,網關地址建議選擇192.168.10.2 ,把192.168.10.1留空,如果犯罪程序愚蠢的話讓他去攻擊空地址吧),另外所有客戶機的IP地址及其相關主機信息,只能由網關這裏取得,網關這裏開通DHCP服務,但是要給每個網卡,綁定固定唯壹IP地址。壹定要保持網內的機器IP/MAC壹壹對應的關系。這樣客戶機雖然是DHCP取地址,但每次開機的IP地址都是壹樣的。
2.建立MAC數據庫,把網吧內所有網卡的MAC地址記錄下來,每個MAC和IP、地理位置統統裝入數據庫,以便及時查詢備案。
3.網關機器關閉ARP動態刷新的過程,使用靜態路郵,這樣的話,即使犯罪嫌疑人使用ARP欺騙攻擊網關的話,這樣對網關也是沒有用的,確保主機安全。
網關建立靜態IP/MAC捆綁的方法是:建立/etc/ethers文件,其中包含正確的IP/MAC對應關系,格式如下:
192.168.2.32 08:00:4E:B0:24:47
然後再/etc/rc.d/rc.local最後添加:
arp -f 生效即可
4.網關監聽網絡安全。網關上面使用TCPDUMP程序截取每個ARP程序包,弄壹個腳本分析軟件分析這些ARP協議。ARP欺騙攻擊的包壹般有以下兩個特點,滿足之壹可視為攻擊包報警:第壹以太網數據包頭的源地址、目標地址和ARP數據包的協議地址不匹配。或者,ARP數據包的發送和目標地址不在自己網絡網卡MAC數據庫內,或者與自己網絡MAC數據庫 MAC/IP 不匹配。這些統統第壹時間報警,查這些數據包(以太網數據包)的源地址(也有可能偽造),就大致知道那臺機器在發起攻擊了