it计算机]arp病毒入侵原理和解决方案

it计算机]arp病毒入侵原理和解决方案内容摘要：

2aa 将文件中的网关 IP 地址和 MAC地址更改为您自己的网关 IP地址和 MAC 地址即可。 将这个批处理软件拖到“ windows开始 程序 启动”中。 3）如果是网吧，可以利用收费软件服务端程序（ pubwin 或者万象都可以）发送批处理文件 到所有客户机的启动目录。 Windows2020 的默认启动目录为“ C:\Documents and SettingsAll Users「开始」菜单程序启动”。 在路由器上绑定用户主机的 IP 和 MAC 地址（ 440 以后的路 由器软件版本支持）： 在 HiPER 管理界面 高级配置 用户管理中将局域网每台主机均作绑定。 补丁下载地址（转自百度知道）： 因为网络剪刀手等工具的原理就是利用了 ARP 欺骗，所以，只要防止了 ARP 欺骗也等于防止了网络剪刀手。 解决办法 (一 )：应该把你的网络安全信任关系建立在IP+MAC 地址基础上，设置静态的 MAC地址 IP 对应表，不要让主机刷新你设定好的转换表。 具体步骤：编写一个批处理文件 内容如下 (假设 的 mac 地址是 0022aa0022aa)： @echo off arp d arp s 0022aa0022aa . . . arp s 0099cc0099cc (所有的 IP 与相应 MAC 地址都按上面的格式写好 ) 将文件中的 IP 地址和 MAC 地址更改为您自己的网络 IP 地址和 MAC 地址即可。 将这个批处理软件拖到每一台主机的“ windows开始 程序启动”中。 这样每次开机时，都会刷新 ARP 表。 解决办法 (二 )： 下载防 ARP 攻 击补丁安装 ! 防 ARP 攻击补丁 FOR 防 ARP 攻击补丁 FOR 防 ARP 攻击补丁 FOR 防 ARP 攻击补丁 FOR 解决办法 (三 ) 局域网 ARP 攻击免疫器 这个在 2020， xp 1,xp 2,2020 下面都正常使用，不会对系统或游戏有任何影响。 98 的确没有测试过。 98 下面，这个“局域网 ARP 攻击免疫器” c:\windows\system里面才有效 ,另外一个 还是解压到 system32\drivers 里面就可以了。 我可以很负责的告诉你们 ! 用了以后网络执法官是不可以用了 ! 可是用了带 arp 病毒的外挂还是会掉的 !! 本人再次详细申明一下：这个东东可以在 2020， XP， 2020下面正常使用，不会对系统 .游戏有任何影响。 对与 98，需要使用 DOS 命令来实现这几个文件的免修改属性。 可以屏蔽网络执法官 .网络终结者之类的软件对网吧进行毁灭性打击。 至于由于病毒造成的危害，就无能为力了。 没有一个东西是万能滴。 他的原理 就是不让 WinPcap 安装成功，以上的程序只是随便找个 sys 和 dll 文件代替 WinPcap 的安装文件 ,并把这几个文件只读 ,至于 win98 下如何用 ,原理也一样 ,自己先安装WinPcap然后再其卸载程序当中看到 WinPcap在 system里面写了什么文件 ,再便找个 sys 和 dll 文件代替其中关键的三个、 、 ，在 win98 当中可能是两个。 至于这种方法安全吗。 我认为一般，首先 arp 病毒不能防止，并且能容易把它破掉 ARP 攻击 针对 ARP 的攻击主要有两种， 一种是 DOS,一种是 Spoof。 ARP 欺骗往往应用于一个内部网络，我们可以用它来扩大一个已经存在的网络安全漏洞。 如果你可以入侵一个子网内的机器，其它的机器安全也将受到 ARP 欺骗的威胁。 同样，利用 APR 的 DOS 甚至能使整个子网瘫痪。 对 ARP 攻击的防护 防止 ARP 攻击是比较困难的 ,修改协议也是不大可能。 但是有一些工作是可以提高本地网络的安全性。 首先，你要知道，如果一个错误的记录被插入 ARP 或者 IP route 表，可以用两种方式来删除。 a. 使用 arp – d host_entry b. 自动过期，由系统删除 局域终结者 ,网络执法官 ,网络剪刀手 1。 将这里面 3 个 dll 文件复制到 windows\system32 里面，将 这个文件复制到 windows\system32\drivers 里面。 2。 将这 4 个文件在安全属性里改成只读。 也就是不允许任何人修改。 ARP 欺骗的原理和简单解决方案 2020/11/11 11:13 . 最近不少朋友及客户的服务器遇到 arp 欺骗攻击 ,造成站点被挂木马 .由于是采用 ARP技术欺骗 ,所以主机并没入侵 ,在服务器里查看网页源码也 是没任何挂马代码 ,但是网站在访问时候却全部被挂马 ! 开始我也不懂这就是网络传说中的 ARP 欺骗 ,后来查了下资料才知道这就是 ARP 欺骗 .ARP欺骗我们要先从 ARP工作原理讲起 . 我们先熟悉下 ARP,大学计算机网络基础课学过 ,ARP就是地址解析协议 .OSI 参考模型里将整个网络通信的功能划分为七个层次 .由低到高分别是 :物理层、链路层、网络层、传输层、会议层、表示层、应用层 .第四层到第七层主要负责互操作性，第一层到三层则用于创造两个网络设备间的物理连接 . 而 ARP欺骗就是一种用于 会话劫持攻击中的常见手法 .地址解析协议 (ARP)利用第 2 层物理 MAC 地址来映射第 3层逻辑 IP 地址，如果设备知道了 IP 地址，但不知道被请求主机的 MAC 地址 ,它就会发送 ARP 请求 .ARP 请求通常以广播形式发送，以便所有主机都能收到 . 在电信一般接终端的交换机都是 2 层交换机 ,交换原理是通过 ip 寻找对应的 mac网卡地址 ,由于 TCP/IP 协议决定了只会通过 mac 寻址到对应的交换机的物理端口 ,所以才会遭到 arp 欺骗攻击 . 现在我们做下比方 ,更能形象点解释 ARP欺骗过程及原理： 假设有肉鸡 A，被 ARP 欺骗的主机 B。 肉鸡 A 不断告诉主机 B 它是网关 ,结果主机 B 也认为它是网关 ,于是把连接数据发送给它 .肉鸡 A 再做一个连接的角色，把主机 B 的信息包加上木马发到真正的网关 ,结果用户得到的信息都是带了木马的网页 ,而主机 B 本身没木马 . 目前 IDC机房可以将类似思科 2950及华为 3026之类以上的交换机并启动 ARP 广播屏蔽功能的话 ,应该可以阻止ARP 欺骗 . 另外 ,我们根据解析协议 (ARP)的工作原理 ,将网关 IP 和MAC 地址绑定成静态不可修改 ,这样就不会出现 arp 欺骗了 ,因为地址解析协议 (ARP)是利用 第 2层物理 MAC地址来映射第 3 层逻辑 IP 地址 ,也就是 mac 寻址来实现的 .当然在我们每一个主机上也要绑定网关的 mac 和 ip，命令很简单 ,例如 : arp s 00aa0062c609 现在总结下关预防 ARP 欺骗 : 新建一个批处理文件，内容如下： @echo OFF arp s 默认网关 IP 地址 网关的 MAC 地址 将这个批处理放到启动里。 可以零时解决问题。 另外也有软件可以解决 : 开启 Anti ARP Sniffer 3,输入网关 IP地址 ,点击〔枚取 MAC〕 如你网关填写正确将会显示出网关的 MAC 地址 . 点击 [自动保护 ] 即可保护当前网卡与网关的通信不会被第三方监听 . 追踪 ARP 攻击者： 当局域网内有人试图与本机进行 ARP 欺骗 ,其数据会被Anti ARP Sniffer 记录 .请在欺骗数据详细记录表中选择需要追踪的行 ,然后点击〔追捕欺骗机〕 ,追捕过程中需要几分钟时间，如果该 ARP 地址是真实的 ,也快就能追捕到攻击者 . (追捕 ARP 攻击者时需要停止自动保护 ) ARP病毒入侵原理与解决方案 2020年 06月 22日 星期五 下午 12:38 arp 病毒入侵网络，导致很多家庭、网吧、企事业单位上网时，出现时断时续的情况，严重影响了我们的工作、生活和学习。 为此 ，查阅了一些相关资料，把 arp病毒入侵原理与解决方案告诉给大家。 希望对大家防御此病毒起到一些帮助。 【故障现象】 当局域网内某台主机运行 ARP 欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。 其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。 amp。 clpz7Zd4m laPi dL 39。 ] 切换到病毒主机上网后 ，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。 N$ ! WCGVM : q:?9 T[ 由于 ARP 欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。 当 ARP 欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。 【在局域网内查找病毒主机】 在上面我们已经知道了使用 ARP 欺骗木马的主机的MAC 地址，那么我们就可以使用 NBTSCAN（可以到百度搜索下载）工具来快速查找它。 l? 3+ 7r sltM6c|2 \ NBTSCAN 可以取到 PC 的真实 IP 地址和 MAC 地址，如果有”传奇木马”在做怪，可以找到装有木马的 PC 的 IP/和 MAC 地址。 命令：“ nbtscan r ”（搜索整个 网段 , 即 ）； 或 “ nbtscan ” 搜 索 网 段 ， 即。 输出结果第一列是 IP 地址，最后一列是 MAC 地址。 ARP 病毒病毒发作时候的特征为，中毒的机器会伪造某台电脑的 MAC 地址，如该伪造地址为网关服务器的地址，那么对整个网络均会造成影响，用户表现为上网经常瞬断。 一、在任意客户机上进入命令提示符 (或 MSDOS 方式 )，用arp – a 命令查看： C:WINNTsystem32arp a Interface: on Interface 0x1000003 Inter Address Physical Address Type 0050da8a622c dynamic 00112f43818b dynamic 0050da8a622c dynamic 00055dffa887 dynamic 0050bafa59fe dynamic 可以看到有两个机器的 MAC 地址相同，那么实际检查结果为 0050da8a622c 为 的 MAC 地址， 的实际 MAC 地址为 0002ba0b0432，我们可以判定 实际上为有病毒的机器，它伪造了 的 MAC 地址。 ARP 病毒入侵原理和解决方案 220200125 23:03【在局域网内查找病毒主机】 在上面我们已经知道了使用 ARP 欺骗木马的主机的MAC 地址，那么我们就可以使用 NBTSCAN（下载地址： NBTSCAN 可以取到 PC 的真实 IP 地址和 MAC 地址，如果有”传奇木马”在做怪，可以找到装有木马的 PC 的 IP/和 MAC 地址。 命令：“ nbtscan r ”（搜索整个, 即 ）； 或 “ nbtscan ”搜索 网段，即。 输出结果第一列是 IP 地址，最后一列是 MAC 地址。 NBTSCAN 的使用范例： 假设查找一台 MAC 地址为“ 000d870d585f”的病毒主机。 1）将压缩包中的 和 解压缩放到c:下。 2）在 Windows 开始 — 运行 — 打开，输入 cmd（ windows98输入“ mand”），在出现的 DOS 窗口中输入： C:btscan r （这里需要根据用户实际网段输入），回车。 Cocuments and SettingsALANC: btscan r Warning: r option not supported under Windows. Running without it. Doing NBT name scan for addresses from IP address NetBIOS Name Ser。