【故障原理】

要了解故障原理，我們先來(lái)了解一下ARP協(xié)議。

在局域網(wǎng)中，通過(guò)ARP協(xié)議來(lái)完成IP地址轉(zhuǎn)換為第二層物理地址（即MAC地址）的。ARP協(xié)議對(duì)網(wǎng)絡(luò)安全具有重要的意義。通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞。

ARP協(xié)議是“Address Resolution Protocol”（地址解析協(xié)議）的縮寫(xiě)。在局域網(wǎng)中，網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖?ldquo;幀”，幀里面是有目標(biāo)主機(jī)的MAC地址的。在以太網(wǎng)中，一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的MAC地址。但這個(gè)目標(biāo)MAC地址是如何獲得的呢？它就是通過(guò)地址解析協(xié)議獲得的。所謂“地址解析”就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過(guò)程。ARP協(xié)議的基本功能就是通過(guò)目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。

每臺(tái)安裝有TCP/IP協(xié)議的電腦里都有一個(gè)ARP緩存表，表里的IP地址與MAC地址是一一對(duì)應(yīng)的，如下所示。

主機(jī) IP地址 MAC地址

A 192.168.16.1 aa-aa-aa-aa-aa-aa

B 192.168.16.2 bb-bb-bb-bb-bb-bb

C 192.168.16.3 cc-cc-cc-cc-cc-cc

D 192.168.16.4 dd-dd-dd-dd-dd-dd

我們以主機(jī)A（192.168.16.1）向主機(jī)B（192.168.16.2）發(fā)送數(shù)據(jù)為例。當(dāng)發(fā)送數(shù)據(jù)時(shí)，主機(jī)A會(huì)在自己的ARP緩存表中尋找是否有目標(biāo)IP地址。如果找到了，也就知道了目標(biāo)MAC地址，直接把目標(biāo)MAC地址寫(xiě)入幀里面發(fā)送就可以了；如果在ARP緩存表中沒(méi)有找到相對(duì)應(yīng)的IP地址，主機(jī)A就會(huì)在網(wǎng)絡(luò)上發(fā)送一個(gè)廣播，目標(biāo)MAC地址是“FF.FF.FF.FF.FF.FF”，這表示向同一網(wǎng)段內(nèi)的所有主機(jī)發(fā)出這樣的詢問(wèn)：“192.168.16.2的MAC地址是什么？”網(wǎng)絡(luò)上其他主機(jī)并不響應(yīng)ARP詢問(wèn)，只有主機(jī)B接收到這個(gè)幀時(shí)，才向主機(jī)A做出這樣的回應(yīng)：“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。這樣，主機(jī)A就知道了主機(jī)B的MAC地址，它就可以向主機(jī)B發(fā)送信息了。同時(shí)它還更新了自己的ARP緩存表，下次再向主機(jī)B發(fā)送信息時(shí)，直接從ARP緩存表里查找就可以了。ARP緩存表采用了老化機(jī)制，在一段時(shí)間內(nèi)如果表中的某一行沒(méi)有使用，就會(huì)被刪除，這樣可以大大減少ARP緩存表的長(zhǎng)度，加快查詢速度。

從上面可以看出，ARP協(xié)議的基礎(chǔ)就是信任局域網(wǎng)內(nèi)所有的人，那么就很容易實(shí)現(xiàn)在以太網(wǎng)上的ARP欺騙。對(duì)目標(biāo)A進(jìn)行欺騙，A去Ping主機(jī)C卻發(fā)送到了DD-DD-DD-DD-DD-DD這個(gè)地址上。如果進(jìn)行欺騙的時(shí)候，把C的MAC地址騙為DD-DD-DD-DD-DD-DD，于是A發(fā)送到C上的數(shù)據(jù)包都變成發(fā)送給D的了。這不正好是D能夠接收到A發(fā)送的數(shù)據(jù)包了么，嗅探成功。

A對(duì)這個(gè)變化一點(diǎn)都沒(méi)有意識(shí)到，但是接下來(lái)的事情就讓A產(chǎn)生了懷疑。因?yàn)锳和C連接不上了。D對(duì)接收到A發(fā)送給C的數(shù)據(jù)包可沒(méi)有轉(zhuǎn)交給C。

做“man in the middle”，進(jìn)行ARP重定向。打開(kāi)D的IP轉(zhuǎn)發(fā)功能，A發(fā)送過(guò)來(lái)的數(shù)據(jù)包，轉(zhuǎn)發(fā)給C，好比一個(gè)路由器一樣。不過(guò)，假如D發(fā)送ICMP重定向的話就中斷了整個(gè)計(jì)劃。

D直接進(jìn)行整個(gè)包的修改轉(zhuǎn)發(fā)，捕獲到A發(fā)送給C的數(shù)據(jù)包，全部進(jìn)行修改后再轉(zhuǎn)發(fā)給C，而C接收到的數(shù)據(jù)包完全認(rèn)為是從A發(fā)送來(lái)的。不過(guò)，C發(fā)送的數(shù)據(jù)包又直接傳遞給A，倘若再次進(jìn)行對(duì)C的ARP欺騙。現(xiàn)在D就完全成為A與C的中間橋梁了，對(duì)于A和C之間的通訊就可以了如指掌了。#p#

【故障現(xiàn)象】

當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)運(yùn)行ARP欺騙的木馬程序時(shí)，會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和路由器，讓所有上網(wǎng)的流量必須經(jīng)過(guò)病毒主機(jī)。其他用戶原來(lái)直接通過(guò)路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過(guò)病毒主機(jī)上網(wǎng)，切換的時(shí)候用戶會(huì)斷一次線。

切換到病毒主機(jī)上網(wǎng)后，如果用戶已經(jīng)登陸了傳奇服務(wù)器，那么病毒主機(jī)就會(huì)經(jīng)常偽造斷線的假像，那么用戶就得重新登錄傳奇服務(wù)器，這樣病毒主機(jī)就可以盜號(hào)了。

由于ARP欺騙的木馬程序發(fā)作的時(shí)候會(huì)發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶會(huì)感覺(jué)上網(wǎng)速度越來(lái)越慢。當(dāng)ARP欺騙的木馬程序停止運(yùn)行時(shí)，用戶會(huì)恢復(fù)從路由器上網(wǎng)，切換過(guò)程中用戶會(huì)再斷一次線。

【HiPER用戶快速發(fā)現(xiàn)ARP欺騙木馬】

在路由器的“系統(tǒng)歷史記錄”中看到大量如下的信息（440以后的路由器軟件版本中才有此提示）：

MAC Chged 10.128.103.124

MAC Old 00:01:6c:36:d1:7f

MAC New 00:05:5d:60:c7:18

這個(gè)消息代表了用戶的MAC地址發(fā)生了變化，在ARP欺騙木馬開(kāi)始運(yùn)行的時(shí)候，局域網(wǎng)所有主機(jī)的MAC地址更新為病毒主機(jī)的MAC地址（即所有信息的MAC New地址都一致為病毒主機(jī)的MAC地址），同時(shí)在路由器的“用戶統(tǒng)計(jì)”中看到所有用戶的MAC地址信息都一樣。

如果是在路由器的“系統(tǒng)歷史記錄”中看到大量MAC Old地址都一致，則說(shuō)明局域網(wǎng)內(nèi)曾經(jīng)出現(xiàn)過(guò)ARP欺騙（ARP欺騙的木馬程序停止運(yùn)行時(shí)，主機(jī)在路由器上恢復(fù)其真實(shí)的MAC地址）。#p#

【在局域網(wǎng)內(nèi)查找病毒主機(jī)】

在上面我們已經(jīng)知道了使用ARP欺騙木馬的主機(jī)的MAC地址，那么我們就可以使用NBTSCAN（下載地址：http://www.utt.com.cn/upload/nbtscan.rar）工具來(lái)快速查找它。

NBTSCAN可以取到PC的真實(shí)IP地址和MAC地址，如果有”傳奇木馬”在做怪，可以找到裝有木馬的PC的IP/和MAC地址。

命令：“nbtscan -r 192.168.16.0/24”（搜索整個(gè)192.168.16.0/24網(wǎng)段, 即192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 網(wǎng)段，即192.168.16.25-192.168.16.137。輸出結(jié)果第一列是IP地址，最后一列是MAC地址。

NBTSCAN的使用范例：

假設(shè)查找一臺(tái)MAC地址為“000d870d585f”的病毒主機(jī)。

1）將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:下。

2）在Windows開(kāi)始—運(yùn)行—打開(kāi)，輸入cmd（windows98輸入“command”），在出現(xiàn)的DOS窗口中輸入：C: btscan -r 192.168.16.1/24（這里需要根據(jù)用戶實(shí)際網(wǎng)段輸入），回車。

3）通過(guò)查詢IP--MAC對(duì)應(yīng)表，查出“000d870d585f”的病毒主機(jī)的IP地址為“192.168.16.223”。

【解決思路】

1、不要把你的網(wǎng)絡(luò)安全信任關(guān)系建立在IP基礎(chǔ)上或MAC基礎(chǔ)上，（rarp同樣存在欺騙的問(wèn)題），理想的關(guān)系應(yīng)該建立在IP+MAC基礎(chǔ)上。

2、設(shè)置靜態(tài)的MAC-->IP對(duì)應(yīng)表，不要讓主機(jī)刷新你設(shè)定好的轉(zhuǎn)換表。

3、除非很有必要，否則停止使用ARP，將ARP做為永久條目保存在對(duì)應(yīng)表中。

4、使用ARP服務(wù)器。通過(guò)該服務(wù)器查找自己的ARP轉(zhuǎn)換表來(lái)響應(yīng)其他機(jī)器的ARP廣播。確保這臺(tái)ARP服務(wù)器不被黑。

5、使用"proxy"代理IP的傳輸。

6、使用硬件屏蔽主機(jī)。設(shè)置好你的路由，確保IP地址能到達(dá)合法的路徑。（靜態(tài)配置路由ARP條目），注意，使用交換集線器和網(wǎng)橋無(wú)法阻止ARP欺騙。

7、管理員定期用響應(yīng)的IP包中獲得一個(gè)rarp請(qǐng)求，然后檢查ARP響應(yīng)的真實(shí)性。

8、管理員定期輪詢，檢查主機(jī)上的ARP緩存。

9、使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò)。注意有使用SNMP的情況下，ARP的欺騙有可能導(dǎo)致陷阱包丟失。#p#

【HiPER用戶的解決方案】

建議用戶采用雙向綁定的方法解決并且防止ARP欺騙。

1、在PC上綁定路由器的IP和MAC地址：

1）首先，獲得路由器的內(nèi)網(wǎng)的MAC地址（例如HiPER網(wǎng)關(guān)地址192.168.16.254的MAC地址為0022aa0022aa）。

2）編寫(xiě)一個(gè)批處理文件rarp.bat內(nèi)容如下：

@echo off

arp -d

arp -s 192.168.16.254 00-22-aa-00-22-aa

將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為您自己的網(wǎng)關(guān)IP地址和MAC地址即可。

將這個(gè)批處理軟件拖到“windows--開(kāi)始--程序--啟動(dòng)”中。

3）如果是網(wǎng)吧，可以利用收費(fèi)軟件服務(wù)端程序（pubwin或者萬(wàn)象都可以）發(fā)送批處理文件rarp.bat到所有客戶機(jī)的啟動(dòng)目錄。Windows2000的默認(rèn)啟動(dòng)目錄為“C:\Documents and SettingsAll Users「開(kāi)始」菜單程序啟動(dòng)”。

2、在路由器上綁定用戶主機(jī)的IP和MAC地址（440以后的路由器軟件版本支持）：

在HiPER管理界面--高級(jí)配置--用戶管理中將局域網(wǎng)每臺(tái)主機(jī)均作綁定。

例

一、有人惡意破壞網(wǎng)絡(luò)。

這種事情，一般會(huì)出現(xiàn)在網(wǎng)吧，或是一些人為了找到更好的網(wǎng)吧上網(wǎng)座位，強(qiáng)行讓別人斷線。

又或是通過(guò)ARP欺騙偷取內(nèi)網(wǎng)帳號(hào)密碼。

二，病毒木馬

如：傳奇網(wǎng)吧殺手等，通過(guò)ARP欺騙網(wǎng)絡(luò)內(nèi)的機(jī)器，假冒網(wǎng)關(guān)。從而偷取對(duì)外連接傳奇服務(wù)器的密碼。

ARP欺騙的原理如下：

假設(shè)這樣一個(gè)網(wǎng)絡(luò)，一個(gè)交換機(jī)接了3臺(tái)機(jī)器

HostA HostB HostC 其中

A的地址為：IP：192.168.1.1 MAC: AA-AA-AA-AA-AA-AA －－－－－－－－－網(wǎng)關(guān)

B的地址為：IP：192.168.1.2 MAC: BB-BB-BB-BB-BB-BB －－－－－－－－ 黑客

C的地址為：IP：192.168.1.3 MAC: CC-CC-CC-CC-CC-CC －－－－－－－－－被欺騙者

正常情況下 C:\arp -a

Interface: 192.168.1.3 on Interface 0x1000003

Internet Address Physical Address Type

192.168.1.1 BB-BB-BB-BB-BB-BB dynamic

現(xiàn)在假設(shè)HostB開(kāi)始了罪惡的ARP欺騙：假冒A像c發(fā)送ARP欺騙包

B向C發(fā)送一個(gè)自己偽造的ARP欺騙包，而這個(gè)應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是192.168.1.1（網(wǎng)關(guān)的IP地址），MAC地址

是BB-BB-BB-BB-BB-BB (A的MAC地址本來(lái)應(yīng)該是AA-AA-AA-AA-AA-AA，這里被偽造了）。當(dāng)C接收到B偽造的ARP應(yīng)答，就會(huì)更新

本地的ARP緩存（C可不知道被偽造了）。而且C不知道其實(shí)是從B發(fā)送過(guò)來(lái)的，這樣C就受到了B的欺騙了，凡是發(fā)往A的數(shù)據(jù)就會(huì)發(fā)往B，

這時(shí)候那么是比較可怕的，你的上網(wǎng)數(shù)據(jù)都會(huì)先流向B,在通過(guò)B去上網(wǎng)，如果這時(shí)候B上裝了SNIFFER軟件，那么你的所有出去的密碼都將被截獲。

為了以后出現(xiàn)問(wèn)題的時(shí)候好查找，我建議大家平時(shí)建立一個(gè)MAC和IP的對(duì)應(yīng)表，把局域網(wǎng)內(nèi)所有網(wǎng)卡的MAC地址和IP、地理位置統(tǒng)統(tǒng)裝入數(shù)據(jù)庫(kù)

，以便當(dāng)以后發(fā)現(xiàn)ARP 欺騙時(shí)找出欺騙者的機(jī)器。#p#

二、防范措施和解決方法。

方法一

通過(guò)arp –s 來(lái)綁定網(wǎng)關(guān)的MAC 地址和IP 地址。

這種方法對(duì)于XP 和2003系統(tǒng)是有用的，使用arp –s 來(lái)綁定的話。那么在ARP表中顯示的是一條靜態(tài)的記錄。

這樣就不會(huì)被動(dòng)態(tài)的ARP 欺騙包給欺騙，而修改。

那么在2000的系統(tǒng)上也是可以使用arp -s來(lái)進(jìn)行綁定得，在SP4的2000系統(tǒng)上需要下載2000 Rollup v2更新補(bǔ)丁包，ARP的補(bǔ)丁已經(jīng)包含在里面 了，大小應(yīng)該在38MB那樣。

http://download.microsoft.com/download/7/e/9/7e969f31-e33d-45a2-9d1a-fecbcde29a0e/Windows2000-KB891861-v2-x86-CHS.EXE

并且裝好后，下面幾個(gè)文件不能小于下面的版本號(hào)。

Date Time Version Size File name

--------------------------------------------------------

19-Jun-2003 20:05 5.0.2195.6602 108,816 Msafd.dll

02-Jun-2004 22:44 5.0.2195.6938 318,832 Tcpip.sys

19-Jun-2003 20:05 5.0.2195.6601 17,680 Wshtcpip.dll

19-Jun-2003 20:05 5.0.2195.6687 120,240 Afd.sys

19-Jun-2003 20:05 5.0.2195.6655 16,240 Tdi.sys

相關(guān)文章，大家可以看微軟的KB .http://support.microsoft.com/kb/842168

例：arp -s 192.168.1.1 00-0B-AD-DD-22-35

方法二

有些木馬或是一些駭客總是使用本地網(wǎng)卡上的網(wǎng)關(guān)來(lái)做欺騙。網(wǎng)關(guān)是通往外網(wǎng)或是和不同網(wǎng)絡(luò)互聯(lián)的一個(gè)中間設(shè)備。

而通過(guò)添加路由表中的記錄，設(shè)置優(yōu)先級(jí)高于網(wǎng)關(guān)默認(rèn)路由，那么網(wǎng)關(guān)的路由在級(jí)別高的路由可用時(shí)將不會(huì)生效。

施行方法：1.先手動(dòng)修改客戶機(jī)的網(wǎng)關(guān)地址為任意ip地址，最好是同一網(wǎng)段中，沒(méi)使用的一個(gè)IP，以免被懷疑。

2.手動(dòng)添加或是通過(guò)批處理，或是腳本來(lái)添加永久對(duì)出口路由。

此中方法可以欺騙過(guò)大部份，菜鳥(niǎo)或是所謂的駭客和大部份ARP欺騙木馬。

缺點(diǎn)是： 如果以后網(wǎng)關(guān)以后網(wǎng)卡或是機(jī)器改變。那么以后還得重新修改已有得路由。

route delete 0.0.0.0 －－－－－刪除到默認(rèn)得路由

route add 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1 －－－ 添加路由

route add -p 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1 ------參數(shù)-p 就是添加永久的記錄。

route change －－修改路由

http://www.99191.com/dispbbs.asp?BoardID=33&ID=2631&replyID=6840&skin=1

方法 三

1. 如果你但前使用得交換機(jī)器有網(wǎng)卡和MAC地址綁定功能，那么將你所在得網(wǎng)得IP地址和MAC 地址進(jìn)行綁定。

但有時(shí)候，我們可能沒(méi)有這些設(shè)備那么要想做就很困難了。

另類方法思路－－如何全面解決讓ARP欺騙，ARP木馬無(wú)法在本機(jī)器安裝,運(yùn)行。

大部分監(jiān)控，arp 欺騙軟件，都會(huì)使用到一個(gè)winpcap驅(qū)動(dòng)。那么現(xiàn)在的思路就是讓其無(wú)法在本地計(jì)算機(jī)安裝。

這樣arp欺騙軟件就無(wú)法被使用了使用了，此方法可以用于任何程序的安裝。

需要的條件：

1.所在的系統(tǒng)盤(pán)為NTFS 分區(qū)格式。

2.知道所要安裝的文件所要在系統(tǒng)中生成的文件。

3.使用注冊(cè)表和文件安裝監(jiān)視軟件來(lái)監(jiān)視安裝所生成的文件。

方法四：

利用些別人做好的ARP 監(jiān)控工具。

。

實(shí)驗(yàn)：

作業(yè)：

1.使用arp -s 來(lái)添加一條arp靜態(tài)記錄，使用arp -a 查看添加的記錄。使用arp -d 來(lái)刪除剛添加的那條記錄

2.使用route print 來(lái)查看現(xiàn)有的路由表，使用route add -p 來(lái)添加一條永久記錄，最后使用route delete來(lái)刪除剛建的那條記錄。

3.使用組策略禁止本地系統(tǒng)中的記事本程序。

4.利用注冊(cè)表和文件安裝監(jiān)視軟件，來(lái)查找組策略中設(shè)置后，對(duì)注冊(cè)表中鍵值的修改。

并通過(guò)修改注冊(cè)表，禁止記事本軟件（notepad.exe）的執(zhí)行。#p#

如何檢查和處理“ ARP 欺騙”木馬的方法

1 ．檢查本機(jī)的“ ARP 欺騙”木馬染毒進(jìn)程

同時(shí)按住鍵盤(pán)上的“ CTRL ”和“ ALT ”鍵再按“ DEL ”鍵，選擇“任務(wù)管理器”，點(diǎn)選“進(jìn)程”標(biāo)簽。察看其中是否有一個(gè)名為“ MIR0.dat ”的進(jìn)程。如果有，則說(shuō)明已經(jīng)中毒。右鍵點(diǎn)擊此進(jìn)程后選擇“結(jié)束進(jìn)程”。參見(jiàn)右圖。

2 ．檢查網(wǎng)內(nèi)感染“ ARP 欺騙”木馬染毒的計(jì)算機(jī)

在“開(kāi)始” - “程序” - “附件”菜單下調(diào)出“命令提示符”。輸入并執(zhí)行以下命令：

ipconfig

記錄網(wǎng)關(guān) IP 地址，即“ Default Gateway ”對(duì)應(yīng)的值，例如“ 59.66.36.1 ”。再輸入并執(zhí)行以下命令：

arp –a

在“ Internet Address ”下找到上步記錄的網(wǎng)關(guān) IP 地址，記錄其對(duì)應(yīng)的物理地址，即“ Physical Address ”值，例如“ 00-01-e8-1f-35-54 ”。在網(wǎng)絡(luò)正常時(shí)這就是網(wǎng)關(guān)的正確物理地址，在網(wǎng)絡(luò)受“ ARP 欺騙”木馬影響而不正常時(shí)，它就是木馬所在計(jì)算機(jī)的網(wǎng)卡物理地址。

也可以掃描本子網(wǎng)內(nèi)的全部 IP 地址，然后再查 ARP 表。如果有一個(gè) IP 對(duì)應(yīng)的物理地址與網(wǎng)關(guān)的相同，那么這個(gè) IP 地址和物理地址就是中毒計(jì)算機(jī)的 IP 地址和網(wǎng)卡物理地址。

3 ．設(shè)置 ARP 表避免“ ARP 欺騙”木馬影響的方法

本方法可在一定程度上減輕中木馬的其它計(jì)算機(jī)對(duì)本機(jī)的影響。用上邊介紹的方法確定正確的網(wǎng)關(guān) IP 地址和網(wǎng)關(guān)物理地址，然后在 “命令提示符”窗口中輸入并執(zhí)行以下命令：

arp –s 網(wǎng)關(guān) IP 網(wǎng)關(guān)物理地址

4.態(tài)ARP綁定網(wǎng)關(guān)

步驟一：

在能正常上網(wǎng)時(shí)，進(jìn)入MS-DOS窗口，輸入命令：arp －a，查看網(wǎng)關(guān)的IP對(duì)應(yīng)的正確MAC地址， 并將其記錄下來(lái)。

注意：如果已經(jīng)不能上網(wǎng)，則先運(yùn)行一次命令arp －d將arp緩存中的內(nèi)容刪空，計(jì)算機(jī)可暫時(shí)恢復(fù)上網(wǎng)（攻擊如果不停止的話）。一旦能上網(wǎng)就立即將網(wǎng)絡(luò)斷掉（禁用網(wǎng)卡或拔掉網(wǎng)線），再運(yùn)行arp －a。

步驟二：

如果計(jì)算機(jī)已經(jīng)有網(wǎng)關(guān)的正確MAC地址，在不能上網(wǎng)只需手工將網(wǎng)關(guān)IP和正確的MAC地址綁定，即可確保計(jì)算機(jī)不再被欺騙攻擊。

要想手工綁定，可在MS-DOS窗口下運(yùn)行以下命令：

arp －s 網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC

例如：假設(shè)計(jì)算機(jī)所處網(wǎng)段的網(wǎng)關(guān)為192.168.1.1，本機(jī)地址為192.168.1.5，在計(jì)算機(jī)上運(yùn)行arp －a后輸出如下：

Cocuments and Settings>arp -a

Interface:192.168.1.5 --- 0x2

Internet Address Physical Address Type

192.168.1.1 00-01-02-03-04-05 dynamic

其中，00-01-02-03-04-05就是網(wǎng)關(guān)192.168.1.1對(duì)應(yīng)的MAC地址，類型是動(dòng)態(tài)（dynamic）的，因此是可被改變的。

被攻擊后，再用該命令查看，就會(huì)發(fā)現(xiàn)該MAC已經(jīng)被替換成攻擊機(jī)器的MAC。如果希望能找出攻擊機(jī)器，徹底根除攻擊，可以在此時(shí)將該MAC記錄下來(lái)，為以后查找該攻擊的機(jī)器做準(zhǔn)備。

手工綁定的命令為：

arp －s 192.168.1.1 00-01-02-03-04-05

綁定完，可再用arp －a查看arp緩存：

Cocuments and Settings>arp -a

Interface: 192.168.1.5 --- 0x2

Internet Address Physical Address Type

192.168.1.1 00-01-02-03-04-05 static

這時(shí)，類型變?yōu)殪o態(tài)（static），就不會(huì)再受攻擊影響了。

但是，需要說(shuō)明的是，手工綁定在計(jì)算機(jī)關(guān)機(jī)重啟后就會(huì)失效，需要再次重新綁定。所以，要徹底根除攻擊，只有找出網(wǎng)段內(nèi)被病毒感染的計(jì)算機(jī)，把病毒殺掉，才算是真正解決問(wèn)題。#p#

5 .作批處理文件

在客戶端做對(duì)網(wǎng)關(guān)的arp綁定，具體操作步驟如下：

步驟一：

查找本網(wǎng)段的網(wǎng)關(guān)地址，比如192．168．1．1，以下以此網(wǎng)關(guān)為例。在正常上網(wǎng)時(shí)，“開(kāi)始→運(yùn)行→cmd→確定”，輸入：arp －a，點(diǎn)回車，查看網(wǎng)關(guān)對(duì)應(yīng)的Physical Address。

比如：網(wǎng)關(guān)192.168.1.1 對(duì)應(yīng)00－01－02－03－04－05。

步驟二：

編寫(xiě)一個(gè)批處理文件rarp.bat，內(nèi)容如下：

@echo off

arp －d

arp -s 192.168.1.1 00－01－02－03－04－05

保存為：rarp.bat。

步驟三：

運(yùn)行批處理文件將這個(gè)批處理文件拖到“Windows→開(kāi)始→程序→啟動(dòng)”中，如果需要立即生效，請(qǐng)運(yùn)行此文件。

注意：以上配置需要在網(wǎng)絡(luò)正常時(shí)進(jìn)行

6.使用安全工具軟件

及時(shí)下載Anti ARP Sniffer軟件保護(hù)本地計(jì)算機(jī)正常運(yùn)行。具體使用方法可以在網(wǎng)上搜索。

如果已有病毒計(jì)算機(jī)的MAC地址，可使用NBTSCAN等軟件找出網(wǎng)段內(nèi)與該MAC地址對(duì)應(yīng)的IP，即感染病毒的計(jì)算機(jī)的IP地址，然后報(bào)告單位的網(wǎng)絡(luò)中心對(duì)其進(jìn)行查封。

或者利用單位提供的集中網(wǎng)絡(luò)防病毒系統(tǒng)來(lái)統(tǒng)一查殺木馬。另外還可以利用木馬殺客等安全工具進(jìn)行查殺。

7.應(yīng)急方案

網(wǎng)絡(luò)管理管理人員利用上面介紹的ARP木馬檢測(cè)方法在局域網(wǎng)的交換機(jī)上查出受感染該病毒的端口后，立即關(guān)閉中病毒的端口，通過(guò)端口查出相應(yīng)的用戶并通知其徹底查殺病毒。而后，做好單機(jī)防范，在其徹底查殺病毒后再開(kāi)放相應(yīng)的交換機(jī)端口，重新開(kāi)通上網(wǎng)。

附錄一

清華大學(xué)校園網(wǎng)絡(luò)安全響應(yīng)小組編的一個(gè)小程序

下載地址： ftp://166.111.8.243/tools/ArpFix.rar

清華大學(xué)校園網(wǎng)絡(luò)安全響應(yīng)小組編了一個(gè)小程序，它可以保護(hù)您的計(jì)算機(jī)在同一個(gè)局域網(wǎng)內(nèi)部有ARP欺騙木馬計(jì)算機(jī)的攻擊時(shí)，保持正常上網(wǎng)。具體使用方法：

1、 程序運(yùn)行后請(qǐng)先選擇網(wǎng)卡，選定網(wǎng)卡后點(diǎn)擊“選定”按鈕。

2、 選定網(wǎng)卡后程序會(huì)自動(dòng)獲取您機(jī)器的網(wǎng)關(guān)地址。

3、獲得網(wǎng)關(guān)地址后請(qǐng)點(diǎn)擊獲取MAC地址按鈕獲取正確的網(wǎng)關(guān)MAC地址。

4、 確認(rèn)網(wǎng)關(guān)的MAC地址后請(qǐng)點(diǎn)擊連接保護(hù)，程序開(kāi)始保護(hù)您的機(jī)器。

5、 點(diǎn)擊程序右上角的叉，程序自動(dòng)隱藏到系統(tǒng)托盤(pán)內(nèi)。

6、要完全退出程序請(qǐng)?jiān)谙到y(tǒng)托盤(pán)中該程序圖標(biāo)上點(diǎn)擊右鍵選擇EXIT。

注意：

1、這個(gè)程序只是一個(gè)ARP攻擊保護(hù)程序，即受ARP木馬攻擊時(shí)保持自己計(jì)算機(jī)的MAC地址不被惡意篡改，從而在遭受攻擊時(shí)網(wǎng)絡(luò)不會(huì)中斷。本程序并不能清除已經(jīng)感染的ARP木馬，要預(yù)防感染或殺除木馬請(qǐng)您安裝正版的殺毒軟件！

附錄二

Anti Arp Sniffer 的用法

下載地址：http://www.wipe.edu.cn/Files/wlzx/Antiarp.rar