arp病毒解决思路

最新推荐文章于 2024-07-11 13:49:50 发布

jorenboy

最新推荐文章于 2024-07-11 13:49:50 发布

阅读量536

点赞数

分类专栏：技术文章标签： internet 服务器 network 网络 interface 防火墙

技术专栏收录该内容

1 篇文章 0 订阅

订阅专栏

（转）ARP病毒的彻底解决思路2008-06-20 09:14首先开始之前假如几个数字; 假如当前网关为：192.168.1.1 真实的mac地址是：00-00-00-00-00-01 假如中毒的机子为：192.168.1.8 其真实mac地址为：00-00-00-00-00-08 网络还同时存在主机：192.168.1.2 其真实mac地址为：00-00-00-00-00-02192.168.1.3 其真实mac地址为：00-00-00-00-00-03 其中，中毒后，192.168.1.2和192.168.1.3的主机的arp缓存表中，网关的mac地址变成00-00-00-00-00-08，也就是被192.168.1.8 的主机欺骗了。以上只是为了方便说明情况，假如的几个数字。如何判断局域网中了arp，这里就不说了~~ 下面提供三种解决思路：一、【原创】利用网关欺骗中毒的机子,从而找到中毒的机子这个方法是自己想的，也试验成功了，不知道别人有没有用过这个方法。这个方法适用于大型的网络中，主机不好找的时候。言归正传，在中毒后，网关的mac地址被欺骗，这个时候用mac地址扫描器，扫描网络中各个主机的mac地址和ip地址时就会发现，192.168.1.1和192.168.1.1.8的主机的mac地址相同。那么我们可以利用，网关的arp缓存或者服务器的arp缓存表来欺骗中毒的机子，使这台机子脱离局域网，从而达到隔离中毒机子的目的。查看网关或者服务器的arp缓存表。（具体命令，怎么进入暂不说）在命令提示符状态下输入： ========================命令提示符状态===================arp -d 192.168.1.8 arp -s 192.168.1.8 00：50：50：50：50：50 arp -s 192.168.230.230 00：00：00：00：00：08 ========================命令提示符状态===================上面的什么意思呢？第一行：arp -d 192.168.1.8即删除当前arp缓存表中，192.168.1.8的主机的信息。第二行：arp -s 192.168.1.8 00：50：50：50：50：50 即绑定ip 192.168.1.8 和mac 00：50：50：50：50：50（这个mac是随便写的一个假的，当前网络中没有的mac地址）绑定后会怎么样？192.168.1.8的主机会弹出ip地址和网上有冲突，从而无法和网关交换数据，达到隔离目的。第三行：arp -s192.168.230.230 00：00：00：00：00：08 绑定mac00-00-00-00-00-08和ip192.168.230.230（这个ip也是随便写的，当前网络中没有的ip地址）绑定后会怎么样？192.168.1.8的主机会弹出ip地址和网上有冲突，从而无法和网关交换数据，达到隔离目的。其实上面的第二行和第三行只要一行就够了，全用上也可以第二行适合ip地址是固定的网络，第三行适合ip地址是随机的网络中。我想现在中了arp病毒的朋友，应该能理解上面的。没有中毒或者没有经历过的不好理解！然后怎么办呢？给192.168.1.8的主机杀毒，杀掉病毒后，再运行 ========================命令提示符状态===================arp -d 192.168.1.8 arp -d 192.168.230.230 ========================命令提示符状态=================== 删掉网关或者服务器中的有关主机的arp信息，即解决问题！二、完美策略【欧阳锋版主提供】解决中毒的机子是用记事本等做一个空白文件,然后重命名为npptools.dll,然后替换system32文件夹里的同名文件,然后双绑,完美抵御arp。(单绑也可以,但别忘了把dllcache里的同名文件也替换了,要不windows的文件保护会重新覆盖这个文件,FAT的文件系统属性可以改为只读) 但是个别防火墙会用到这个文件，如果要使用此方法，意味着放弃那款防火墙！具体哪款没试过，好像是za。如果不想删除，可以利用组策略中的散列原理设置任何用户禁止访问此文件，具体操作参考：[url=http://bbs.ylmf.com/read.php?tid=691888][color=#0000ff]http://bbs.ylmf.com/read.php?tid=691888[/color][/url] 如果用策略的话那就来个绝的,全局禁止npptools.dll,因为现在已发现自身生成这个dll文件的arp病毒,一般是释放到临时文件夹里.所以干脆全局用策略禁止.再完美就是用权限把Registry.pol这个文件的写入.修改.和删除的权限都拒绝. 三、不完美的解决策略【参考网友】利用假网关欺骗arp病毒 ARP病毒是靠读取本机TCP/IP里的网关的，来欺骗的。下面以网关为192.168.0.1为例，实际应用当中把他换成你自己的网关。现在我们运行-CMD-routeprint 会出现=========================================================================== ActiveRoutes: NetworkDestination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.129 10127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 192.168.0.0 255.255.255.0 192.168.0.129 192.168.0.129 10 192.168.0.129 255.255.255.255 127.0.0.1 127.0.0.1 10 192.168.0.255 255.255.255.255 192.168.0.129 192.168.0.129 10 224.0.0.0 240.0.0.0 192.168.0.129 192.168.0.129 10255.255.255.255 255.255.255.255 192.168.0.129 192.168.0.129 1 Default Gateway: 192.168.0.254===========================================================================Persistent Routes: None 这样一个路由表（这个是我的路由表。你们的可能IP不同），最后一个Metric是这条路由表的优先等级（权限） 1最大 10最小我们来看第一行 NetworkDestination Netmask Gateway Interface Metric 0.0.0.00.0.0.0 192.168.0.1 192.168.0.129 10 任何IP 任何IP 网关IP 本机IP 优先等级（10是最小）这行的意思是如果我要访问Internet的话从本机(192.168.0.129)通过网关(192.168.0.1)到任何Internet的服务器下面几行路由表无关紧要简单的说。如果你要访问Internet先经过本机的路由表再到路由器（网关）再到你要访问的Internet服务器现在我们知道路由表的作用了。。还有ARP病毒是读取本机TCP/IP里的网关的。以后的ARP变种会不会读路由表那我不知道。现在我开始。。方法：（反欺骗ARP病毒）比如你现在网关（本地连接属性tcp/ip里设置的那个，后面同是）是192.168.0.1 那我们现在要把网关IP换成192.168.0.1-192.168.0.254之间的任意一个。但不能和其他客户机冲突。最好换个不用的IP，（其实这个方法网关IP随便你添什么。那怕 123.123.123.123都没事，但为了能反欺骗ARP和避免被怀疑，我们最好能用同网段的IP。）我们现在换成192.168.0.200，上不了网了吧？（网关不对当然上不了。傻子都知道~！-_-!）好了第一步做好了。NEXT 现在我们CMD-route print看下路由表。第一行的网关IP变成了你刚才设置的IP了。。而且这个网关IP是上不了网的。。。中国人都知道。。接下来。我们仍旧在CMD下输入 routeadd -p 0.0.0.0 mask 0.0.0.0 XXX.XXX.XXX.XXX metric 1 (把xxx.xxx.xxx.xxx换成你真实的网关) 回车,我们加入一条静态的路由表优先权限是1 （最大的）在CMD下面输入routeprint 再查看一下路由表。最下面一行 PersistentRoutes: None 这个已经换成了Persistent Routes: Network Address Netmask Gateway Address Metric 0.0.0.00.0.0.0 xxx.xxx.xxx.xxx 1 一条静态路由已经添加了。。别人的教程里说这样已经可以了。。但实际使用当中还不行。。接下来。我们做个P处理，把下面的复制下来。保存为BAT。如果嫌开机有黑框，那去找个BAT转EXE的。我记得前段时间我发过一个。如果没有的回贴我发上来。 route add 0.0.0.0mask 0.0.0.0 xxx.xxx.xxx.xxx metric 1 (把xxx.xxx.xxx.xxx换成你真实的网关) 复制下来。保存为BAT。然后加在启动项里。每次开机都运行。你也可以加在注册表的RUN里面。现在我们再来看看路由表，在CMD下面输入route print===========================================================================Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.00.0.0.0 192.168.0.1 192.168.0.129 10 0.0.0.0 0.0.0.0 192.168.0.254 192.168.0.129 1 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 192.168.0.0 255.255.255.0 192.168.0.129 192.168.0.12910 192.168.0.129 255.255.255.255 127.0.0.1 127.0.0.110 192.168.0.255 255.255.255.255 192.168.0.129192.168.0.129 10224.0.0.0 240.0.0.0 192.168.0.129 192.168.0.129 10 255.255.255.255 255.255.255.255 192.168.0.129192.168.0.129 1 Default Gateway: 192.168.0.254===========================================================================Persistent Routes: Network Address Netmask Gateway Address Metric 0.0.0.00.0.0.0 192.168.0.254 1 第一行的网关是我们在本地连接属性 tcp/ip 里设置的那个假的优先等级是10（最小的）第二行的网关是我们通过手工加上去的真网关。优先等级是 1 （最大的）如果我们要访问Internet的话。它优先读取优先等级是1的那个真网关。。而ARP读取的是读取本机TCP/IP里的网关的。以后的ARP变种会不会读路由表那我不知道。所以让他在冲突也只不过冲突假网关。这样我们已经完成了。。不管你网关IP设成多少都没事。记住虽然你加了静态的但开机启动的那个P处理一定要。不然还是上不了网。至少我这里是这样的。。这样做了以后。帮不帮定IP-MAC都无所谓。我是没帮定。前段时间老掉线。这样做了后没掉过。。要掉也是中ARP病毒那个机器掉其他机器和网关没影响。作者：碧海潮生