| 防止ARP攻击的方法 | |
|
|
欺骗手段越来越高.我试过很多办法.都马上又不行了.
arp -s ip 网关的方法试过.没有用.网上很多文章都说这样就行了.但马上就又不行了.
arp保护神是目前我用着的方法.卡巴认为他有病毒.改主页.不过管用.每次一断网,一点查找目标回机.马上就能上了.
antiarp sniffer没用的.用了照样断.
号称最牛的防火墙look n stop,没用的.用了照样断.配置了,不与网内除网关外其他机子通信.但是没有用.照样断.具有讽刺意味的是,断的时候,关了它就好了能上了.
arp保护神1.5有最新版.4.3.可是没有1.5有用.
arp保护神1.5虽然管用.可是点了查找主机后,查找的筐一直保留在屏幕中央前面.影响阅读其他的东西.而且非要每次这样点也很累.
http://www.5151sf.com/ arp保护神作者主页
一、功能说明:
使用Anti ARP Sniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包。
二、使用说明:
#1、ARP欺骗:
1、填入网关IP地址,点击[获取网关地址]将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。
注意:如出现ARP欺骗提示,这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包,如果您想追踪攻击来源请记住攻击者的MAC地址,利用MAC地址扫描器可以找出IP 对应的MAC地址,建议您使用<彩影>,可以在WWW.ColorSoft.COM.CN下载,扫描MAC地址请参照彩影用户手册。
#2、IP地址冲突
如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数据包,才会出现IP冲突的警告,利用Anti ARP Sniffer可以防止此类攻击。
1、首先您需要知道冲突的MAC地址,Windows会记录这些错误。查看具体方法如下:
右击[我的电脑]-->[管理]-->点击[事件查看器]-->点击[系统]-->查看来源为[TcpIP]--->双击事件可以看到显示地址发生冲突,并记录了该MAC地址,请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-),输入完成之后点击[防护地址冲突],为了使MAC地址生效请禁用本地网卡然后再启用网卡,在CMD命令行中输入Ipconfig /all,查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符,如果更改失败请与我联系。如果成功将不再会显示地址冲突。
注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。
Windows 2000/XP测试通过!
注意:本软件不支持多网卡,部分网卡可能更改MAC会无效,如您有任何疑问请与我们联系。谢谢您的使用!Email:ColorSoft@21CN.COM
近期校园网arp病毒的解释和解决方法
一下内容是我作为一个网管员对于近期arp病毒的理解,仅代表个人见解,不代表网络中心。
最近arp病毒猖狂,危害也特别大,一台电脑中毒可以导致整栋楼都上不了网(原因我下面会说到),其实不只是在我们这里有这样的情况,在各大校园网、小区网、网吧等等局域网都出现了不同程度的灾情。这些制造arp木马病毒的人是丧尽天良的,因为他们的目的是盗窃各种游戏帐号去卖钱,而不顾及网络大面积瘫痪的严重后果。
下面是我对arp的理解,我会说得比较通俗易懂一些,如果你需要专业的解释,可以在百度里搜索“arp”
arp木马病毒的欺骗原理(流程),以1栋的一台中毒电脑为例子:
1。中毒电脑在1栋的网络里不断告诉(欺骗)其他电脑:“我是网关,你们要上网要先通过我这里”。这时所有电脑都会被它欺骗了,信息都不通过正确的网关,而是先通过病毒电脑。这样它就可以窃取你的各种帐号密码。这时如果第二步不发生的话,你就完全上不了网(具体看第二步)
2。中毒电脑不断地告诉(欺骗)1栋的网关:“我是某电脑、所有发送给这台电脑的信息请发给我”。这一步可发生也可能不发生(看病毒制造者的良心)。“某电脑”是不断变化的,代表1栋里面的所有电脑。
这时的网络情况是这样的:
只发生第一步而没有第二步:
正常电脑->病毒电脑->断网
第一步和第二步都发生:
正常电脑->病毒电脑->网关->正常上网(速度奇慢)
arp病毒欺骗原理大概就是这样的,还有arp欺骗是有一定时间限制的,现在我们也可以解释校园网时好时断的现象了:
arp欺骗一次你就断网了,但时间一到或者正确的网关给你正确信息的时候,你又能上网了。这个过程每切换一次你就断网一次。
解决方法:
这类病毒是我见过的最无耻的病毒。针对不同的网络结构解决方法都有所不同,但目前为止我还没有看到互联网上有任何一个完美的解决方法,一个重要的原因就是这本身是互联网的一个致命的顽疾(arp协议相信网络内的所有主机),越大的网络越难处理。只要有一台电脑中毒,整个网络都瘫痪,这给杀毒处理工作带来很大的难度。
1。全校全面杀毒。这一定要做的,但是可行性很低,就算某断时间所有电脑都没毒,但是过不了两天,又会有人中毒,又会瘫痪。杀毒是一方面,更重要的是要所有人都提高防毒意识。如何提高防毒意识请参考相关文章。
2。升级IE,打IE补丁。据我了解现在这个arp欺骗不是病毒,而是木马。它不会通过系统漏洞自动传播。我可以很明确地告诉你大部分病毒是通过你的浏览器进到你系统的。所以马上升级你的IE,打补丁。
3。制作批处理抵制病毒。当你被欺骗后上不了网,可以运行下面的批处理改正你的网关地址,暂时可以上网。这是一个临时的办法。用户不了解的情况下,需要网络中心公布各栋网关的arp表。批处理格式如下(只是格式,不懂不可乱用):
arp -d
arp -s 218.192.56.1 00-22-aa-00-22-aa
4。各栋盯防,发现一个杀一个。每一栋须有几个人时刻关注网络状况,发现有arp欺骗的情况,可以通过arp -a命令查到中毒电脑的网卡物理地址,再从网卡物理地址查出主机IP地址,立刻通知网络中心处理。这种方法可以尝试,但是所花费的人力和时间过大,也是治标不治本。
上面所说的几个方法都只是治标不治本。最关键的应该是同学提高防毒意识,还有学院要加大投资,尽快建立起“校园网防毒系统”,让校园网的病毒问题有更好的解决方法。
因为我还没有中过这个病毒,所以有些认识还不是很全面,希望有中过这类病毒的同学能发一个病毒本体给我,让我也中中毒,进一步想办法解决。
欢迎讨论解决方法,不欢迎在这张帖抱怨任何问题
我的建议就是封闭木马经常攻击欺骗的端口
比如:振荡波:5554,445
冲击波: tcp/135、udp/69
SCO炸弹:Tcp:80、 1080、 3128、8080、10080
爱情后门:1092、20168
木马经常侵7777等端口 具体可上网查下那些端口
手工封闭端口方法见此:http://magicsloer.blog.hexun.com/3381190_d.html
我再上传一个防ARP欺骗的软件,不过我是从网上下载的,我的机没中ARP木马所以具体效果怎么样也不清楚。
我试过找KV测试,显示此软件没毒,你们不放心的可以自己用杀毒软件测试过再按装。
这个在2000,xp 1,xp 2,2003下面都正常使用,不会对系统或游戏有任何影响。98的确没有测试过。
98下面,这个“局域网ARP攻击免疫器”packet.dll pthreadVC.dll wpcap.dll要解压缩到c:/windows/system里面才有效,另外一个npf.sys还是解压到system32/drivers里面就可以了。
我可以很负责的告诉你们!
用了以后网络执法官是不可以用了!
可是用了带arp病毒的外挂还是会掉的!!
本人再次详细申明一下:这个东东可以在2000,XP,2003下面正常使用,不会对系统.游戏有任何影响。对与98,需要使用DOS命令来实现这几个文件的免修改属性。可以屏蔽网络执法官.网络终结者之类的软件对网吧进行毁灭性打击。至于由于病毒造成的危害,就无能为力了。没有一个东西是万能滴。。。
他的原理就是不让WinPcap安装成功,以上的程序只是随便找个sys 和dll文件代替WinPcap的安装文件,并把这几个文件只读,至于win98下如何用,原理也一样,自己先安装WinPcap然后再其卸载程序当中看到WinPcap在system里面写了什么文件,再便找个sys 和dll文件代替其中关键的三个wpcap.dll、packet.dll、npf.sys,在win98当中可能是两个。至于这种方法安全吗?我认为一般,首先arp病毒不能防止,并且能容易把它破掉
1、ARP攻击
针对ARP的攻击主要有两种,一种是DOS,一种是Spoof。
ARP欺骗往往应用于一个内部网络,我们可以用它来扩大一个已经存在的网络安全漏洞。
如果你可以入侵一个子网内的机器,其它的机器安全也将受到ARP欺骗的威胁。同样,利用APR的DOS甚至能使整个子网瘫痪。
2、对ARP攻击的防护
防止ARP攻击是比较困难的,修改协议也是不大可能。但是有一些工作是可以提高本地网络的安全性。
首先,你要知道,如果一个错误的记录被插入ARP或者IP route表,可以用两种方式来删除。
a. 使用arp –d host_entry
b. 自动过期,由系统删除
这样,可以采用以下的一些方法:
1). 减少过期时间
#ndd –set /dev/arp arp_cleanup_interval 60000
#ndd -set /dev/ip ip_ire_flush_interval 60000
60000=60000毫秒 默认是300000
加快过期时间,并不能避免攻击,但是使得攻击更加困难,带来的影响是在网络中会大量的出现ARP请求和回复,请不要在繁忙的网络上使用。
2). 建立静态ARP表
这是一种很有效的方法,而且对系统影响不大。缺点是破坏了动态ARP协议。可以建立如下的文件。
test.nsfocus.com 08:00:20:ba:a1:f2
user. nsfocus.com 08:00:20:ee:de:1f
使用arp –f filename加载进去,这样的ARP映射将不会过期和被新的ARP数据刷新,除非使用arp –d才能删除。但是一旦合法主机的网卡硬件地址改变,就必须手工刷新这个arp文件。这个方法,不适合于经常变动的网络环境。
3).禁止ARP
可以通过ifconfig interface –arp 完全禁止ARP,这样,网卡不会发送ARP和接受ARP包。但是使用前提是使用静态的ARP表,如果不在apr表中的计算机 ,将不能通信。这个方法不适用与大多数网络环境,因为这增加了网络管理的成本。但是对小规模的安全网络来说,还是有效和可行的。
局域终结者,网络执法官,网络剪刀手
点此下载:http://bbs.gdei.edu.cn/blog/attachment/Mon_0607/77891c0b3c66f30.rar
呵呵,补充点...
1、ARP攻击
针对ARP的攻击主要有两种,一种是DOS,一种是Spoof。
ARP欺骗往往应用于一个内部网络,我们可以用它来扩大一个已经存在的网络安全漏洞。
如果你可以入侵一个子网内的机器,其它的机器安全也将受到ARP欺骗的威胁。同样,利用APR的DOS甚至能使整个子网瘫痪。
2、对ARP攻击的防护
防止ARP攻击是比较困难的,修改协议也是不大可能。但是有一些工作是可以提高本地网络的安全性。
首先,你要知道,如果一个错误的记录被插入ARP或者IP route表,可以用两种方式来删除。
a. 使用arp –d host_entry
b. 自动过期,由系统删除
这样,可以采用以下的一些方法:
1). 减少过期时间(Win系统要用工具...:) )
#ndd –set /dev/arp arp_cleanup_interval 60000
#ndd -set /dev/ip ip_ire_flush_interval 60000
60000=60000毫秒 默认是300000
加快过期时间,并不能避免攻击,但是使得攻击更加困难,带来的影响是在网络中会大量的出现ARP请求和回复,请不要在繁忙的网络上使用。
2). 建立静态ARP表(xp的arp命令不行,用工具补全)
这是一种很有效的方法,而且对系统影响不大。缺点是破坏了动态ARP协议。可以建立如下的文件。
用户甲 08:00:20:ba:a1:f2
user11 08:00:20:ee:de:1f
使用arp –f filename加载进去,这样的ARP映射将不会过期和被新的ARP数据刷新,除非使用arp –d才能删除。但是一旦合法主机的网卡硬件地址改变,就必须手工刷新这个arp文件。这个方法,不适合于经常变动的网络环境。
3).禁止ARP( Win系统要用工具...:) )
可以通过ifconfig interface –arp 完全禁止ARP,这样,网卡不会发送ARP和接受ARP包。但是使用前提是使用静态的ARP表,如果不在apr表中的计算机 ,将不能通信。这个方法不适用与大多数网络环境,因为这增加了网络管理的成本。但是对小规模的安全网络来说,还是有效和可行的。
目前ARP欺骗的病毒或外挂主要是利用了WinPcap(一个可以抓包的东东)的sys和dll来实现的,我们可以用几个文件来替代他们,找个sys 和dll文件代替其中关键的三个wpcap.dll、packet.dll、npf.sys,在win98当中可能是两个,这样的话,就算你的电脑中了ARP欺骗的病毒或木马.....
本本没电了...迟点补充..:(
1148
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
