查看完整版本: 解决和防范ARP欺骗最详细的视频教程

解决和防范ARP欺骗最详细的视频教程

[size=5][color=red]视频下载地址:------------[/color][/size][url=http://www.bizboke.com/Uploadfiles/soft/99191-03-arp.rar][size=5][color=#ff0000]精彩解决和防范arp欺骗视频教程[/color][/size][/url]
天下网管联盟 [url=http://www.99191.com/][color=#0240a3]http://www.99191.com[/color][/url]
作者:追风  
原文地址:http://bbs.99191.com/dispbbs.asp?boardID=18&ID=3402&page=1
当局域网种存再ARP欺骗包的话，总的来说有主要又这么两种可能。
　[size=4][color=blue]一.出现的方式[/color][/size]　
[color=royalblue]<一>、有人恶意破坏网络。[/color]
　
  　这种事情，一般会出现在网吧，或是一些人为了找到更好的网吧上网座位，强行让别人断线。
     又或是通过ARP欺骗偷取内网帐号密码。

[color=royalblue][/color][color=royalblue]<二>、病毒木马[/color]
   
    如：传奇网吧杀手等，通过ARP欺骗网络内的机器，假冒网关。从而偷取对外连接传奇服务器的密码。
　　
    ARP欺骗的原理如下：
　　假设这样一个网络，一个交换机接了3台机器  
　　HostA HostB HostC 其中
　　A的地址为：IP：192.168.1.1 MAC: AA-AA-AA-AA-AA-AA  －－－－－－－－－网关
　　B的地址为：IP：192.168.1.2 MAC: BB-BB-BB-BB-BB-BB  －－－－－－－－  黑客
　　C的地址为：IP：192.168.1.3 MAC: CC-CC-CC-CC-CC-CC  －－－－－－－－－被欺骗者
　　正常情况下 C:\arp -a
　　Interface: 192.168.1.3 on Interface 0x1000003
　　Internet Address Physical Address Type
　　192.168.1.1 BB-BB-BB-BB-BB-BB  dynamic
　　现在假设HostB开始了罪恶的ARP欺骗：假冒A像c发送ARP欺骗包
　　
    B向C发送一个自己伪造的ARP欺骗包，而这个应答中的数据为发送方IP地址是192.168.1.1（网关的IP地址），MAC地址
是BB-BB-BB-BB-BB-BB (A的MAC地址本来应该是AA-AA-AA-AA-AA-AA，这里被伪造了）。当C接收到B伪造的ARP应答，就会更新
本地的ARP缓存（C可不知道被伪造了）。而且C不知道其实是从B发送过来的，这样C就受到了B的欺骗了，凡是发往A的数据就会发往B，
这时候那么是比较可怕的，你的上网数据都会先流向B,在通过B去上网，如果这时候B上装了SNIFFER软件，那么你的所有出去的密码都将被截获。
为了以后出现问题的时候好查找，我建议大家平时建立一个MAC和IP的对应表，把局域网内所有网卡的MAC地址和IP、地理位置统统装入数据库
，以便当以后发现ARP 欺骗时找出欺骗者的机器。
　

　[size=4][color=blue]二、防范措施和解决方法。[/color][/size]
　　
    [color=royalblue]  方法一：通过arp –s 来绑定网关的MAC 地址和IP 地址。[/color]
      这种方法对于XP 和2003系统是有用的，使用arp –s 来绑定的话。那么在ARP表中显示的是一条静态的记录。
      这样就不会被动态的ARP 欺骗包给欺骗，而修改。
     
      那么在2000的系统上也是可以使用arp -s来进行绑定得，在SP4的2000系统上需要下载2000 Rollup v2更新补丁包，ARP的补丁已经包含在里面 了，大小应该在38MB那样。
[url=http://download.microsoft.com/download/7/e/9/7e969f31-e33d-45a2-9d1a-fecbcde29a0e/Windows2000-KB891861-v2-x86-CHS.EXE][color=red]http://download.microsoft.com/download/7/e/9/7e969f31-e33d-45a2-9d1a-fecbcde29a0e/Windows2000-KB891861-v2-x86-CHS.EXE[/color][/url]      
     并且装好后，下面几个文件不能小于下面的版本号。
Date         Time   Version         Size    File name
--------------------------------------------------------
19-Jun-2003  20:05  5.0.2195.6602  108,816  Msafd.dll
02-Jun-2004  22:44  5.0.2195.6938  318,832  Tcpip.sys
19-Jun-2003  20:05  5.0.2195.6601   17,680  Wshtcpip.dll
19-Jun-2003  20:05  5.0.2195.6687  120,240  Afd.sys
19-Jun-2003  20:05  5.0.2195.6655   16,240  Tdi.sys
[color=red]相关文章，大家可以看微软的KB .http://support.microsoft.com/kb/842168[/color]
      例：arp -s  192.168.1.1 00-0B-AD-DD-22-35
　　
   [color=royalblue] 方法二： 手动修改路由，实现伪装[/color]
      
      有些木马或是一些骇客总是使用本地网卡上的网关来做欺骗。
      网关是通往外网或是和不同网络互联的一个中间设备。
      而通过添加路由表中的记录，设置优先级高于网关默认路由，那么网关的路由在级别高的路由可用时将不会生效。
      
      施行方法： 1.先手动修改客户机的网关地址为任意ip地址，最好是同一网段中，没使用的一个IP，以免被怀疑。
               
                      2.手动添加或是通过批处理，或是脚本来添加永久对出口路由。
      
     此中方法可以欺骗过大部份，菜鸟或是所谓的骇客和大部份ARP欺骗木马。
     缺点是： 如果以后网关以后网卡或是机器改变。那么以后还得重新修改已有得路由。
      route delete 0.0.0.0  －－－－－删除到默认得路由
      route add 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1  －－－ 添加路由
      route add -p 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1 ------参数-p 就是添加永久的记录。
      route change   －－修改路由
　　
     [url=http://www.99191.com/dispbbs.asp?BoardID=33&ID=2631&replyID=6840&skin=1][color=#000000]http://www.99191.com/dispbbs.asp?BoardID=33&ID=2631&replyID=6840&skin=1[/color][/url]
      
  [size=4][color=blue] 方法三 、使其不能运行[/color][/size]
   如果你但前使用得交换机器有网卡和MAC地址绑定功能，那么将你所在得网得IP地址和MAC 地址进行绑定。
     但有时候，我们可能没有这些设备那么要想做就很困难了。

    另类方法思路－－如何全面解决让ARP欺骗，ARP木马无法在本机器安装,运行。

    大部分监控，arp 欺骗软件，都会使用到一个winpcap驱动。那么现在的思路就是让其无法在本地计算机安装。
    这样arp欺骗软件就无法被使用了使用了，此方法可以用于任何程序的安装。
    需要的条件：
    1.所在的系统盘为NTFS 分区格式。
    2.知道所要安装的文件所要在系统中生成的文件。
    3.使用注册表和文件安装监视软件来监视安装所生成的文件。
[size=4][color=blue]   
  方法四、利用些别人做好的ARP 监控工具。[/color][/size]   
   
   实验：
   
   作业：
          1.使用arp -s 来添加一条arp静态记录，使用arp -a 查看添加的记录。使用arp -d 来删除刚添加的那条记录
          2.使用route print 来查看现有的路由表，使用route add -p 来添加一条永久记录，最后使用route delete来删除刚建的那条记录。
          3.使用组策略禁止本地系统中的记事本程序。
          4.利用注册表和文件安装监视软件，来查找组策略中设置后，对注册表中键值的修改。
     
          并通过修改注册表，禁止记事本软件（notepad.exe）的执行。

[[i] 本帖最后由 kingstar 于 2006-11-11 09:30 编辑 [/i]]

我要多多学习，楼主辛苦了

前面一句话就有N个错别字 :funk:

[quote]当局域网种存再ARP欺骗包的话，总的来说有主要又这么两种可能。
[/quote]

没有路由的使用权,有些难的

学习了!

不错，很详细，谢谢了

不错啊！好文！写的很详细！

不错学习了。顶

收藏

好文，值得收藏

修改路由对新手来说,并不现实.

学习一下．．我们学校ＬＡＮ老有人中这个，加上不知道．．害的大家老断线！不过现在我可以防范啦．．辛苦了ＬＺ！:)

好文，值得收藏

不错,值得学习.谢谢

支持菊花。。。。。LZ也是强忍阿。。

如果计算机不太多，建议网上有防ARP欺骗的软件，对网关就没有影响了，他中他的毒，对别人没有影响

ARP防火墙，，嘿嘿，，，俺是菜鸟用这个

好文章   学习了

正好需要这个啊。。。收藏。。。厉害，。。。支持

收益非浅啊
多谢楼主传授知识

谢楼主

有用.:lol:

这里只是说明了arp欺骗，但是对于arp风暴该怎么处理呢！！！

非常有用，thanks

好东西。。收了。。慢慢学习

学生中

不知道可有什么好的思想讲出来听听,也就是具体怎么去做

LZ辛苦了！

关键就是绑定和清除

写的很好，学习中！

不错，很详细，谢谢了:lol:

好，学习了…………

谢谢楼主的共享

学习了，但是只是在小型网络里用用可以，大型网络用DHCP自动获取地址，怎么能随便改网关呢？

道高一尺,魔高一丈,不断学习

经过多次与arp的战斗。总结了个经验，绑定地址很重要。

其他都是假的，包括用VND之类的东西。尤其是VND害我不浅啊。

总之，arp是个很头疼的问题。。。

正碰上这个问题，用了第一着，真管用，谢谢楼主！！

OK，i like

不是说有视频可以下载的吗

写的很详细！收益非浅