作者evansariel (Sarod)
看板NetSecurity
标题Re: [问题] 关於ARP网路攻击的疑问~希望大家解惑
时间Mon Jan 14 17:29:41 2008
※ 引述《loui921 (雨过 天晴)》之铭言:
: ※ [本文转录自 AntiVirus 看板]
: 作者: loui921 (雨过 天晴) 看板: AntiVirus
: 标题: [问题] 关於ARP网路攻击的疑问~希望大家解惑
: 时间: Sun Jan 13 02:23:18 2008
: 我不是中毒...预设的内容可以删掉吼?
: 我蒐寻打了一下ARP...查不到什麽资料...
: 所以PO文询问...如果PO错地方请说一下~"~
: 最近我们学校常常遭受ARP网路攻击
: 导致宿网非常不稳定
: 学校是直接把该中毒电脑的网路封锁
: 让他无法利用区域网路继续攻击其他电脑
: 但没多久又会有新的电脑中类似的病毒
: 所以想请问一下有没有比较好的预防方法
: 或者是杀毒 感觉好像一般的防毒软体没办法杀掉他
: 才会一直到现在都没有解决良策
: 因为PO到一半...顺便也问问推荐的防火墙
: 如果可以爬文找到~麻烦告知一下
: 因为我正在赶期末>"<
: 只有时间大概看一下文
: 没有很多时间去爬...
: 最後~在此先谢谢大家的回答^^
arp攻击的部份,问题在於网路的逻辑架构不完整,
宿网又不太会去使用一个IP绑一个mac address的政策。
因为你不是网管人员,所以这边我就不提扫描跟找出凶手的方法,
只提可以让你不断线的方法罗:
首先先知道arp攻击的大概方式,简单来说,当你要找GateWay的IP时,
会发送一个who has 10.0.0.1的arp封包,如果有中arp病毒的那台电脑这时就会发作,
跟你讲说它有10.0.0.1的位置,mac address是"它的mac address"。
这样你就找不到GateWay的mac address啦,然後就把封包都丢给那台伪装的电脑。
所以大部分都称它为arp伪装攻击。
再来说解决方法,打开cmd,
1.arp -a 查看你现在的arp列表
2.arp -d 清除所有arp列表
3.arp -s gatewate的mac address 将你gw的mac address手动绑定
上面的指令重开机之後就会失效,你可以写一个bat档一开机就执行。
--
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 118.169.3.55
1F:→ evansariel:arp -s 10.0.0.1 mac-address才对 少打了gw IP 01/14 17:32
2F:推 loui921:谢谢帮忙~~~我想这样已经可以解决很多人的问题了^^ 01/14 18:35
3F:推 loui921:所以我要打arp -s 157.55.85.xxx 类似这样? 01/14 18:46
4F:→ loui921:而那IP就是getewate的mac address?? 01/14 18:47
5F:→ evansariel:你先用ipconfig /all查你的GW IP跟address 01/14 21:36
6F:→ evansariel:arp -s ip macaddress ,ip跟address都是闸道器的 01/14 21:36
7F:→ evansariel:打的格式类似 arp -s 192.168.1.1 00:14:51:7c:d9:e0 01/14 21:38
8F:推 sapiakevin:但怎样才能确知Gateway的mac是正确的呢? 因为我反覆的 01/20 23:35
9F:→ sapiakevin:arp -d 和 ping gateway'IP 再去arp -a里面看,发现mac 01/20 23:35
10F:→ sapiakevin:位址会变动,所以不知道哪个才是真的gateway的mac,哪个 01/20 23:36
11F:→ sapiakevin:是中毒电脑的mac? 因为在学网,所以不知如何查起...囧 01/20 23:37
12F:推 sapiakevin:另外开机执行的bat,要怎麽写呢? 直接放在启动内吗? 01/20 23:40
13F:→ evansariel:我将简单的解决方式放在此页,因为这东西还会变种,如 01/21 01:04
14F:→ evansariel:如果有其他的问题再提问,因为这东西还蛮麻烦的 01/21 01:05
16F:→ evansariel:解毒的我丢另一篇,也可以确认一下自己是否中毒。 01/21 02:04
17F:推 sapiakevin:目前情况为部份网页无法开启,大大给的连结开不起来..@@ 01/21 14:41
18F:推 sapiakevin:我用AntiARP跑出来的gateway mac 都是同一组,而用arp-a 01/21 14:45
19F:→ sapiakevin:看到的GW mac却会变动,真奇妙...囧 01/21 14:45
20F:→ evansariel:我重新发一篇在下面了,希望能解决你的问题。 01/21 16:58
21F:→ evansariel:因为AntiARP会先去确认GW的正常通道,arp这个指令单纯 01/21 17:13
22F:→ evansariel:只是给予使用者查看arp列表而已,不是修复工具,差别在此 01/21 17:13
23F:→ evansariel:不过AntiARP算是使用第三方软体来达成arp -s的功能,所 01/21 17:15
24F:→ evansariel:以我不喜欢,万一因此又中了木马得不偿失,故只介绍-s 01/21 17:15
25F:推 sapiakevin:太感谢大大的热心协助了...~~~ 我再跑跑看罗~ 01/21 18:28
26F:推 loui921:谢谢大大的热心协助>"< 01/22 10:27
27F:→ evansariel:互相研究罗..反正我现在没事作XD 01/22 18:55
28F:推 mnmnqq:话说成大的宿网好像就是一个ip绑一个mac address? 02/23 02:24
29F:推 mnmnqq:这篇好专业@@推!! 02/23 02:28