ARP双向绑定简单举例解释附ARP批处理

ARP双向绑定简单举例解释  
 ARP欺骗的出现,才让大家对ARP这个词有了认识  
但什么是ARP呢?  
ARP土一点的说法就叫地址转换协议,就是把IP转成MAC的过程,实际上机子在通讯都是通过MAC在通讯的  

MAC:网卡物理地址  


假设有案例如下,某个公司,有三台电脑  
(分别称为  
A机192。168。1。2 MAC 00-01-01-01-01-02  
B机192。168。1。3 MAC 00-01-01-01-01-03  
C机192。168。1。4 MAC 00-01-01-01-01-04)  
一台代理服务器(网关):  
(以下简称代服,IP假设如192.168.1.1 MAC假设如下00-01-01-01-01-01)  

于某天发生频繁无法上网的问题,开始做出如下检测,安装网络执法官(内网IP,MAC监控防护,千万不要用来做坏事,会有报应的)发现有两条记录  
00-01-01-01-01-01 192。168。1。1  
00-01-01-01-01-03 192。168。1。1  

看到以上两条记录,大家能联想到什么吗?如果能理解这两条记录并知道其原由,那么你已具备检测ARP攻击的发源机子了!  
这两条记录意思是,第一条记录为真正的代服的IP和MAC的记录,而第二条呢?为什么B机的MAC却套在了路由的网关IP上来了呢,这就是ARP欺骗产生的典型的现象,有这样一个或多个的相同现象就毫无疑问地说,你中了ARP了!  

ARP的出现大家需要的不仅是认识还要知道防范的方法,在下知识浅薄,仅仅只会用一种方法来防ARP------ARP双向绑定:  

双向,这个词需要大家去小小理解一下,双向,两个方向或两个对方?  
代服也就是网关为其中一方,客户机和各种服务器为另外一方,这样两方的说法大家能理解吗?  
就比如(代服)住在一楼,(客户机)住在三楼,代服在去找客户机只要记得他在三楼就懂得怎么走了,而客户机要找代服只要知道他在一楼也是同样能找到  
这样的地址记法就等同于MAC地址绑定  

差不多就是那意思,那如何实现呢?  

以上ARP小解,以下开始进行ARP防范:  
1、在代理服务器上做一个批处理,或用一些专用的ARP扫描绑定工具  
@echo off  
arp -d  
arp -s 192.168.1.2 00-01-01-01-01-02  
arp -s 192.168.1.3 00-01-01-01-01-03  
arp -s 192.168.1.4 00-01-01-01-01-04  
exit  
另存为BAT文件,在代服上运行即可  

2、在客户机的启动里做一个批处理BAT文件,内容如下:  
@echo off  
arp -d  
arp -s 192.168.1.1 00-01-01-01-01-01  
exit  
有使用万象网管的朋友,可以在服务端做这个批文件,进万象服务端设置“会员上机执行以下程序”指向这个绑定网关的批处理,这样客户机便会开机就绑定网关了!  
这样ARP双向绑定完成了!  
用路由的朋友做法也差不多,在路由绑定所有客户机的IP和MAC,客户机绑定路由的IP和MAC即可~~ 

 

arp 
 @echo off 
arp -d 
arp -s 网关IP 网关MAC 
exit

 

@echo OFF
if %~n0==arp exit
if %~n0==Arp exit
if %~n0==ARP exit
echo 正在获取本机信息.....
:IP
FOR /f "skip=13 tokens=15 usebackq " %%i in (`ipconfig /all`) do Set IP=%%i && GOTO MAC
:MAC
echo IP:%IP%
FOR /f "skip=13 tokens=12 usebackq " %%i in (`ipconfig /all`) do Set MAC=%%i && GOTO GateIP
:GateIP
echo MAC:%MAC%
arp -s %IP% %MAC%
echo 绑定网关
arp -s 192.168.0.254 00-14-78-CE-C7-54 (192.168.0.254为内网网关,00-14-78-CE-C7-54为网关对应MAC)
echo 操作完成!!!
exit