ARP定义
ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的底层协议,负责将某个IP地址解析成对应的MAC地址。
遭受ARP攻击后现象
ARP欺骗木马的中毒现象表现为:使用局域网时会突然掉线,过一段时间后又会恢复正常。比如客户端状态频频变红,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp -d后,又可恢复上网。
ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。
ARP攻击原理
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
ARP攻击主要是存在于局域网网络中,局域网中若有一个人感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
解决的方法:
步骤一:在能上网时,点“开始”-“运行”,输入“cmd”命令。打开进入MS-DOS窗口,输入命令:arp –a ,查看网关IP对应的正确MAC地址,将其记录下来。
注:如果已经不能上网,则先运行一次命令arp –d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp –a。
步骤二. 如果已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令: arp –s 网关IP 网关MAC。(之间是一个空格)
这时,类型变为静态(static),就不会再受攻击影响了。但是,需要说明的是,手工绑定在计算机关机重开机后就会失效,需要再绑定。
所以,要彻底根除攻击,一是找出网段内被病毒感染的计算机,令其杀毒,方可解决。二是使用软件,防止arp攻击,如Anti ARP Sniffer。
三是我推荐的方法:
在桌面上建立一个txt文件,里面写:
@echo off
arp -d
arp -s 网关地址 网关MAC地址
完毕。注意:@echo和off之间有空格,下面两行的arp后面也有一个空格。-s 和-d是参数。是英文下的减号加上字母,之后仍然有一个空格。Ip地址后面也有一个空格
然后,点击文件,选择另存为,放在桌面就行了文件名写英文就可以,但是必须写全名,后缀名必须是bat。比如rarp.bat。保存类型为所有文件。编码是ANSI。放在桌面就行。
最后一步:复制这个批处理文件:rarp.bat。然后在“开始”-“程序”-“启动”上双击左键,出现文件夹“启动”把 rarp.bat粘贴到里面就行了。关闭。(特别强调:不能直接托进去,托进去是快捷方式)然后重启电脑,每次进入桌面的时候会有一个命令行(dos)窗口一闪而过。就行了。不会拖慢系统速度。
转自:http://www.cnblogs.com/hicome/archive/2008/02/29/1086179.html
