如何查询是不是arp攻击
\u5982\u4f55\u67e5\u81ea\u5df1\u7684\u7535\u8111\u662f\u5426\u88abARP\u653b\u51fb\u4e0b\u8f7d\u4e2a360 \u91cc\u9762\u6709\u4e2aARP\u9632\u706b\u5899\u3002\u91cc\u9762\u80fd\u770b\u5230\u5c40\u57df\u7f51\u4e86\u54ea\u53f0\u7535\u8111\u653b\u51fb\u4f60
\u5c40\u57df\u7f51ARP\u653b\u51fb\u7684\u68c0\u6d4b\u65b9\u6cd5\uff1a\u6253\u5f00\u201c\u8fd0\u884c\u201d\u7a97\u53e3\uff0c\u8f93\u5165\u201cCMD\u201d\u8fdb\u5165MSDOS\u754c\u9762\u3002
\u5728\u6253\u5f00\u7684\u201cMSDOS\u201d\u754c\u9762\u4e2d\uff0c\u8f93\u5165\u201carp -a\u201d\u67e5\u770barp\u5217\u8868\uff0c\u5176\u4e2d\u5982\u679c\u5b58\u5728\u591a\u6761\u4e0e\u7f51\u5173IP\u76f8\u5bf9\u5e94\u7684MAC\u5730\u5740\u65f6\uff0c\u8868\u660e\u5c40\u57df\u7f51\u5b58\u5728ARP\u653b\u51fb\u3002
\u6b64\u5916\uff0c\u6211\u4eec\u8fd8\u53ef\u4ee5\u901a\u8fc7\u8bb8\u591a\u8f6f\u4ef6\u6765\u68c0\u6d4b\u5c40\u57df\u7f51ARP\u653b\u51fb\uff0c\u4f8b\u5982\u201c\u805a\u751f\u7f51\u7ba1\u201d\u8f6f\u4ef6\uff0c\u76f4\u63a5\u5728\u767e\u5ea6\u4e2d\u641c\u7d22\u6765\u83b7\u53d6\u4e0b\u8f7d\u5730\u5740\u3002
\u8fd0\u884c\u201c\u805a\u751f\u7f51\u7ba1\u201d\u8f6f\u4ef6\uff0c\u5728\u5176\u4e3b\u754c\u9762\u4e2d\u70b9\u51fb\u201c\u5b89\u5168\u9632\u5fa1\u201d-\u201c\u5b89\u5168\u68c0\u6d4b\u5de5\u5177\u201d\u9879\u8fdb\u5165\u3002
\u5728\u6253\u5f00\u7684\u201c\u5b89\u5168\u68c0\u6d4b\u5de5\u5177\u201d\u754c\u9762\u4e2d\uff0c\u70b9\u51fb\u201c\u5c40\u57df\u7f51\u653b\u51fb\u68c0\u6d4b\u5de5\u5177 \u5f00\u59cb\u68c0\u6d4b\u201d\u6309\u94ae\u3002
\u5e76\u5728\u5f39\u51fa\u7684\u7a97\u53e3\u4e2d\u70b9\u51fb\u201c\u5f00\u59cb\u68c0\u6d4b\u201d\u6309\u94ae\uff0c\u5e76\u5728\u5f39\u51fa\u7684\u7a97\u53e3\u4e2d\u70b9\u51fb\u201c\u662f\u201d\u6309\u94ae\uff0c\u5373\u53ef\u81ea\u52a8\u68c0\u6d4b\u5c40\u57df\u7f51\u4e2d\u7684\u653b\u51fb\u6e90\u5e76\u5217\u8868\u3002
\u5bf9\u4e8e\u5c40\u57df\u7f51ARP\u653b\u51fb\uff0c\u6709\u6548\u7684\u9632\u62a4\u63aa\u65bd\u662f\u5229\u7528ARP\u7ed1\u5b9a\uff0c\u5c06\u7f51\u5173IP\u548c\u5176Mac\u5730\u5740\u8fdb\u884c\u7ed1\u5b9a\u5373\u53ef\u3002\u8fd9\u53ef\u4ee5\u5229\u7528\u201c360\u6d41\u91cf\u9632\u706b\u5899\u201d\u6765\u5b9e\u73b0\u3002\u6216\u8005\u5229\u7528\u201c\u805a\u751f\u7f51\u7ba1\u201d\u8dcc\u201c\u5b89\u5168\u9632\u5fa1\u201d-\u300b\u201cIP\u548cMAC\u7ed1\u5b9a\u201d\u9879\u6765\u5b9e\u73b0\u3002
【解决思路】
1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。
2、设置静态的MAC-->IP对应表,不要让主机刷新你设定好的转换表。
3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
5、使用“proxy”代理IP的传输。
6、使用硬件屏蔽主机。设置好你的路由,确保IP地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
7、管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。
8、管理员定期轮询,检查主机上的ARP缓存。
9、使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。
【HiPER用户的解决方案】
建议用户采用双向绑定的方法解决并且防止ARP欺骗。
1、在PC上绑定路由器的IP和MAC地址:
1)首先,获得路由器的内网的MAC地址(例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa局域网端口MAC地址>)。
2)编写一个批处理文件rarp.bat内容如下:
@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa
将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。
将这个批处理软件拖到“windows--开始--程序--启动”中。
rp
显示和修改“地址解析协议 (ARP)”缓存中的项目。ARP 缓存中包含一个或多个表,它们用于存储 IP 地址及其经过解析的以太网或令牌环物理地址。计算机上安装的每一个以太网或令牌环网络适配器都有自己单独的表。如果在没有参数的情况下使用,则 arp 命令将显示帮助信息。
语法
arp[-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]]
参数
-a[ InetAddr] [ -N IfaceAddr]
显示所有接口的当前 ARP 缓存表。要显示特定 IP 地址的 ARP 缓存项,请使用带有 InetAddr 参数的 arp -a,此处的 InetAddr 代表 IP 地址。如果未指定 InetAddr,则使用第一个适用的接口。要显示特定接口的 ARP 缓存表,请将 -N IfaceAddr 参数与 -a 参数一起使用,此处的 IfaceAddr 代表指派给该接口的 IP 地址。-N 参数区分大小写。
-g[ InetAddr] [ -N IfaceAddr]
与 -a 相同。
-d InetAddr [IfaceAddr]
删除指定的 IP 地址项,此处的 InetAddr 代表 IP 地址。对于指定的接口,要删除表中的某项,请使用 IfaceAddr 参数,此处的 IfaceAddr 代表指派给该接口的 IP 地址。要删除所有项,请使用星号 (*) 通配符代替 InetAddr。
-s InetAddr EtherAddr [IfaceAddr]
向 ARP 缓存添加可将 IP 地址 InetAddr 解析成物理地址 EtherAddr 的静态项。要向指定接口的表添加静态 ARP 缓存项,请使用 IfaceAddr 参数,此处的 IfaceAddr 代表指派给该接口的 IP 地址。
/?
在命令提示符下显示帮助。
注释
? InetAddr 和 IfaceAddr 的 IP 地址用带圆点的十进制记数法表示。
? EtherAddr 的物理地址由六个字节组成,这些字节用十六进制记数法表示并且用连字符隔开(比如,00-AA-00-4F-2A-9C)。
按以下顺序删除病毒组件
1) 删除 ”病毒组件释放者”
%windows%\SYSTEM32\LOADHW.EXE
2) 删除 ”发ARP欺骗包的驱动程序” (兼 “病毒守护程序”)
%windows%\System32\drivers\npf.sys
a. 在设备管理器中, 单击”查看”-->”显示隐藏的设备”
b. 在设备树结构中,打开”非即插即用….”
c. 找到” NetGroup Packet Filter Driver” ,若没找到,请先刷新设备列表
d. 右键点击” NetGroup Packet Filter Driver” 菜单,并选择”卸载”.
e. 重启windows系统,
f. 删除%windows%\System32\drivers\npf.sys
3) 删除 ”命令驱动程序发ARP欺骗包的控制者”
%windows%\System32\msitinit.dll
2. 删除以下”病毒的假驱动程序”的注册表服务项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf
三、定位ARP攻击源头和防御方法
1.定位ARP攻击源头
主动定位方式:因为所有的ARP攻击源都会有其特征——网卡会处于混杂模式,可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的,从而判断这台机器有可能就是“元凶”。定位好机器后,再做病毒信息收集,提交给趋势科技做分析处理。
标注:网卡可以置于一种模式叫混杂模式(promiscuous),在这种模式下工作的网卡能够收到一切通过它的数据,而不管实际上数据的目的地址是不是它。这实际就是Sniffer工作的基本原理:让网卡接收一切它所能接收的数据。
被动定位方式:在局域网发生ARP攻击时,查看交换机的动态ARP表中的内容,确定攻击源的MAC地址;也可以在局域居于网中部署Sniffer工具,定位ARP攻击源的MAC。
也可以直接Ping网关IP,完成Ping后,用ARP –a查看网关IP对应的MAC地址,此MAC地址应该为欺骗的MAC。
使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址,如果有”ARP攻击”在做怪,可以找到装有ARP攻击的PC的IP、机器名和MAC地址。
命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段,即192.168.16.25-192.168.16.137。输出结果第一列是IP地址,最后一列是MAC地址。
NBTSCAN的使用范例:
假设查找一台MAC地址为“000d870d585f”的病毒主机。
1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。
2)在Windows开始—运行—打开,输入cmd(windows98输入“command”),在出现的DOS窗口中输入:C: btscan -r 192.168.16.1/24(这里需要根据用户实际网段输入),回车。
3)通过查询IP--MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。
通过上述方法,我们就能够快速的找到病毒源,确认其MAC——〉机器名和IP地址。
那要看你是想查是别人功击你,还是你电脑中ARP病毒去功击别人。你可以开始-运行-cmd,然后在出来的窗口中输入:arp -a 观察是否有很多记录(就是有很多的IP),如果是有的话,那就证明了你很有可能中了ARP病毒,并且在向外发动攻击。或者下个ARP防火墙,看看分析就知道了。
瑞星2010版本有防arp攻击功能 如果你被攻击了会有详细的记录和提示
绛旓細4銆丄RP闃茬伀澧欏紑鍚悗锛屽綋灞鍩熺綉鍐嶆鍙戠敓ARP鏀诲嚮鏃讹紝灏变細缁欏嚭鎻愮ず锛鍚屾椂鍦ㄢ滄嫤鎴棩蹇椻濋夐」鍗′腑锛屽彲浠ユ煡鐪婣RP鏀诲嚮璁板綍锛屽綋鐒朵篃鍖呮嫭浜х敓ARP鏀诲嚮鐨勬簮璁$畻鏈恒5銆佷笂缃戞悳绱笅杞解滃ぇ鍔胯嚦鍐呯綉瀹夊叏鍗+鈥濆苟涓嬭浇銆6銆佽繍琛岃杞欢锛屽湪鍏朵富鐣岄潰涓嬀閫夆滃彂鐜板眬鍩熺綉ARP鏀诲嚮鏃惰嚜鍔ㄩ殧绂烩濋」銆7銆佹帴鐫閫夋嫨鈥滅綉鍗$被鍨嬧濓紝鐐瑰嚮...
绛旓細4銆佹帓闄ょ幆璺奖鍝嶏紝鍐嶅垽鏂槸鍚︽槸鍙楀埌ARP鏀诲嚮 5銆佸鐞嗘柟寮忔瘮杈冮夯鐑︼紝涓涓竴涓氦鎹㈡満璇曪紝灏嗘墍鏈変氦鎹㈡満鐨勭綉绾夸粠鏍稿績浜ゆ崲鏈轰笂鎷旀帀锛岀劧鍚庝竴鍙颁竴鍙版彃涓婂幓锛岄偅涓鍙颁氦鎹㈡満鎻掍笂鍑虹幇闂锛屽氨鏄繖涓氦鎹㈡満鐨勯棶棰橈紝鐒跺悗灏嗚繖涓嚭鐜伴棶棰樼殑浜ゆ崲鏈轰笂鐨勭綉绾垮叏閮ㄦ嫈鎺夛紝涓涓竴涓煡锛岄偅涓綉绾挎彃涓婂悗鍑虹幇闂锛屽氨鏄偅涓綉绾垮...
绛旓細鍙互閫氳繃鏌ョ湅ARP鎶ユ枃鐨凜PCAR缁熻鎯呭喌纭璁惧鏄惁鍙楀埌鏀诲嚮銆俤isplay cpu-defend arp-request statistics all display cpu-defend arp-reply statistics all 閫氳繃涓婅堪鍛戒护鍙傜湅ARP鎶ユ枃鐨勭粺璁′俊鎭紝濡傛灉Drop鏁板煎緢澶氾紝骞朵笖鎸佺画澧為暱锛屽闀胯緝蹇紝鍩烘湰鍙互纭璁惧鍙楀埌ARP鏀诲嚮浜嗐傞氬父鎯呭喌涓嬶紝浠rp-request鎶ユ枃鐨勬敾鍑诲眳澶...
绛旓細ARP鏀诲嚮浠呬粎瀛樺湪浜庡眬鍩熺綉閲岀敤鍛戒护琛屾煡鐪婣RP鏀诲嚮涓鑸槸缃戠粶绠$悊鍛樻潵鍋氱殑锛氬涓涓悎鏍肩殑缃戠鏉ヨ,璧风爜缃戠粶鐨勬嫇鎵戜粬搴旇寰堟竻妤,杩樻湁灏辨槸浠栨墜澶村繀椤绘湁涓浠借〃:鍚勪釜閮ㄩ棬璁$畻鏈虹殑璁$畻鏈哄悕銆両P銆丮AC銆1.杩涘叆鍛戒护琛屾ā寮廇RP -A鏄剧ず鎵鏈堿RP杩炴帴锛屾敞鎰忔煡鐪嬬綉鍏崇殑MAC锛屽鏋滃拰鐪熷疄鐨凪AC鍦板潃涓嶅悓锛岄偅鑲畾鏄湁鐥呮瘨浜嗙户...
绛旓細1銆佸湪缃戝叧涓婃墽琛屽懡浠isplay cpu-defend statistics all锛屾煡鐪婣RP Request銆丄RP Reply鎴朅RP Miss鎶ユ枃鐨勨淒rop鈥濊鏁版槸鍚﹀闀銆傚鏋滆鏁颁负0锛岃澶囨病鏈変涪寮傾RP鎶ユ枃銆傚鏋滄湁璁℃暟锛岃〃绀鸿澶囨敹鍒扮殑ARP鎶ユ枃鐢变簬瓒呰繃浜咰PCAR鐨勯熺巼闄愬埗鑰岃涓㈠純銆傚鏋滄槸ARP Miss鎶ユ枃涓㈠純寰堝锛岃澶囧緢鍙兘鍙楀埌浜咥RP Miss鏀诲嚮銆傚鏋滄槸ARP...
绛旓細Address鈥濆搴斿埌鍚屼竴涓淧hysical Address鈥濓紝鍒欒physical address涓烘敾鍑绘簮銆2銆佸鏋滃彂鐜扮綉缁滄椂鏂椂缁悗锛宲ing鑷繁鐨勭綉鍏充笉閫氾紝鍦╳indows绯荤粺涓墦寮DOS绐楀彛锛岃緭鍏モ渁rp -d鈥濄傜劧鍚庣珛鍒籶ing鑷繁鐨勭綉鍏宠兘澶焢ing閫氾紝鍒欐湰缃戝唴纭畾瀛樺湪ARP鏀诲嚮銆3銆佹偍涔熷彲浠ラ氳繃涓嬭浇antiarp杞欢鏉鏌ョ湅鏀诲嚮鑰呯殑MAC銆備笅杞藉湴鍧锛
绛旓細1銆佺敤LanSee163灏嗙綉鍐呯殑鐢佃剳IP MAC 鎵弿鍑烘潵锛屽凡澶囨帓闄や腑鎷涙満鍣ㄣ傚湪鑳戒笂缃戞椂锛岃繘鍏S-DOS绐楀彛锛岃緭鍏ュ懡浠わ細arp 鈥揳 鏌ョ湅缃戝叧IP瀵瑰簲鐨勬纭甅AC鍦板潃锛屽皢鍏惰褰曚笅鏉ャ2銆佸鏋滄湁鐟炴槦鎴栧叾浠栭槻鐏锛屽彲浠ユ妸闈欐佺綉鍏冲垹闄わ紝鐪嬬湅鑳戒笉鑳芥嫤鎴埌銆傛嫤鍒癕AC鍦板潃灏卞彲浠ョ敤鍒氭墠鎵潰鍑烘潵鐨凪AC瀵规瘮浜嗭紝鎵惧埌涓嫑鏈哄櫒銆3銆佸鏋...
绛旓細涓銆侀鍏堣瘖鏂鏄惁涓篈RP鐥呮瘨鏀诲嚮 1銆佸綋鍙戠幇涓婄綉鏄庢樉鍙樻參锛屾垨鑰呯獊鐒舵帀绾挎椂锛屾垜浠彲浠ョ敤锛歛rp -a 鍛戒护鏉ユ鏌RP琛細鐐瑰嚮“寮濮”鎸夐挳-閫夋嫨“杩愯”-杈撳叆“cmd”鐐瑰嚮“纭畾”鎸夐挳锛屽湪绐楀彛涓緭鍏ワ細arp -a 鍛戒护銆濡備綍鎺掓煡鍐呯綉ARP鏂綉鏀诲嚮绁搁?灞鍩熺綉ARP鏀诲嚮妫娴...
绛旓細琚姩瀹氫綅鏂瑰紡锛氬湪灞鍩熺綉鍙戠敓ARP鏀诲嚮鏃讹紝鏌ョ湅浜ゆ崲鏈虹殑鍔ㄦ丄RP琛ㄤ腑鐨勫唴瀹癸紝纭畾鏀诲嚮婧愮殑MAC鍦板潃锛涗篃鍙互鍦ㄥ眬鍩熷眳浜庣綉涓儴缃睸niffer宸ュ叿锛屽畾浣岮RP鏀诲嚮婧愮殑MAC銆備篃鍙互鐩存帴Ping缃戝叧IP锛屽畬鎴怭ing鍚庯紝鐢ˋRP 鈥揳鏌ョ湅缃戝叧IP瀵瑰簲鐨凪AC鍦板潃锛屾MAC鍦板潃搴旇涓烘楠楃殑MAC銆備娇鐢∟BTSCAN鍙互鍙栧埌PC鐨勭湡瀹濱P鍦板潃銆佹満鍣ㄥ悕鍜...
绛旓細妤间富锛屾偍濂斤紝浣犱笂闈㈣鐨arp 鈥揳鍛戒护锛屽彲浠ュ垽瀹氭敼鍙樹簡鐨勭綉鍏矼AC鍦板潃鎴栧涓狪P鎸囧悜鐨勭墿鐞嗗湴鍧锛屽氨鏄梾姣掓満鐨凪AC鍦板潃銆傚摢涔堝搴旇繖涓狹AC鍦板潃鐨勪富鏈哄張鏄摢涓鍙板憿锛寃indows涓湁ipconfig/all鍛戒护鏌ョ湅姣忓彴鐨勪俊鎭紝浣嗗鏋滅數鑴戞暟鐩璇濓紝涓鍙板彴鏌ヤ笅鍘涓嶆槸鍔炴硶锛屽洜姝ゅ彲浠ヤ笅杞戒竴涓彨鈥淣BTSCAN鈥濈殑杞欢锛屽畠鍙互鍙栧埌...
