有效防止ARP攻擊
2022年11月28日
如何檢查和處理“ ARP 欺騙”木馬的方法
1.檢查本機(jī)的“ ARP 欺騙”木馬染毒進(jìn)程
同時(shí)按住鍵盤(pán)上的“ CTRL ”和“ ALT ”鍵再按“ DEL ”鍵���,選擇“任務(wù)管理器”,點(diǎn)選“進(jìn)程”標(biāo)簽�����。察看其中是否有一個(gè)名為“ MIR0.dat ”的進(jìn)程�����。如果有����,則說(shuō)明已經(jīng)中毒。右鍵點(diǎn)擊此進(jìn)程后選擇“結(jié)束進(jìn)程”��。參見(jiàn)右圖�����。
2.檢查網(wǎng)內(nèi)感染“ ARP 欺騙”木馬染毒的計(jì)算機(jī)
在“開(kāi)始” - “程序” - “附件”菜單下調(diào)出“命令提示符”�。輸入并執(zhí)行以下命令:
ipconfig
記錄網(wǎng)關(guān) IP 地址,即“ Default Gateway ”對(duì)應(yīng)的值��,例如“ 59.66.36.1”����。再輸入并執(zhí)行以下命令:
arp –a
在“ Internet Address ”下找到上步記錄的網(wǎng)關(guān) IP 地址����,記錄其對(duì)應(yīng)的物理地址�,即“ Physical Address ”值��,例如“ 00-01-e8-1f-35-54 ”����。在網(wǎng)絡(luò)正常時(shí)這就是網(wǎng)關(guān)的正確物理地址,在網(wǎng)絡(luò)受“ ARP 欺騙”木馬影響而不正常時(shí)�,它就是木馬所在計(jì)算機(jī)的網(wǎng)卡物理地址。
也可以?huà)呙璞咀泳W(wǎng)內(nèi)的全部 IP 地址���,然后再查 ARP 表�。如果有一個(gè) IP 對(duì)應(yīng)的物理地址與網(wǎng)關(guān)的相同�,那么這個(gè) IP 地址和物理地址就是中毒計(jì)算機(jī)的 IP 地址和網(wǎng)卡物理地址。
3.設(shè)置 ARP 表避免“ ARP 欺騙”木馬影響的方法
本方法可在一定程度上減輕中木馬的其它計(jì)算機(jī)對(duì)本機(jī)的影響��。用上邊介紹的方法確定正確的網(wǎng)關(guān) IP 地址和網(wǎng)關(guān)物理地址���,然后在 “命令提示符”窗口中輸入并執(zhí)行以下命令:
arp –s 網(wǎng)關(guān) IP 網(wǎng)關(guān)物理地址
4. 靜態(tài)ARP綁定網(wǎng)關(guān)
步驟一:
在能正常上網(wǎng)時(shí)���,進(jìn)入MS-DOS窗口,輸入命令:arp -a,查看網(wǎng)關(guān)的IP對(duì)應(yīng)的正確MAC地址���, 并將其記錄下來(lái)���。
注意:如果已經(jīng)不能上網(wǎng),則先運(yùn)行一次命令arp -d將arp緩存中的內(nèi)容刪空��,計(jì)算機(jī)可暫時(shí)恢復(fù)上網(wǎng)(攻擊如果不停止的話(huà))�����。一旦能上網(wǎng)就立即將網(wǎng)絡(luò)斷掉(禁用網(wǎng)卡或拔掉網(wǎng)線)��,再運(yùn)行arp -a���。
步驟二:
如果計(jì)算機(jī)已經(jīng)有網(wǎng)關(guān)的正確MAC地址����,在不能上網(wǎng)只需手工將網(wǎng)關(guān)IP和正確的MAC地址綁定�,即可確保計(jì)算機(jī)不再被欺騙攻擊。
要想手工綁定���,可在MS-DOS窗口下運(yùn)行以下命令:
arp -s 網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC
例如:假設(shè)計(jì)算機(jī)所處網(wǎng)段的網(wǎng)關(guān)為192.168.1.1�,本機(jī)地址為192.168.1.5,在計(jì)算機(jī)上運(yùn)行arp -a后輸出如下:
Cocuments and Settings>arp -a
Interface:192.168.1.5--- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 dynamic
其中��,00-01-02-03-04-05就是網(wǎng)關(guān)192.168.1.1對(duì)應(yīng)的MAC地址����,類(lèi)型是動(dòng)態(tài)(dynamic)的���,因此是可被改變的�����。
被攻擊后����,再用該命令查看�,就會(huì)發(fā)現(xiàn)該MAC已經(jīng)被替換成攻擊機(jī)器的MAC。如果希望能找出攻擊機(jī)器���,徹底根除攻擊�����,可以在此時(shí)將該MAC記錄下來(lái)����,為以后查找該攻擊的機(jī)器做準(zhǔn)備。
手工綁定的命令為:
arp -s 192.168.1.100-01-02-03-04-05
綁定完���,可再用arp -a查看arp緩存:
Cocuments and Settings>arp -a
Interface: 192.168.1.5--- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 static
這時(shí)���,類(lèi)型變?yōu)殪o態(tài)(static),就不會(huì)再受攻擊影響了����。
但是,需要說(shuō)明的是�����,手工綁定在計(jì)算機(jī)關(guān)機(jī)重啟后就會(huì)失效�,需要再次重新綁定,不過(guò)也可以寫(xiě)個(gè)批處理���,拖到啟動(dòng)中����。腳本如下:
@echo off
arp -s192.168.1.100-01-02-03-04-05
end
保存為*.bat的文件�����。放在開(kāi)機(jī)啟動(dòng)中。
要徹底根除攻擊����,只有找出網(wǎng)段內(nèi)被病毒感染的計(jì)算機(jī),把病毒殺掉��,才算是真正解決問(wèn)題����。
