ARP欺骗全攻略.doc

ARP欺骗全攻略(修订稿) 近两年，让网管们最头疼的事情莫过于ARP欺骗。 ARP欺骗是一种网络病毒攻击行为。如熊猫烧香等重灾病毒发作时会产生ARP欺骗行为，即使局域网中有一台电脑中毒，也足以让整个网络“手忙脚乱”，不是这一台上不了网，就是那一台上不了网。这种病毒还会在网络中自动探索有漏洞的主机并自动传染，也可通过共享传染，或通过U盘传播。 一、判断ARP欺骗的行为 上网时断时续，当你“禁用”—“启用”网卡，或重启电脑，或更换有效的IP之后又能上网，但过一段时间又不能上网，这种情况很可能就是受到了ARP欺骗攻击。在遭到ARP欺骗时，你会发现网卡的工作状态，往往是只发数据而不能接收到数据。在遭到ARP欺骗时，很多朋友总误以为自己的电脑中了病毒。 二、查找ARP欺骗的根源 1．当你遇到上述情况，在DOS状态下用ARP -a命令（这个命令是用来查看本机的ARP缓存状态列表），正常情况下除了网关外不会有太多的记录： 看网关的MAC地址（在DOS状态下用ipconfig/all命令可显示本机的MAC地址，也就是网卡的物理地址）是否和正常的一样。如果这个MAC地址和平常的不一样，说明这台电脑被ARP欺骗了。那么，网关IP对应的这个错误的MAC地址就是中病毒主机的MAC地址。 若还有其它IP存在于ARP列表中，看它的IP和Mac 地址是否对应，如果不对应，则说明这个错误的MAC地址就是中病毒主机的MAC地址。 注：作为网管人员，应该对本单位网关的MAC地址及所有电脑的MAC地址都有登记。 2．在网关设备中查看ARP列表。 如果你的网关设备是可“管理”的交换机、路由器或防火墙等，最好登录到网关设备，查看ARP列表，看看有没有一个MAC地址对应多个IP地址。如果有，这个MAC地址就是中病毒主机的MAC地址。 知道了中毒主机的MAC地址，查找到这台电脑就不难了。 三、防治ARP欺骗的方法 由于网络协议自身的问题， ARP欺骗往往会伴随网络病毒或黑客而存在。预防和治理ARP欺骗问题，主要有三种途径： 1．硬件方法：目前市场流行的具有ARP欺骗过滤功能的设备很多，选择一款作为网关设备，正确配置之后即可预防ARP欺骗。 2．软件方法：安装ARP防火墙软件。这个程序安装后需要开机自启动，可以有效预防ARP欺骗。不过这种方法也需要Money。 3．手工方法：①IP与MAC双向绑定。意思就是说在网关设备中绑定所有主机的IP与MAC地址（前提是网关设备有IP与MAC绑定功能），同时在每台电脑中绑定网关的IP与MAC地址，假如网关IP地址为“192.168.0.1”，MAC地址为“00-16-23-e9-f2-35”，在DOS下运行“ARP -s 192.168.0.1 00-16-23-e9-f2-35”即可。也可把这一行命令编成一个批处理文件，加入到启动程序中；②杀毒处理。当你知道某一台电脑中网络病毒以后，对它进行杀毒处理，即可消除ARP欺骗行为。 四、分析ARP欺骗的原理 关于ARP欺骗的原理，我不想作技术上的解释。举两个例子： 例1：冒充被欺骗者的MAC地址。 一群人列队领赏，其中有张三……王五。 队长每次点到王五领赏时，张三替它答应了，它冒充了王五，张三领赏后不折不扣地把将赏品转交给了王五。在这个过程中，王五每次领什么东西张三都了如指掌。事实上，张三所顶替的远不止一个学生，这个数目随着时间的推移会逐渐增多，当增加到一定数量的时候，张三忙不过来了，他便开始把部分冒名领来的赏品扔到一边。这时，被冒名顶替的学生开始收不到赏品了（被“欺骗”的主机收不到来自网络的信息）。 例2：冒充网关的MAC地址。 一位老师在班里设举报箱。 有一天，一个捣蛋的学生趁老师不注意时偷配了老师的钥匙。捣蛋学生总是最先收到学生们写来的举报信，看完后他同样会不折不扣地放回到举报箱，开始时并不影响老师查阅。在这个过程中，捣蛋学生对所截获举报信的内容都尽收眼底。事实上，他所截获的举报信会随着时间的推移逐渐增多，当他看不过来时便开始把部分举报信扔到一边。这时，开始有学生的举报信提交不到老师那里（主机向网络中提交的信息到达不了指定位置）。 五、揭穿ARP欺骗的本质。 这种病毒产生ARP欺骗行为的最终目的是为了截获目标主机的在网络中收发的信息，从中窃取有用信息，比如用户名、密码等等。上述第2个例子也就是所谓的“网关挟持”技术。不管是网关欺骗还是工作站欺骗，其实都是网络刺探技术的延伸。