`
icyheart
  • 浏览: 777325 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

简单两步狙击ARP病毒,让你轻松上网

阅读更多

这几天防火墙总是提示有arp缓冲攻击,开始觉得让它攻吧,反正防火墙呢,可是没一会儿功夫我的QQ掉线了,网网页也打不开了,不管怎么弄都不行,看来得想想办法了,大家都知道了arp发包就是将网关的网卡地址隐藏了起来,让你的电脑访问不到真正的网关,这样就上不了网了,要阻止它的这种行为两步搞定!进入到系统的CMD中

第一步:得到网关的mac地址

arp -a

这样以来就得到了网关的mac地址,然后再用ipconfig /all得到自己的ip和mac地址,好了,下来进行绑定

第二步:绑定网关的mac

arp -s 192.168.1.1  00-1d-0f-2a-7f-e2
arp -s 192.168.1.12  00-1f-d0-de-2c-2b

 执行完后,再用arp -a看看是不是有了两行内容,每行后面的type都变成了static,这样就不怕arp缓冲攻击之类的包了,放心上网吧,每次都要执行干脆写成一个批处理吧!

@echo off
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v arp.bat /t reg_sz >nul
arp -s 192.168.1.1  00-1d-0f-2a-7f-e2
arp -s 192.168.1.12  00-1f-d0-de-2c-2b

 好了,这样以来,只要这个批处理一执行就会加入启动项以后就不用管了,开机就会自动运行的。

 

分享到:
评论
22 楼 icyheart 2009-12-02  
以下这种方法也是可以查询出arp主机的:
进入到cmd后,输入arp -a如果这个时候发现有和网关mac一样的主机,那么这台主机就有可能是arp主机了,用nbtstat -a ip地址将对方主机名找出来,如些以来各位知道该怎么办了吧!哈哈
21 楼 icyheart 2009-12-02  
看看底下这个小故事关于arp的东西大家就全明白了:

搬家后,这里可以上网,是房东牵了一根宽带然后用交换机分到每个房间里.头天来还挺快。从第二天开始,速度就奇慢无比,十有八九是有人在下BT。就在网上找点工具查查谁在下。GOOGLE,BAIDU一搜,网络执法官,P2P终结者。OK,下了个P2P终结者。运行起来,一查,果然拦截到不少BT,电驴等的数据。然后一开用户列表,有一台机器下载速度达到130k,天哪,你们用了这么多,别人还用不用了。当时一发狠,就把他的网给掐了。随即世界太平了。网速恢复嗖嗖的了。

     过了两天,发现网速又是奇慢。打开P2P终结者,咦?能拦截到P2P的包,但是每个用户都是几k的速度,总的带宽占用也不多啊,是不是也有人用网络执法官之类的软件呢?后来在网上查资料,了解诸如网络执法官,P2P终结者之所以限制网速甚至断网,就是利用了ARP欺骗的原理。

    在局域网内通讯,IP层的下一层——链路层是通过MAC地址通讯的。比如我要访问192.168.0.3的机器,这时我可能不知道192.168.0.3的MAC地址,这时我就向局域网里广播一个ARP包,问谁是192.168.0.3啊?请把你的MAC地址发我。局域网内所有的机器都会收到这个广播包,正常情况下,只有192.168.0.3的机器会做出应答,说我的MAC是A23FFF0D,这时我的机器就知道了192.168.0.3对应的MAC地址,并可以和他通讯了,并且会在本机的ARP缓冲里面保存192.168.0.3对应的MAC地址,这样就不用每次都去发广播包询问了。某太机器的IP地址可能会变,所以这个列表会随时更新的。ARP欺骗的原理就是,当有ARP查询包时,尤其是要查询网关的ARP的时候,有其他机器在中间回答,说我是网关,这就麻烦了。比如网关的IP地址是192.168.0.1,我要上网了,肯定要先把数据发到网关,于是我就先发个广播包询问,谁是网关啊,把你的MAC地址发个我。其中有不是网关的机器就对这个ARP查询数据应答了,说我是网关,要想上网把数据发给我,这样我每次上网的数据都是先发给他,再由他发给真正的网关,这就达到了截获数据的目的,当然也可以干脆把数据包丢掉,得,这下干脆就上不了网了。而且ARP还有一种广播包,里面的信息是IP地址和对应的MAC地址。正常情况下,比如我的ip地址变更了,我就可以发送这样一个广播包告诉大家,我的IP地址和对应MAC地址是多少,以前的IP地址不用了。但是这样一种包也可以被ARP欺骗利用,他可以不停在局域网里广播数据包,包的内容是网关的IP地址和自己的MAC地址,意思是告诉大家,我是网关,以后大家要有出局域网的数据都要发给我。这下好了。局域网所有的用户都得听他的了。网络执法官和P2P终结者就是这么干的。

      难道就没有解决办法吗?

      回答是有的。本地的ARP列表可以进行静态绑定。即我的列表里192.168.0.1的MAC固定为某个值,不允许改变。这样的话,只要把正确MAC地址和网关IP绑定,就不怕自己的包再发给“中间的第三人”了。用ARP -A命令一看,网关地址果然不是原来的了,随即进行了静态绑定。120k/s,哈哈,网速又恢复了!这之后,只要一发现网速变慢,我就看看ARP列表网关的MAC有没有被改变,变了我就绑定成静态的,绑定完就网速就好了。直到有一天……      一天回家上网,发现网速奇慢,先用P2P终结者看了看,没有人大量占用带宽。再看看ARP列表,网关的MAC地址是静态绑定的,而且MAC值也是对的,咦,这是怎么回事?百思不得其解。后来在网上闲逛,发现ARP防火墙可能管用,就下了一个,装上一试,网速倒是没有完全恢复吧,但是也有50,60k了,看来还管点用。当时一看不早了,就去洗脸准备睡觉。在洗脸的时候我就琢磨,突然来了灵感:是不是ARP欺骗者把网关记录的我机器的MAC地址也改了——改成欺骗者的MAC地址了,这样我发出去的包是直接送到了网关,但网关接收到数据后,是首先发给欺骗者,再发给我的,这样接收数据的速度就会收到控制。回屋后看ARP防火墙的监测,发现一秒钟发出五个ARP攻击数据——即告诉局域网中的其他机器网关的MAC地址是FAC2CC03FC(即攻击者本机的MAC),并告诉网关网络中所有的机器的MAC也都是FAC2CC03FC,这样不仅往外发的数据会经过欺骗者,而且网关从外网接收到数据以后,也会先发给欺骗者,再由他转发给实际的接收者(至于说他是否真的转发,就全由着他了)。索性的是我的ARP防火墙可以发广播数据,即告诉局域网中的机器(包括网关)我的IP地址和真正对应的MAC地址。你不是一秒钟发5个ARP欺骗包吗?好,那我一秒钟发20个广播包,告诉大家(尤其是网关)我真正的MAC地址是多少。在ARP防火墙中设置完后,一看网速,180k/s,爽!

      后记:      这样的反ARP欺骗方式有个缺点就是自己发广播包的速度一定要比欺骗者快,原理我想我已经说得很清楚了。这样就带来一个问题,如果欺骗者想得逞,就会加快欺骗数据的发送速度,而被欺骗者如果想摆脱欺骗,就得以更快的速度发送“更正”数据,这样下来,两个人就开始比谁发送广播包的速度快了,结果局域网里到处充斥广播包,对网速也会有影响,如果是多个人同时比赛看谁发发得快,OH MY GOD!      如果局域网中同时有人用ARP欺骗和BT下载的话,那怎么办的?那你就得用更快的速度发ARP欺骗包,从而占领整个网络的控制高地。当然,还是上面说的问题,如果多个人同时竞争ARP包的发送速度,那……。就像美苏两个大国在搞军备竞赛,储备的核弹够把地球毁灭多少遍了,突然又冒出个国家来,声称他的核弹比美苏的还多,这岂不是加倍让人提心吊胆吗?            当然管理BT下载用ARP欺骗的方法并不是个解决方法,最好的办法还是人来管。本文只是从技术的角度讨论一下ARP欺骗和反ARP欺骗的原理和应对。
20 楼 jyald 2009-12-01  
发这个文章,
只代表你对ARP的正向欺骗有一点认识

你还不知道反向的欺骗

在目前中国大部分傻瓜路由器,根本没有双向绑定

只有在高端路由器上才有。。双向绑定

19 楼 Dollyn 2009-11-30  
icyheart 写道
zjhlht 写道
以前绑过,但是觉得太繁琐,就放弃了,呵呵,后来直接用ARP防火墙了,就是要是限速的话就太恶心了

我用的arp防火墙把不管三七二十一,把全有的包都给屏蔽了,网都上不去了,后来把防火墙关了才勉强可以上网

18 楼 icyheart 2009-11-30  
straw 写道
交换机上设置自己设定ip地址的端口都drop掉,所有的ip地址都通过DHCP,这样便能有效地防止arp,呵呵

嗯 去试试 谢谢啦
17 楼 straw 2009-11-30  
交换机上设置自己设定ip地址的端口都drop掉,所有的ip地址都通过DHCP,这样便能有效地防止arp,呵呵
16 楼 syre 2009-11-27  
在自己的机器上绑mac地址是不够的。关键是要在路由器上做。
15 楼 xjlnjut730 2009-11-27  
这样做会影响网速,而且占用一定的资源...不过现在的机器应该都扛得住~
14 楼 luorongda 2009-11-27  
icyheart 写道
darren 写道
其实大多数情况下并不是arp病毒,其实是聚生网管,p2p终结者之类的流氓在作怪。
我跟这些软件有过一些斗争,在linux下摸索出一些防范的办法。
首先,除非你可以控制路由器实现双向静态物理地址绑定,否则光在一端静态物理地址绑定是不够的
因为对方照样可以察觉到你的机器,然后向路由器发送伪造的arp数据包。
在linux下的解决办法就是静态物理绑定+arptables防火墙.

第一步,一样, 在linux下静态物理地址绑定很方便,找出正确的网关的物理地址,然后加入到/etc/ethers,然后执行arp -f
第二步,就是指定arptables防火墙规则,只跟信任的主机进行arp通讯,arptables的语法跟iptables比较相似,以下是我的腳本

arptables -P INPUT  ACCEPT
arptables -P OUTPUT DROP
arptables -F INPUT
arptables -F OUTPUT

allowed_macs="00:13:02:3a:15:5b 00:0b:b4:00:10:50 00:50:18:2d:8b:12 00:00:39:20:F7:A6"#信任的机器,如网关的物理地址
for mac in $allowed_macs;do
	arptables -A OUTPUT --dst-mac $mac -j ACCEPT	 
done


然后把这些写入/etc/rc.local,arp -f 也可以写到这里,OK!这样设置后基本上很难被那些软件发现你的机器了,也大体能够免于arp攻击.

现在大部分用户还是在用windows,希望你能找到在windows很好防御方法

没事拿个linux出来,你也太恶搞了.
13 楼 icyheart 2009-11-27  
zjhlht 写道
以前绑过,但是觉得太繁琐,就放弃了,呵呵,后来直接用ARP防火墙了,就是要是限速的话就太恶心了

我用的arp防火墙把不管三七二十一,把全有的包都给屏蔽了,网都上不去了,后来把防火墙关了才勉强可以上网
12 楼 zjhlht 2009-11-26  
以前绑过,但是觉得太繁琐,就放弃了,呵呵,后来直接用ARP防火墙了,就是要是限速的话就太恶心了
11 楼 icyheart 2009-11-26  
supercrsky 写道
绑定之后流量还是有限制.

嗯?单绑定怎么会对流量有限制呢?
10 楼 icyheart 2009-11-26  
mating 写道
以前试过绑定,后来在arp里面高级参数自己设定网关的Marc就ok了!

能具体说说是怎么弄的吗?
9 楼 mating 2009-11-26  
以前试过绑定,后来在arp里面高级参数自己设定网关的Marc就ok了!
8 楼 supercrsky 2009-11-25  
绑定之后流量还是有限制.
7 楼 wxq594808632 2009-11-25  
这个确实很烦人.我一般就是以毒攻毒.大家谁也别上...
6 楼 straw 2009-11-25  
最好的办法是在交换机上解决
5 楼 smildlzj 2009-11-24  
试过用java摸弄了类似ARP病毒的..

只是这样:机器A向网关发送ARP,冒充机器B.

这样子网外发送进来的东西,这样走网关->A->B

出去B->网关

...可惜当时实验失败,改不到传输的内容....截取HTTP内容,修改为我指定的内容.
4 楼 icyheart 2009-11-17  
darren 写道
其实大多数情况下并不是arp病毒,其实是聚生网管,p2p终结者之类的流氓在作怪。
我跟这些软件有过一些斗争,在linux下摸索出一些防范的办法。
首先,除非你可以控制路由器实现双向静态物理地址绑定,否则光在一端静态物理地址绑定是不够的
因为对方照样可以察觉到你的机器,然后向路由器发送伪造的arp数据包。
在linux下的解决办法就是静态物理绑定+arptables防火墙.

第一步,一样, 在linux下静态物理地址绑定很方便,找出正确的网关的物理地址,然后加入到/etc/ethers,然后执行arp -f
第二步,就是指定arptables防火墙规则,只跟信任的主机进行arp通讯,arptables的语法跟iptables比较相似,以下是我的腳本

arptables -P INPUT  ACCEPT
arptables -P OUTPUT DROP
arptables -F INPUT
arptables -F OUTPUT

allowed_macs="00:13:02:3a:15:5b 00:0b:b4:00:10:50 00:50:18:2d:8b:12 00:00:39:20:F7:A6"#信任的机器,如网关的物理地址
for mac in $allowed_macs;do
	arptables -A OUTPUT --dst-mac $mac -j ACCEPT	 
done


然后把这些写入/etc/rc.local,arp -f 也可以写到这里,OK!这样设置后基本上很难被那些软件发现你的机器了,也大体能够免于arp攻击.

现在大部分用户还是在用windows,希望你能找到在windows很好防御方法
3 楼 darren 2009-11-16  
hehe

相关推荐

    轻松涨停狙击通达信指标公式源码.doc

    轻松涨停狙击通达信指标公式源码.doc

    短线狙击手之轻松买点指标通达信指标公式源码.doc

    "短线狙击手之轻松买点指标通达信指标公式源码.doc" 从标题和描述中,可以看到,这是一个关于技术分析的指标公式,名称为“短线狙击手之轻松买点指标”。以下是从该文件中提取的知识点: 1. 移动平均线(MA):在...

    美国特种部队狙击手模拟训练软件

    美国特种部队狙击手模拟训练软件是一项专门为狙击手设计的训练系统,其主要目的是为了让狙击手在模拟环境中学习和掌握成为一名优秀狙击手所必须的理论知识和实战技能。模拟训练软件通过计算机软件模拟出真实的狙击...

    狙击者交易系统

    狙击者交易系统

    unity3d 狙击游戏开发模板

    Unity3D是一款强大的跨平台游戏开发引擎,广泛用于制作2D和3D游戏,包括狙击类游戏。"Unity3d 狙击游戏开发模板"是专为构建狙击游戏而设计的一套资源和脚本集合,它可以帮助开发者快速搭建游戏的基础框架,减少从零...

    QQ狙击手 QQ必备工具

    QQ必备工具。支持QQ目前几乎所有版本,支持所有windows操作系统。 ...-Flash Online功能,使你的QQ在你的好友列表上不停的闪烁。 -QQ号码探测功能,轻松获取局域网中所有机器上登录的QQ号列表。

    强悍蓝牙狙击手V1.0

    蓝牙狙击手 拦截蓝牙,强悍蓝牙狙击手V1.0 ,最强悍的工具

    HTML JavaScript 狙击野鸭游戏

    此外,JavaScript可以控制动画效果,比如让被击中的野鸭有动态的反馈,增强游戏的沉浸感。 在"狙击野鸭"这个游戏中,开发者可能会使用DOM(Document Object Model)操作来改变HTML元素的属性,比如更新得分显示或者...

    cs狙击准星源码

    cs狙击准星源码

    狙击风速计算

    根据给定文件中的标题“狙击风速计算”以及描述中提到的狙击风速计算公式,我们可以深入探讨狙击风速计算的相关知识点。 ### 狙击风速计算的重要性 狙击手在执行任务时需要考虑多种环境因素,其中之一就是风速。...

    Toon Sniper Reloaded 卡通狙击手重装上阵Unity卡通狙击游戏项目源码C#

    动作游戏将让你投入其中! 旨在消磨时间。儿童和青少年都会喜欢这款动作游戏,您将在时间耗尽之前拯救遭受恐怖袭击的城市! 你的任务很聪明,你需要狙击恐怖玩具、拥抱和亲吻!你不必再和波比捉迷藏了,必须不惜一切...

    机房狙击手 简单实用的软件

    这是一款简单实用的软件,集合了学生机控件,常见病毒查杀,常用信息查询,基本计算机操作等多项功能于一身,占用空间少,操作方便,运行迅速,是以前的同类软件所不及的。 我们的团队:BSOI2011-3 以下是我团队...

    Python pygame狙击目标小游戏

    Python Pygame是一个强大的游戏开发库,它允许程序员使用Python语言创建各种类型的游戏,从简单的2D游戏到复杂的图形模拟。"Python pygame狙击目标小游戏"是一个使用Pygame库开发的项目,旨在教授用户如何构建一个...

    小杰生死狙击(桌面版).

    他是一款小杰工作室制作的软件,可以在桌面上玩生死狙击。 4399生死狙击是一款无插件真3D第一人称射击(FPS)网页游戏,爽快打击和...多种对战模式,实现客户端FPS游戏常规玩法无端化,让你随时随地与好兄弟战个痛快!

    通达信股市狙击手指标.doc

    通达信股市狙击手指标.doc

    Unity3D狙击手游戏源码

    【Unity3D狙击手游戏源码】是一款基于Unity3D引擎开发的3D射击游戏,主要涉及了游戏设计、3D建模、物理模拟、动画控制、用户交互等多个方面的技术。下面将对这些知识点进行详细阐述。 首先,Unity3D是全球广泛应用...

    狙击蝙蝠_scratch_游戏_scratch游戏_

    Scratch通过积木式编程,让初学者可以轻松理解编程概念,如事件处理、条件语句、循环结构、变量和函数等。游戏的核心目标是控制角色,瞄准并击落飞行的蝙蝠,从而获得分数。这样的设计不仅锻炼了玩家的反应速度,也...

    通达信黑马狙击指标通达信指标公式源码.doc

    通达信黑马狙击指标通达信指标公式源码.doc

    C#反恐狙击游戏源码

    《C#反恐狙击游戏源码》是一款基于C#编程语言开发的射击类游戏,它展示了C#在游戏开发中的应用。游戏虽然在界面设计上较为简洁,但核心功能完整,具备一定的挑战性和娱乐性。游戏的核心机制是利用面向对象编程...

    CT决策--狙击手实时预警雷达

    "CT决策--狙击手实时预警雷达"是一款专为股票投资设计的高级分析工具,它集成了CT抓涨停的策略,帮助投资者在股票市场中寻找潜在的涨停机会。这个系统可以视为一个狙击手在股市中的“雷达”,通过实时监控和数据分析...

Global site tag (gtag.js) - Google Analytics