用360轻松解决ARP攻击、网关欺骗(2013最新方法)

ARP_网关欺骗的解决方法(其实就是手动绑定网关)

步骤一：安装360安装卫士。

步骤二：配置360安装卫士

1.双击进入安全卫士软件界面，如图：

2.

3.单击其中的“流量防火墙”

4.进入360流量防火墙图：

点击:局域网防护

6.如图设置:关闭"自动绑定网关”，其他开启

8.输入“cmd”

9.输入“arp/a”

10.

11.回到360

12.详情/设置

13.

14.添加网关。填入网关ip（192.168.1.1），网关MAC不要自动

获取，

15.

17.搞定了。。。现在你再也不用怕ARP攻击了

arp欺骗原理及处理办法

故障原因 主要原因是在局域网中有人使用了ARP欺骗的木马程序,比如一些盗号的软件。 传奇外挂携带的ARP木马攻击,当局域网内使用外挂时，外挂携带的病毒会将该机器的MAC 地址映射到网关的IP地址上，向局域网内大量发送ARP包，致同一网段地址内的其它机器误将其作为网关，掉线时内网是互通的，计算机却不能上网。方法是在能上网时，进入MS-DOS窗口，输入命令：arp –a查看网关IP对应的正确MAC地址，将其记录，如果已不能上网，则先运行一次命令arp –d将arp缓存中的内容删空，计算机可暂时恢复上网，一旦能上网就立即将网络断掉，禁用网卡或拔掉网线，再运行arp –a。 如已有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。可在MS-DOS窗口下运行以下命令：arp –s 网关IP 网关MAC。如被攻击，用该命令查看，会发现该MAC已经被替换成攻击机器的MAC，将该MAC记录，以备查找。找出病毒计算机：如果已有病毒计算机的MAC地址，可使用NBTSCAN软件找出网段内与该MAC地址对应的IP，即病毒计算机的IP地址。 故障现象 当局域网内有某台电脑运行了此类ARP欺骗的木马的时候，其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。 切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。 由于ARP欺骗的木马发作的时候会发出大量的数据包导致局域网通讯拥塞，用户会感觉上网速度越来越慢。当木马程序停止运行时，用户会恢复从路由器上网，切换中用户会再断一次线。 该机一开机上网就不断发Arp欺骗报文，即以假冒的网卡物理地址向同一子网的其它机器发送Arp报文，甚至假冒该子网网关物理地址蒙骗其它机器，使网内其它机器改经该病毒主机上网，这个由真网关向假网关切换的过程中其它机器会断一次网。倘若该病毒机器突然关机或离线，则其它机器又要重新搜索真网关，于是又会断一次网。所以会造成某一子网只要有一台或一台以上这样的病毒机器，就会使其他人上网断断续续，严重时将使整个网络瘫痪。这种病毒（木马）除了影响他人上网外，也以窃取病毒机器和同一子网内其它机器上的用户帐号和密码（如QQ和网络游戏等的帐号和密码）为目的，而且它发的是Arp报文，具有一定的隐秘性，如果占系统资源不是很大，又无防病毒软件监控，一般用户不易察觉。这种病毒开学初主要发生在学生宿舍，据最近调查，现在已经在向办公区域和教工住宅区域蔓延，而且呈越演越烈之势。 经抽样测试，学校提供的赛门铁克防病毒软件企业版10.0能有效查杀已知的Arp欺骗病毒（木马）病毒。恶意软件由于国际上未有明确界定，目前暂无一款防病毒软件能提供100%杜绝其发作的解决方案，需要借助某些辅助工具进行清理。 解决思路 不要把你的网络安全信任关系建立在IP基础上或MAC基础上。 设置静态的MAC-->IP对应表，不要让主机刷新你设定好的转换表。

局域网内如何防止ARP欺骗

局域网内如何防止ARP欺骗 时间：2011-04-28 17:05 来源：雨林木风系统门户收藏复制分享共有 评论(0)条 一、理论前提 本着“不冤枉好人，不放过一个坏人的原则”，先说说我的一些想法和理论依据。首先，大家肯定发送ARP欺骗包肯定是一个恶毒的程序自动发送的，正常的 TCP/IP网络是不会有这样的错误包发送的(板砖扔了过来啊，废话!)。这就假设，如果犯罪嫌疑人没有启动这个破坏程序的时候，网络环境是正常的，或者说网络的ARP环境是正常的，如果我们能在犯罪嫌疑人启动这个犯罪程序的第一时间，一开始就发现了他的犯罪活动，那么就是人赃俱在，不可抵赖了，因为刚才提到，前面网络正常的时候证据是可信和可依靠的。好，接下来我们谈论如何在第一时间发现他的犯罪活动。 ARP欺骗的原理如下： 假设这样一个网络，一个Hub接了3台机器 HostA HostB HostC 其中 A的地址为：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AA B的地址为：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB C的地址为：IP：192.168.10.3 MAC: CC-CC-CC-CC-CC-CC 正常情况下 C:\arp -a Interface: 192.168.10.1 on Interface 0x1000003 Internet Address Physical Address Type 192.168.10.3 CC-CC-CC-CC-CC-CC dynamic 现在假设HostB开始了罪恶的ARP欺骗： B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是 192.168.10.3(C的IP地址)，MAC地址是DD-DD-DD- DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了)。当A接收到B伪造的ARP应答，就会更新本地的ARP 缓存(A可不知道被伪造了)。而且A不知道其实是从B发送过来的，A这里只有

网络ARP欺骗的类型与防范方法

ARP欺骗，是针对以太网地址解析协议（ARP）的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包，且可让网络上特定计算机或所有计算机无法正常连接，对局域网的安全性与稳定性有比较强的破坏力。 ARP概念 1.ARP欺骗原理： 黑客C经过收到A发出的ARP Request广播报文，能够偷听到A的 (IP, MAC) 地址, 黑客C就伪装为B，告诉A (受害者) 一个假MAC地址（这个假地址是C的MAC地址），使得A在发送给B的数据包都被黑客C截取，而A, B 浑然不知。 2.欺骗种类： 1、截获网关发出的数据。 欺骗源通过ARP报文通知网关一系列错误的内网MAC-IP地址关系，并按照一定的频率不断进行，使网关的ARP缓存表中不能保存正常的地址信息中，结果网关的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。 2、伪造网关 欺骗源把自己伪装成网关，向局域网内的主机发送ARP应答或免费ARP报文。使得局域网内的主机误以为欺骗源的MAC是网关MAC地址。使得原本流向网关的数据都被错误地发送到欺骗源。 3、伪造主机 欺骗源C把自己伪装成局域网内的另一台主机B，使得局域网内发往B的报文都流向了C。 伪造主机的过程与伪造网关类似。 3.防范技术： 1、在网关和主机上设备静态ARP表项，这样欺骗ARP报文携带的信息与静态表项不同， 会被忽略。 仅适合于小规模局域网，不适合于DHCP。 2、在交换机上限制每个端口的ARP表项数量。端口上仅能够学习有限数量的ARP表项。 如果设置为1，则只允许一个ARP表项被学习，伪装的MAC地址就无法通过交换机。对上述[欺骗种类1]比较有较。 3、与DHCP结合。DHCP snooping的过程中，会建立DHCP表项，主机的的IP以及用户 MAC、VID、PORT、租约时间等信息组成用户记录表项，从而形成DHCP Snooping 的用户数据库。DHCP可以很清楚地知道给哪个MAC分配了哪个IP。 交换机收到ARP报文时，将收到ARP报文的源IP、源MAC、端口号、VLAN ID信息同DHCP-Snooping数据库的用户信息进行匹配。如果一致则认为合法ARP报文，按既有流程处理；否则视为非法ARP报文，丢弃处理。 4、在交换机端收集所有ARP报文信息，一但MAC和对应的IP有变动，发出警告。

ARP欺骗在网络中的应用及防范

ARP欺骗在网络中的应用及防范 一、ARP协议的内容和工作原理 地址解析协议（Address Resolution Protocol,ARP）是在只知道主机IP地址时确定其物理地址的一种协议。因IPv4、IPv6和以太网的广泛应用，其主要用于将IP地址翻译为以太网的MAC地址，但其也能在ATM和FDDI IP网络中使用。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC 层，也就是相当于OSI的第二层）的MAC地址。 首先，每台主机都会在自己的ARP缓冲区中建立一个ARP映射表，以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时，会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址，如果有，就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个ARP 请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里面包括源主机的IP地址、源主机的MAC地址以及目的主机的IP地址、目的MAC地址。同一网段中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就丢弃此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP映射表中，如果ARP映射表中已经存在该IP的信息，则将其覆盖，然后以单播的形式给源主机发送一个ARP响应数据包，告诉对方自己是它需要查找的MAC地址；源主机收到这个ARP响应数据包后，将得到目的主机的IP地址和MAC地址并添加到自己的ARP映射表中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。 二、ARP协议存在的安全漏洞 ARP协议是建立在信任局域网内所有节点的基础上的，它很高效，但却不安全。其主要漏洞有以下三点： １、主机地址映射表是基于高速缓存、动态更新的，ARP将保存在高速缓存中的每一个映射地址项目都设置了生存时间，它只保存最近的地址对应关系。这样恶意的用户如果在下次交换前修改了被欺骗机器上的地址缓存，就可以进行假冒或拒绝服务攻击。 2、由于ARP是无状态的协议，即使没有发送ARP请求报文，主机也可以接收ARP应答，只要接收到ARP应答分组的主机就无条件地根据应答分组的内容刷新本机的高速缓存。这就为ARP欺骗提供了可能，恶意节点可以发布虚假的ARP 报文从而影响网内节点的通信，甚至可以做“中间人”。 ３、任何ARP应答都是合法的，ARP应答无须认证，只要是局域网内的ARP 应答分组，不管是否是合法的应答，主机都会接受ARP应答，并用其IP-MAC信息篡改其缓存。这就是ARP的另一个隐患。 三、ARP欺骗攻击的实现过程 3.1 网段内的ARP欺骗攻击 ARP欺骗攻击的最基本手段就是向目标主机发送伪造的ARP应答，并使目标主机接收应答中伪造的IP与MAC间的映射表，并以此更新目标主机缓存。设在

ARP欺骗攻击技术及其防范方法

校园网中的ARP欺骗的分析与防御研究一、什么是ARP协议 要想了解ARP欺骗攻击的原理，首先就要了解什么是ARP协议。ARP是地址转换协议的英文缩写，它是一个链路层协议，工作在OSI模型的第二层，在本层和硬件接口间进行联系，同时为上层（网络层）提供服务。 我们知道，二层的以太网交换设备并不能识别32位的IP地址，它们是以48位以太网地址（就是我们常说的MAC地址）传输以太网数据包的。因此IP地址与MAC地址之间就必须存在一种对应关系，而ARP协议就是用来确定这种对应关系的协议。 ARP工作时，首先请求主机发送出一个含有所希望到达的IP地址的以太网广播数据包，然后目标IP的所有者会以一个含有IP和MAC地址对的数据包应答请求主机。这样请求主机就能获得要到达的IP地址对应的MAC地址，同时请求主机会将这个地址对放入自己的ARP表缓存起来，以节约不必要的ARP通信。ARP 缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用（Windows系统这个时间为2分钟，而Cisco路由器的这个时间为5分钟），就会被删除。通过下面的例子我们可以很清楚地看出ARP的工作机制。 假定有如下五个IP地址的主机或者网络设备，它们分别是： 主机A 192.168.1.2 主机B 192.168.1.3 网关C 192.168.1.1 主机D 10.1.1.2 网关E 10.1.1.1 假如主机A要与主机B通信，它首先会检查自己的ARP缓存中是否有192.168.1.3这个地址对应的MAC地址，如果没有它就会向局域网的广播地址发送ARP请求包，大致的意思是192.168.1.3的MAC地址是什么请告诉192.168.1.2，而广播地址会把这个请求包广播给局域网内的所有主机，但是只有192.168.1.3这台主机才会响应这个请求包，它会回应192.168.1.2一个ARP 包，大致的意思是192.168.1.3的MAC地址是02-02-02-02-02-02。这样的话主机A就得到了主机B的MAC地址，并且它会把这个对应的关系存在自己的ARP 缓存表中。之后主机A与主机B之间的通信就依靠两者缓存表里的MAC地址来通信了，直到通信停止后2分钟，这个对应关系才会从表中被删除。 再来看一个非局域网内部的通信过程。假如主机A需要和主机D进行通信，它首先会发现这个主机D的IP地址并不是自己同一个网段内的，因此需要通过网关来转发，这样的话它会检查自己的ARP缓存表里是否有网关192.168.1.1对应的MAC地址，如果没有就通过ARP请求获得，如果有就直接与网关通信，然后再由网关C通过路由将数据包送到网关E，网关E收到这个数据包后发现是送给主机D（10.1.1.2）的，它就会检查自己的ARP缓存，看看里面是否有10.1.1.2对应的MAC地址，如果没有就使用ARP协议获得，如果有就是用该MAC地址与主机D通信。 通过上面的例子我们知道，在以太局域网内数据包传输依靠的是MAC地址，IP地址与MAC对应的关系依靠ARP表，每台主机（包括网关）都有一个ARP缓

ARP攻击的分析与防范

开发与应用 计算机与信息技术 ·7· ARP 攻击的分析与防范 吴勇 李祥 (贵州大学 计算机软件与理论研究所，贵州 贵阳 550025) 摘 要 介绍了ARP协议工作原理，分析了ARP协议的弱点，阐述了基于ARP进行网络攻击的主要方式，并给出了应 对措施。提出构造ARP应答包进行ARP欺骗的具体方法。 关键词 ARP协议；ARP欺骗；ICMP重定位；静态ARP表；地址解析；libnet 1 引言 网络上的计算机之间是通过IP地址通信的，但是IP地址是位于网络层的逻辑地址，计算机之间要想真的进行数据交换必须知道它的物理地址，ARP就是将逻辑地址转换成物理地址的一个协议。因此ARP的协议的安全就显的非常重要。现在对ARP攻击最常用的一种方式就是ARP欺骗，在这种攻击方式下，攻击方可以通过伪造ARP请求与应答更新目标主机的ARP缓存从而骗过目标机。使目标机的数据包发给攻击者。攻击者就可以对截获的数据包的内容进行分析破解目标机的信息。 2 ARP 协议 计算机之间主要是通过IP地址通信，IP地址是一个逻辑地址，通过IP地址就可以找到目标网络，但是在一个网络内部的计算机之间进行最终的数据交换时就必须经过物理MAC地址才能识别具体的一台主机，这时我们就需要ARP协议把需要通信的目标主机的IP地址解析为与之对应的硬件物理地址。 2.1 ARP 协议的基本工作原理 一台连入互连网的计算机拥有两个地址。一个是IP地址，它是一个网络层使用的协议并且独立于网络底层。每一台在互联网上的计算机都必须有一个惟一IP地址。IP地址是一个可以通过软件设置的逻辑地址。另一个地址是网卡地址MAC 地址。MAC地址是一个固定在网卡中的全球独一无二的地址。通过MAC地址，以太网就能独立于上层协议收发数据。当两台主机进行通信时，IP数据被封装成以太帧格式的一个个的数据包，这些数据包通过数据链路层进行传送，ARP消息就被封装在以太帧的数据部分。每一台基于TCP/IP协议的主机都有一个ARP缓存表。里面包括硬件类型，硬件地址长度，操作号，源IP地址与MAC地址，目的IP地址与MAC地址。如果一台主机甲要与另一台主机乙进行数据通信，且它们位于一个网段时，它们之间的具体通信过程如下：甲查看自己的ARP缓存表，寻找乙机器的相关信息，如果找到的话，就使用表中与乙的IP地址对应的MAC地址来通信；若查找失败，就会向局域网中发送一个以太网的广播帧，往帧中填充甲主机的IP地址和MAC地址，乙主机的IP地址等字段形成一个ARP请求。此时此网段内的所有机器都会收到此请求，但只有乙主机收到后发现此请求中有自己的IP地址从而作出响应。它先刷新自己的ARP缓存，以便提高以后的通信效率，而后生成一个ARP应答帧将自己的MAC地址填充进去发送给甲主机。甲收到后将乙的ARP信息写入自己的ARP缓存中。若不在同一网段，此过程分为两个阶段，第一阶段甲会广播一个ARP请求来得到本地网关的MAC地址，然后将数据发送到网关。再判断网关与乙是否在同一网段。如果是就进入第二阶段查找IP/MAC，转发数据否则继续广播ARP请求。(如图1) 当一台机器更换了新网卡后，就会通知网内其它主机，使之更新各自的ARP表项使IP地址和新的MAC地址保持一致。因此每台机器在启动时都会发一个以太网广播帧通知其它主机及时更新ARP缓存。 第一阶段 第二阶段 图1 不同网段的ARP攻击

解决ARP攻击造成的局域网断网问题

无线局域网内的ARP攻击引起的上网掉线的原因和解决方法 在家庭和公司的宽带局域网中，经常会遇到的就是ARP病毒攻击，最常见的症状是电脑老是掉线，网页经常打不开，QQ无法登陆之类的现象。就是能浏览网页也会很卡，这不是无线路由器出故障了，也不是网速问题，大多都是遇到ARP攻击了，这对上网的体验影响很大，对业务以来网络的公司来说更是意味着金钱的损失。下面就来给大家解释一下原因和相应的解决办法，顺带也说说ARP攻击的演化。 首先，我们先来了解一下什么是ARP攻击。 ARP攻击，是针对以太网地址解析协议（ARP）的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包，且可让网络上特定计算机或所有计算机无法正常连接。最早探讨ARP攻击的文章是由Yuri Volobue所写的《ARP与ICMP转向游戏》。 ARP攻击的演化 初期： 这种有目的的发布错误ARP广播包的行为，被称为ARP欺骗。ARP欺骗，最初为黑客所用，成为黑客窃取网络数据的主要手段。黑客通过发布错误的ARP广播包，阻断正常通信，并将自己所用的电脑伪装成别人的电脑，这样原本发往其他电脑的数据，就发到了黑客的电脑上，达到窃取数据的目的。 中期：ARP恶意攻击 后来，有人利用这一原理，制作了一些所谓的“管理软件”，例如网络剪刀手、执法官、终结者等，这样就导致了ARP恶意攻击的泛滥。往往使用这种软件的人，以恶意破坏为目的，多是为了让别人断线，逞一时之快。 特别是在网吧中，或者因为商业竞争的目的、或者因为个人无聊泄愤，造成恶意ARP攻击泛滥。 随着网吧经营者摸索出禁用这些特定软件的方法，这股风潮也就渐渐平息下去了。 现在：综合的ARP攻击 最近这一波ARP攻击潮，其目的、方式多样化，冲击力度、影响力也比前两个阶段大很多。 首先是病毒加入了ARP攻击的行列。以前的病毒攻击网络以广域网为主，最有效的攻击方式是DDOS攻击。但是随着防范能力的提高，病毒制造者将目光投向局域网，开始尝试ARP攻击，例如最近流行的威金病毒，ARP攻击是其使用的攻击手段之一。

ARP欺骗 -攻击原理和防范

ARP欺骗/ MITM(Man-In-The-Middle)攻击原理和防范 一、MITM(Man-In-The-Middle) 攻击原理 按照 ARP 协议的设计，为了减少网络上过多的 ARP 数据通信，一个主机，即使收到的 ARP 应答并非自己请求得到的，它也会将其插入到自己的 ARP 缓存表中，这样，就造成了“ ARP 欺骗”的可能。如果黑客想探听同一网络中两台主机之间的通信（即使是通过交换机相连），他会分别给这两台主机发送一个 ARP 应答包，让两台主机都“误”认为对方的 MAC 地址是第三方的黑客所在的主机，这样，双方看似“直接”的通信连接，实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容，另一方面，只需要更改数据包中的一些信息，成功地做好转发工作即可。在这种嗅探方式中，黑客所在主机是不需要设置网卡的混杂模式的，因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。 这里举个例子，假定同一个局域网内，有 3 台主机通过交换机相连： A 主机： IP 地址为 192.168.0.1 ， MAC 地址为 01:01:01:01:01:01 ； B 主机： IP 地址为 192.168.0.2 ， MA C 地址为 02:02:02:02:02:02 ； C 主机： IP 地址为 192.168.0.3 ， MAC 地址为 03:03:03:03:03:03 。 B 主机对 A 和 C 进行欺骗的前奏就是发送假的 ARP 应答包，如图所示 在收到 B主机发来的ARP应答后，A主机应知道： 到 192.168.0.3 的数据包应该发到 MAC 地址为 020********* 的主机； C 主机也知道：到 192.168.0.1 的数据包应该发到 MAC 地址为 020********* 的主机。这样， A 和 C 都认为对方的 MAC 地址是 020********* ，实际上这就是 B 主机所需得到的结果。当然，因为 ARP 缓存表项是动态更新的，其中动态生成的映射有个生命期，一般是两分钟，如果再没有新的信息更新， ARP 映射项会自动去除。所以， B 还有一个“任务”，那就是一直连续不断地向 A 和 C 发送这种虚假的 ARP 响应包，让其 ARP缓存中一直保持被毒害了的映射表项。 现在，如果 A 和 C 要进行通信，实际上彼此发送的数据包都会先到达 B 主机，这时，如果 B 不做进一步处理， A 和 C 之间的通信就无法正常建立， B 也就达不到“嗅探”通信内容的目的，因此， B 要对“错误”收到的数据包进行一番修改，然后转发到正确的目的地，而修改的内容，无非是将目的 MAC 和源MAC 地址进行替换。如此一来，在 A 和 C 看来，彼此发送的数据包都是直接到达对方的，但在 B 来看，自己担当的就是“第三者”的角色。这种嗅探方法，

如何设置路由器防止ARP攻击

【建议】关于ARP攻击，不是病毒而是路由器设置原因--2个路由器 发生原因：宾馆有1个路由器，我又带了1个无限路由器。（一共2个路由器串在一起上网） 发生故障：ARP 局域网攻击，查到的IP:192.168.1.1 MAC从路由器客户列表找不到此MA C地址。 以为是病毒隐藏了真实的MAC呢！计算机杀毒，急救箱，等全部用了。还是攻击。后来才发现，此MAC是第二个路由器。2个路由器设置问题导致ARP攻击。（在达到几百次的攻击时发现有2个MAC攻击，是2个路由器的MAC地址，一般都是第二个路由器MAC） 后来重新设置了第二个路由器一切OK 可以上网了。 建议：现在这样连接路由器的也很多，所以在局域网攻击发生时，在路由器客户列表找不到对应的MAC ，请提示。是否是2个路由器相连，如果是请确认是否是第二个路由器设置问题。 并将设置方法显示出来，以方便用户排除故障！ 下面是第二个路由器的设置方法！给大家分享下。 两个路由器连接最常见的应用是你家里现在有一个路由器,现在在想接一个无线路由器,如果不通过简单的设置是没有办法上网的,因为二个路由器在一个网段内IP地址都一样二个路由器连接有两个DHCP服务器共同工作所以IP会产生冲突 现在我们来看看图示连接方法 设连接上英特网的路由器为A路由器, 我们将要连的路由器为B路由器,目前的设置不用对A 路由器做任何改动,也就是说A路由器我们不用去动它,但要保证A路由器开通DHCP功能,

也就是说自动获得IP地址,这一功能在路由器购买来以后就有了,将B路由器的WAN口接在A路由器的LAN口上修改B路由器的IP地址为,192.168.0.1 启用B路由器的DHCP功能也许这一步可以省略路由器在购买来之前这个功能就以经起用了 进入B路由器的WAN口设置 在15处,WAN口连接类型,选择动态IP地址地址,在14处手动设置DNS服务器处选择,192.168.1.1我们完全可以将解析这个任务交给上一级路由器如果你知道ISP提供商的DNS哪就只接写他们的,如我们这个地方的DNS是218.2.135.1 保存退出这时进入路由器的状态介面你会看到A路由器为B路由器临时分配了一个IP地址

使用Sniffer进行ARP地址欺骗

使用Sniffer进行ARP地址欺骗 声明：本实验教程仅限于学习用，不能用于其他非法用途，否则后果自负。 1、实验目的 1、掌握常见ARP欺骗类型和手段 2、掌握ARP协议工作原理和格式 3、掌握防范ARP地址欺骗的方法和措施 4、掌握Sniffer Pro软件的使用 2、实验环境 硬件：交换机1 台、路由器1台、计算机数台 软件：Sinfffer pro 3、参考文档 Plummer RFC826定义了ARP标准 Clark RFC 814一般性讨论了ARP地址及绑定 Parr RFC的内容涉及容错地址转换 Malkin RFC提出了UNARP Laubach RFC 1577讨论了非广播网络中得ARP PDF 文件使用 "pdfFactory Pro" 试用版本创建https://www.360docs.net/doc/2611566845.html, Heinaen和Govindan RFC1735 对上进行了进一步的讨论 W.Richard Stenvens TCP/IP协议详解卷1：协议 [日]村上公保 TCP/IP网络实验程序篇科学出版社 4、实验原理 数据封装过程 1)、ARP协议简介 ARP(Address Resolve Protocol)地址请求解析协议，用于寻找和IP 地址相对应的MAC 地址。在RFC 826中定义了ARP协议的数据格式和类型。ARP协议属于在网络层的下部， 可看作为网络层和数据链路层的接口，主要用于IPv4以太网。

ARP消息类型有2 种： ARP request ：ARP 请求 ARP response ： ARP应答ARP协议格式 ARP 报文中各字段的意义 硬件类型：以太网接口类型为1 协议类型：IP协议类型为080016 操作：ARP请求为1，ARP应答为2 硬件地址长度：MAC地址长度为6B

H3C防ARP解决与方案及配置

H3C防ARP解决方案及配置 ARP, 方案 目录 第1章防ARP攻击功能介绍 1-1 1.1 ARP攻击简介 1-1 1.2 ARP攻击防御 1-3 1.2.2 DHCP Snooping功能 1-3 1.2.3 ARP入侵检测功能 1-4 1.2.4 ARP报文限速功能 1-4 1.3 防ARP攻击配置指南 1-5 第2章配置举例 2-1 2.1 组网需求 2-1 2.2 组网图 2-2 2.3 配置思路 2-2 2.4 配置步骤 2-3 2.5 注意事项 2-6 防ARP攻击配置举例 关键词：ARP、DHCP Snooping 摘要：本文主要介绍如何利用以太网交换机DHCP监控模式下的防ARP攻击功能，防止校园网中常见的“仿冒网关”、“欺骗网关”、“欺骗终端用户”、ARP泛洪等攻击形式。同时，详细描述了组网中各个设备的配置步骤和配置注意事项，指导用户进行实际配置。 缩略语：ARP（Address Resolution Protocol，地址解析协议） MITM（Man-In-The-Middle，中间人攻击） 第1章防ARP攻击功能介绍 近来，许多校园网络都出现了ARP攻击现象。严重者甚至造成大面积网络不能正常访问外网，学校深受其害。H3C公司根据校园网ARP攻击的特点，给出了DHCP监控模式下的防ARP攻击解决方案，可以有效的防御“仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击”、“ARP泛洪攻击”等校园网中常见的ARP攻击方式；且不需要终端用户安装额外的客户端软件，简化了网络配置。 1.1 ARP攻击简介 按照ARP协议的设计，一个主机即使收到的ARP应答并非自身请求得到的，也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信，但也为“ARP欺骗”创造了条件。 校园网中，常见的ARP攻击有如下几中形式。 (1) 仿冒网关

解决ARP攻击的方法

【故障原因】 局域网内有人使用ARP欺骗的木马程序（比如：传奇盗号的软件，某些传奇外挂中也被恶意加载了此程序）。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) 【故障原理】 要了解故障原理，我们先来了解一下ARP协议。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) 在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP 地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m)每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下表所示。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) 主机IP地址MAC地址 A192.168.16.1aa-aa-aa-aa-aa-aa B192.168.16.2bb-bb-bb-bb-bb-bb C192.168.16.3cc-cc-cc-cc-cc-cc D192.168.16.4dd-dd-dd-dd-dd-dd 我们以主机A（192.168.16.1）向主机B（192.168.16.2）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.16.2的MAC 地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP 缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) 从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗，A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候，把C的MAC地址骗为DD-DD-DD-DD-DD-DD，于是A发送到C上的数据包都变成发送给D的了。这不正好是D 能够接收到A发送的数据包了么，嗅探成功。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) A对这个变化一点都没有意识到，但是接下来的事情就让A产生了怀疑。因为A和C 连接不上了。D对接收到A发送给C的数据包可没有转交给C。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) 做“man in the middle”，进行ARP重定向。打开D的IP转发功能，A发送过来的数据包，转发给C，好比一个路由器一样。不过，假如D发送ICMP重定向的话就中断了整个计划。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) D直接进行整个包的修改转发，捕获到A发送给C的数据包，全部进行修改后再转发

解决局域网ARP攻击造成的断网问题

解决局域网ARP攻击造成的断网问题 【字号：大中小】 实战：解决局域网ARP攻击造成的断网问题 家里通过连接老妈学校的局域网上网（不用出上网费，^_^ ）~~从06年8月起，局域网中上网经常性掉线，通过科来网络分析系统发现，局域网中出现了arp欺骗攻击。经过我不断查找资料，2月初终于实现完美预防，下面就做个总结，希望对其他人有帮助~~：） 1. ARP概念 ARP，全称Address Resolution Protocol，中文名为地址解析协议，它工作在数据链路层，在本层和硬件接口联系，同时对上层提供服务。 IP数据包常通过以太网发送，以太网设备并不识别32位IP地址，它们是以48位以太网地址传输以太网数据包。因此，必须把IP目的地址转换成以太网目的地址。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC 地址是如何获得的呢？它就是通过地址解析协议获得的。ARP协议用于将网络中的IP地址解析为的硬件地址（MAC地址，每个网卡一个，据我观察分析，装系统时系统自动给予编号，形如00-03-0F-01-3E-0A），以保证通信的顺利进行。 1. 1 ARP和RARP报头结构 ARP和RARP使用相同的报头结构，如图1所示。 （图1ARP/RARP报头结构） 硬件类型字段：指明了发送方想知道的硬件接口类型，以太网的值为1； 协议类型字段：指明了发送方提供的高层协议类型，IP为0800（16进制）； 硬件地址长度和协议长度：指明了硬件地址和高层协议地址的长度，这样ARP报文就可以在任意硬件和任意协议的网络中使用； 操作字段：用来表示这个报文的类型，ARP请求为1，ARP响应为2，RARP请求为3，RARP响应为4； 发送方的硬件地址（0-3字节）：源主机硬件地址的前3个字节； 发送方的硬件地址（4-5字节）：源主机硬件地址的后3个字节； 发送方IP（0-1字节）：源主机硬件地址的前2个字节； 发送方IP（2-3字节）：源主机硬件地址的后2个字节； 目的硬件地址（0-1字节）：目的主机硬件地址的前2个字节；

Cisco环境下解决ARP欺骗的两种技术

Cisco环境下解决ARP欺骗的两种技术 https://www.360docs.net/doc/2611566845.html, 2008-09-05 12:58 佚名 IT168 我要评论(2) ?摘要：ARP欺骗原理简单，利用的是免费ARP来达到欺骗主机上面的网关arp表项。这里介绍cisco 环境下解决ARP欺骗的2个技术：dhcp snooping和ARP inspection。 ?标签：ARP网关欺骗Cisco ? Oracle帮您准确洞察各个物流环节网上有好多求助ARP病毒防范办法，其实ARP欺骗原理简单，利用的是ARP协议的一个“缺陷”，免费ARP来达到欺骗主机上面的网关的arp表项的。 免费ARP当时设计出来是为了2个作用的： 1.IP地址冲突检测 2.ARP条目自动更新，更新网关。 arp欺骗就是利用这里面的第二条，攻击的主机发送一个arp更新，条目的ip地址是网关，但是mac地址一项，却不是网关，当其他主机接受到，会根据arp协议的规则，越新的越可靠的原则，达到欺骗的目的。虽然arp不是tcp/ip协议簇中的一员，但是鉴于以太网的大行其道，所以放弃动态ARP协议，使用手动方式的来来做arp映射，好像不大现实（个别情况除外）。 介绍下cisco网络环境下解决这个问题的思路： 其实这里面使用到了2个技术：dhcp snooping和ARP inspection 一.dhcp snooping DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。 当交换机开启了DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外， DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。这样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP 地址。 作用： 1.dhcp-snooping的主要作用就是隔绝非法的dhcp server，通过配置非信任端口。

防护arp攻击软件最终版-Antiarp安全软件

防护arp攻击软件最终版-Antiarp安全软件 使用方法： 1、填入网关IP地址，点击〔获取网关地址〕将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。注意：如出现ARP欺骗提示，这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包，如果您想追踪攻击来源请记住攻击者的MAC地址，利用MAC地址扫描器可以找出IP 对应的MAC地址. 2、IP地址冲突 如频繁的出现IP地址冲突，这说明攻击者频繁发送ARP欺骗数据包，才会出现IP冲突的警告，利用Anti ARP Sniffer可以防止此类攻击。 3、您需要知道冲突的MAC地址，Windows会记录这些错误。查看具体方法如下： 右击[我的电脑]--[管理]--点击[事件查看器]--点击[系统]--查看来源为[TcpIP]---双击事件可以看到显示地址发生冲突，并记录了该MAC地址，请复制该MAC地址并填入Anti ARP Sniffer 的本地MAC地址输入框中(请注意将:转换为-)，输入完成之后点击[防护地址冲突]，为了使MAC地址生效请禁用本地网卡然后再启用网卡，在CMD命令行中输入Ipconfig /all，查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符，如果更改失败请与我联系。如果成功将不再会显示地址冲突。 注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。 全中文界面，绿色不用安装 附件: [Antiarp安全软件] Antiarp.rar (2006-4-25 17:03, 353.06 K) 该附件被下载次数103 可惜传不上去。 解决ARP攻击一例 【故障现象】 当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。 切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。 由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行

科来网络分析系统ARP攻击解决方案

编号TS-08-0005 科来网络分析系统ARP攻击解决方案 版权所有 ? 2007 科来软件保留所有权利。 本文档属商业机密文件，所有内容均为科来软件国内技术支持部独立完成，属科来软件内部机密信息，未经科来软件做出明确书面许可，不得为任何目的、以任何形式或手段（包括电子、机械、复印、录音或其他形式）对本文档的任何部分进行复制、修改、存储、引入检索系统或者传播。 汪已明 科来软件 电话：86-28-85120922 传真：86-28-85120911 网址：https://www.360docs.net/doc/2611566845.html, 电子邮件：support@https://www.360docs.net/doc/2611566845.html, 地址：成都市高新区九兴大道6号高发大厦B幢1F 版权所有　？　２００７　科来软件．　保留所有权利 第１页　共６页

方案背景 目前，由于政府、企业、高校以及电子商务的蓬勃发展，使得网络已经融入到社会的各个领域；与此同时，网络用户的多样化，直接导致了蠕虫病毒和网络攻击的持续增多。在这种情况下，快速排查网络攻击，保障网络的持续可靠运行，已日益成为与国家、政府、企事业和个人的利益休戚相关的“大事情”。 自2006年以来，ARP攻击就以攻击方法简单、攻击速度快、攻击效果好而深受越来越多恶作剧者的青睐，从而导致近1年多的时间里，网络中的ARP攻击无处不在，各大论坛从未停止过ARP攻击的讨论，一些遭受过ARP攻击的用户甚至到了谈“ARP”色变的程度。 能否快速有效地排查ARP攻击，将直接导致网络的运行是否正常，其意义十分重大。接下来我们就详细地来看如何排查并预防ARP攻击。 ARP协议工作原理 ARP，全称Address Resolution Protocol，中文名为地址解析协议，它工作OSI参考模型的第2层（数据链路层），用于查找IP地址所对应物理网卡的MAC地址。 正常情况下，ARP协议的工作原理如下： 1.所有主机都在自己的缓冲区中建立一个IP地址和MAC地址的对应关系表，我们 称这个表为ARP表。 2.源主机需要发送一个数据包到目的主机时，首先检查自己的ARP表中是否存在该 目的IP地址对应的MAC地址，如果有，就将数据包发送到这个MAC地址所对应 的网卡；如果没有，就向本地网段中除自己以外的所有主机发起一个ARP请求广 播，以查询目的主机所对的MAC地址。 3.网络中的所有主机收到这个ARP请求后，都会检查数据包中的目的IP是否和自己 的IP地址一致。如果不相同，就丢弃该数据包；如果相同，该主机首先将源主机 的IP地址和MAC地址添加到自己的ARP表（ARP表中如果已经存在该IP的信 息，则将其覆盖），然后给源主机发送一个 ARP响应数据包，告诉对方自己是它 需要查找的MAC地址； 4.源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添 加到自己的ARP表，并同时将数据包发往目的主机所对应的网卡。 从上述的过程可知，正常情况下的ARP工作流程是一个请求，一个应答。 ARP攻击原理 根据攻击的严重程度，ARP攻击可以分为三种：ARP扫描、ARP中间人攻击和ARP 断网攻击。 版权所有　？　２００７　科来软件．　保留所有权利 第２页　共６页

彻底解决局域网内ARP攻击的设置方法

彻底解决局域网内ARP攻击的设置方法 最常见的局域网安全问题就是ARP攻击了，相信百分五十以上的局域网用户都受到过ARP攻击，这种攻击方法非常不好防治，所以普通的局域网用户都不清楚怎么彻底解决ARP攻击问题。如果你用路由器设置了局域网，请看以下如何彻底解决局域网内ARP攻击的设置方法。 一、彻底解决ARP攻击 事实上，由于路由器是整个局域网的出口，而ARP攻击是以整个局域网为目标，当ARP攻击包已经达到路由器的时候，影响已经照成。所以由路由器来承担防御ARP攻击的任务只是权宜之计，并不能很好的解决问题。 我们要真正消除ARP攻击的隐患，安枕无忧，必须转而对“局域网核心”――交换机下手。由于任何ARP包，都必须经由交换机转发，才能达到被攻击目标，只要交换机据收非法的ARP包，哪么ARP攻击就不能造成任何影响。 我们提出一个真正严密的防止ARP攻击的方案，就是在每台接入交换机上面实现ARP绑定，并且过滤掉所有非法的ARP包。这样可以让ARP攻击足不能出户，在局域网内完全消除了ARP攻击。 因为需要每台交换机都具有ARP绑定和相关的安全功能，这样的方案无疑价格是昂贵的，所以我们提供了一个折衷方案。 二、一般ARP攻击的解决方法 现在最常用的基本对治方法是“ARP双向绑定”。 由于ARP攻击往往不是病毒造成的，而是合法运行的程序(外挂、网页)造成的，所杀毒软件多数时候束手无策。 所谓“双向绑定”，就是再路由器上绑定ARP表的同时，在每台电脑上也绑定一些常用的ARP表项。 “ARP双向绑定”能够防御轻微的、手段不高明的ARP攻击。ARP攻击程序如果没有试图去更改绑定的ARP表项，那么ARP攻击就不会成功;如果攻击手段不剧烈，也欺骗不了路由器，这样我们就能够防住50%ARP 攻击。 但是现在ARP攻击的程序往往都是合法运行的，所以能够合法的更改电脑的ARP表项。在现在ARP双向绑定流行起来之后，攻击程序的作者也提高了攻击手段，攻击的方法更综合，另外攻击非常频密，仅仅进行双向绑定已经不能够应付凶狠的ARP攻击了，仍然很容易出现掉线。 于是我们在路由器中加入了“ARP攻击主动防御”的功能。这个功能是在路由器ARP绑定的基础上实现的，原理是：当网内受到错误的ARP广播包攻击时，路由器立即广播正确的ARP包去修正和消除攻击包的影响。这样我们就解决了掉线的问题，但是在最凶悍的ARP攻击发生时，仍然发生了问题----当ARP攻击很频密的时候，就需要路由器发送更频密的正确包去消除影响。虽然不掉线了，但是却出现了上网“卡”的问题。 所以，我们认为，依靠路由器实现“ARP攻击主动防御”，也只能够解决80%的问题。