Anti Arp Sniffer 的用法
下載地址：http://www.wipe.edu.cn/Files/wlzx/Antiarp.rar
么是ARP?
???????? ARP（Address Resolution Protocol，地址解析協(xié)議）是一個(gè)位于TCP/IP協(xié)議棧中的低層協(xié)議，負(fù)責(zé)將某個(gè)IP地址解析成對(duì)應(yīng)的MAC地址。

什么是ARP欺騙?
???????? 從影響網(wǎng)絡(luò)連接通暢的方式來(lái)看，ARP欺騙分為二種，一種是對(duì)路由器ARP表的欺騙；另一種是對(duì)內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。
???????? 第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進(jìn)行，使真實(shí)的地址信息無(wú)法通過(guò)更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址，造成正常PC無(wú)法收到信息。第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過(guò)正常的路由器途徑上網(wǎng)。在PC看來(lái)，就是上不了網(wǎng)了，“網(wǎng)絡(luò)掉線了”。

???????? 近期，一種新型的“ ARP 欺騙”木馬病毒正在校園網(wǎng)中擴(kuò)散，嚴(yán)重影響了校園網(wǎng)的正常運(yùn)行。感染此木馬的計(jì)算機(jī)試圖通過(guò)“ ARP 欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。ARP欺騙木馬的中毒現(xiàn)象表現(xiàn)為：使用校園網(wǎng)時(shí)會(huì)突然掉線，過(guò)一段時(shí)間后又會(huì)恢復(fù)正常。比如客戶端狀態(tài)頻頻變紅，用戶頻繁斷網(wǎng)，IE瀏覽器頻繁出錯(cuò)，以及一些常用軟件出現(xiàn)故障等。如果校園網(wǎng)是通過(guò)身份認(rèn)證上網(wǎng)的，會(huì)突然出現(xiàn)可認(rèn)證，但不能上網(wǎng)的現(xiàn)象（無(wú)法ping通網(wǎng)關(guān)），重啟機(jī)器或在MS-DOS窗口下運(yùn)行命令arp -d后，又可恢復(fù)上網(wǎng)。ARP欺騙木馬十分猖狂，危害也特別大，各大學(xué)校園網(wǎng)、小區(qū)網(wǎng)、公司網(wǎng)和網(wǎng)吧等局域網(wǎng)都出現(xiàn)了不同程度的災(zāi)情，帶來(lái)了網(wǎng)絡(luò)大面積癱瘓的嚴(yán)重后果。ARP欺騙木馬只需成功感染一臺(tái)電腦，就可能導(dǎo)致整個(gè)局域網(wǎng)都無(wú)法上網(wǎng)，嚴(yán)重的甚至可能帶來(lái)整個(gè)網(wǎng)絡(luò)的癱瘓。該木馬發(fā)作時(shí)除了會(huì)導(dǎo)致同一局域網(wǎng)內(nèi)的其他用戶上網(wǎng)出現(xiàn)時(shí)斷時(shí)續(xù)的現(xiàn)象外，還會(huì)竊取用戶密碼。如盜取QQ密碼、盜取各種網(wǎng)絡(luò)游戲密碼和賬號(hào)去做金錢交易，盜竊網(wǎng)上銀行賬號(hào)來(lái)做非法交易活動(dòng)等，這是木馬的慣用伎倆，給用戶造成了很大的不便和巨大的經(jīng)濟(jì)損失。

2 ．檢查網(wǎng)內(nèi)感染“ ARP 欺騙”木馬染毒的計(jì)算機(jī)
在“開(kāi)始” - “程序” - “附件”菜單下調(diào)出“命令提示符”。輸入并執(zhí)行以下命令：
ipconfig
記錄網(wǎng)關(guān) IP 地址，即“ Default Gateway ”對(duì)應(yīng)的值，例如“ 59.66.36.1 ”。再輸入并執(zhí)行以下命令：
arp –a
在“ Internet Address ”下找到上步記錄的網(wǎng)關(guān) IP 地址，記錄其對(duì)應(yīng)的物理地址，即“ Physical Address ”值，例如“ 00-01-e8-1f-35-54 ”。在網(wǎng)絡(luò)正常時(shí)這就是網(wǎng)關(guān)的正確物理地址，在網(wǎng)絡(luò)受“ ARP 欺騙”木馬影響而不正常時(shí)，它就是木馬所在計(jì)算機(jī)的網(wǎng)卡物理地址。
也可以掃描本子網(wǎng)內(nèi)的全部 IP 地址，然后再查 ARP 表。如果有一個(gè) IP 對(duì)應(yīng)的物理地址與網(wǎng)關(guān)的相同，那么這個(gè) IP 地址和物理地址就是中毒計(jì)算機(jī)的 IP 地址和網(wǎng)卡物理地址。

3 ．設(shè)置 ARP 表避免“ ARP 欺騙”木馬影響的方法
本方法可在一定程度上減輕中木馬的其它計(jì)算機(jī)對(duì)本機(jī)的影響。用上邊介紹的方法確定正確的網(wǎng)關(guān) IP 地址和網(wǎng)關(guān)物理地址，然后在 “命令提示符”窗口中輸入并執(zhí)行以下命令：
arp –s 網(wǎng)關(guān) IP 網(wǎng)關(guān)物理地址

4.態(tài)ARP綁定網(wǎng)關(guān)
?????? 步驟一：
?????? 在能正常上網(wǎng)時(shí)，進(jìn)入MS-DOS窗口，輸入命令：arp －a，查看網(wǎng)關(guān)的IP對(duì)應(yīng)的正確MAC地址， 并將其記錄下來(lái)。
?????? 注意：如果已經(jīng)不能上網(wǎng)，則先運(yùn)行一次命令arp －d將arp緩存中的內(nèi)容刪空，計(jì)算機(jī)可暫時(shí)恢復(fù)上網(wǎng)（攻擊如果不停止的話）。一旦能上網(wǎng)就立即將網(wǎng)絡(luò)斷掉（禁用網(wǎng)卡或拔掉網(wǎng)線），再運(yùn)行arp －a。
?????? 步驟二：
?????? 如果計(jì)算機(jī)已經(jīng)有網(wǎng)關(guān)的正確MAC地址，在不能上網(wǎng)只需手工將網(wǎng)關(guān)IP和正確的MAC地址綁定，即可確保計(jì)算機(jī)不再被欺騙攻擊。
?????? 要想手工綁定，可在MS-DOS窗口下運(yùn)行以下命令：
?????? arp －s 網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC
?????? 例如：假設(shè)計(jì)算機(jī)所處網(wǎng)段的網(wǎng)關(guān)為192.168.1.1，本機(jī)地址為192.168.1.5，在計(jì)算機(jī)上運(yùn)行arp －a后輸出如下：
?????? Cocuments and Settings>arp -a
?????? Interface:192.168.1.5 --- 0x2
?????? Internet Address Physical Address Type
?????? 192.168.1.1?????? 00-01-02-03-04-05 dynamic
?????? 其中，00-01-02-03-04-05就是網(wǎng)關(guān)192.168.1.1對(duì)應(yīng)的MAC地址，類型是動(dòng)態(tài)（dynamic）的，因此是可被改變的。
?????? 被攻擊后，再用該命令查看，就會(huì)發(fā)現(xiàn)該MAC已經(jīng)被替換成攻擊機(jī)器的MAC。如果希望能找出攻擊機(jī)器，徹底根除攻擊，可以在此時(shí)將該MAC記錄下來(lái)，為以后查找該攻擊的機(jī)器做準(zhǔn)備。
?????? 手工綁定的命令為：
?????? arp －s 192.168.1.1?????? 00-01-02-03-04-05
?????? 綁定完，可再用arp －a查看arp緩存：
?????? Cocuments and Settings>arp -a
?????? Interface: 192.168.1.5 --- 0x2
?????? Internet Address Physical Address Type
?????? 192.168.1.1?????? 00-01-02-03-04-05 static
?????? 這時(shí)，類型變?yōu)殪o態(tài)（static），就不會(huì)再受攻擊影響了。
?????? 但是，需要說(shuō)明的是，手工綁定在計(jì)算機(jī)關(guān)機(jī)重啟后就會(huì)失效，需要再次重新綁定。所以，要徹底根除攻擊，只有找出網(wǎng)段內(nèi)被病毒感染的計(jì)算機(jī)，把病毒殺掉，才算是真正解決問(wèn)題。

5 .作批處理文件
?????? 在客戶端做對(duì)網(wǎng)關(guān)的arp綁定，具體操作步驟如下：
?????? 步驟一：
?????? 查找本網(wǎng)段的網(wǎng)關(guān)地址，比如192．168．1．1，以下以此網(wǎng)關(guān)為例。在正常上網(wǎng)時(shí)，“開(kāi)始→運(yùn)行→cmd→確定”，輸入：arp －a，點(diǎn)回車，查看網(wǎng)關(guān)對(duì)應(yīng)的Physical Address。
比如：網(wǎng)關(guān)192.168.1.1 對(duì)應(yīng)00－01－02－03－04－05。
?????? 步驟二：
?????? 編寫(xiě)一個(gè)批處理文件rarp.bat，內(nèi)容如下：
?????? @echo off
?????? arp －d
?????? arp -s?????? 192.168.1.1?????? 00－01－02－03－04－05
?????? 保存為：rarp.bat。
?????? 步驟三：
?????? 運(yùn)行批處理文件將這個(gè)批處理文件拖到“Windows→開(kāi)始→程序→啟動(dòng)”中，如果需要立即生效，請(qǐng)運(yùn)行此文件。
?????? 注意：以上配置需要在網(wǎng)絡(luò)正常時(shí)進(jìn)行

6.使用安全工具軟件
?????? 及時(shí)下載Anti ARP Sniffer軟件保護(hù)本地計(jì)算機(jī)正常運(yùn)行。具體使用方法可以在網(wǎng)上搜索。
?????? 如果已有病毒計(jì)算機(jī)的MAC地址，可使用NBTSCAN等軟件找出網(wǎng)段內(nèi)與該MAC地址對(duì)應(yīng)的IP，即感染病毒的計(jì)算機(jī)的IP地址，然后報(bào)告單位的網(wǎng)絡(luò)中心對(duì)其進(jìn)行查封。
?????? 或者利用單位提供的集中網(wǎng)絡(luò)防病毒系統(tǒng)來(lái)統(tǒng)一查殺木馬。另外還可以利用木馬殺客等安全工具進(jìn)行查殺。

7.應(yīng)急方案
?????? 網(wǎng)絡(luò)管理管理人員利用上面介紹的ARP木馬檢測(cè)方法在局域網(wǎng)的交換機(jī)上查出受感染該病毒的端口后，立即關(guān)閉中病毒的端口，通過(guò)端口查出相應(yīng)的用戶并通知其徹底查殺病毒。而后，做好單機(jī)防范，在其徹底查殺病毒后再開(kāi)放相應(yīng)的交換機(jī)端口，重新開(kāi)通上網(wǎng)。
附錄一
清華大學(xué)校園網(wǎng)絡(luò)安全響應(yīng)小組編的一個(gè)小程序
下載地址： ftp://166.111.8.243/tools/ArpFix.rar

清華大學(xué)校園網(wǎng)絡(luò)安全響應(yīng)小組編了一個(gè)小程序，它可以保護(hù)您的計(jì)算機(jī)在同一個(gè)局域網(wǎng)內(nèi)部有ARP欺騙木馬計(jì)算機(jī)的攻擊時(shí)，保持正常上網(wǎng)。具體使用方法：
1、 程序運(yùn)行后請(qǐng)先選擇網(wǎng)卡，選定網(wǎng)卡后點(diǎn)擊“選定”按鈕。
2、 選定網(wǎng)卡后程序會(huì)自動(dòng)獲取您機(jī)器的網(wǎng)關(guān)地址。
3、獲得網(wǎng)關(guān)地址后請(qǐng)點(diǎn)擊獲取MAC地址按鈕獲取正確的網(wǎng)關(guān)MAC地址。
4、 確認(rèn)網(wǎng)關(guān)的MAC地址后請(qǐng)點(diǎn)擊連接保護(hù)，程序開(kāi)始保護(hù)您的機(jī)器。
5、 點(diǎn)擊程序右上角的叉，程序自動(dòng)隱藏到系統(tǒng)托盤(pán)內(nèi)。
6、要完全退出程序請(qǐng)?jiān)谙到y(tǒng)托盤(pán)中該程序圖標(biāo)上點(diǎn)擊右鍵選擇EXIT。
注意：
1、這個(gè)程序只是一個(gè)ARP攻擊保護(hù)程序，即受ARP木馬攻擊時(shí)保持自己計(jì)算機(jī)的MAC地址不被惡意篡改，從而在遭受攻擊時(shí)網(wǎng)絡(luò)不會(huì)中斷。本程序并不能清除已經(jīng)感染的ARP木馬，要預(yù)防感染或殺除木馬請(qǐng)您安裝正版的殺毒軟件！