59/59HYPERLINKARP攻擊與故障排除知識HYPERLINKARP透視——出現ARP欺騙攻擊時的現象1、網上銀行、游戲及QQ賬號的頻繁喪失

一些人為了獲取非法利益，利用ARP欺騙程序在網內進行非法活動，此類程序的主要目的在于破解賬號登陸時的加密解密算法，通過截取局域網中的數

據包，然后以分析數據通訊協議的方法截獲用戶的信息。運行這類木馬病毒，就可以獲得整個局域網中上網用戶賬號的詳細信息并盜取。

2、網速時快時慢，極其不穩定，但單機進行光纖數據測試時一切正常

當局域內的某臺計算機被ARP的欺騙程序非法侵入后，它就會持續地向網內所有的計算機及網絡設備發送大量的非法ARP欺騙數據包，阻塞網絡通道，

造成網絡設備的承載過重，導致網絡的通訊質量不穩定。

3、局域網內頻繁性區域或整體掉線，重啟計算機或網絡設備后恢復正常

當帶有ARP欺騙程序的計算機在網內進行通訊時，就會導致頻繁掉線，出現此類問題后重啟計算機或禁用網卡會暫時解決問題，但掉線情況還會發生。發貼者dengguo時間：HYPERLINK\o"permanentlink"下午6:39HYPERLINK0評論標簽：HYPERLINKARP欺騙,HYPERLINKARP欺騙攻擊HYPERLINKARP透視——傳統的幾種解決ARP問題的方式方案一：

過濾局域網的IP，關閉高危險的端口，關閉共享。升級系統補丁，升級殺毒軟件。

安裝防火墻，設置防ARP的選項。

微軟ISA防火墻功能強大，可是很占系統資源。

配置效勞器是Linux的強項，當然能阻止局部ARP危害網絡。但是從根本上并沒有解決掉ARP的問題，長時間超負荷運轉對硬件的損害也顯而易見。

方案二：

發現亂發ARP包的主機后，即通過路由器、硬件防火墻等設備在網關上阻止與其它主機通信。迅速找到主機，斷開其網絡連接。檢查機器是因為病毒木馬

發送ARP包破壞網絡環境，還是人為的使用ARP的網絡管理軟件。既然是使用的網絡管理軟件，先得詢問使用者是否有管理網絡的特權。既然沒有特權又為

何管理、控制網絡呢？

方案三：

通過高檔路由器進行雙向綁定，即從路由器方面對附屬客戶機IP-MAC地址進行綁定，同時從客戶機方面對路由器進行IP-MAC地址綁定，雙向綁定讓IP不容

易被欺騙。這種方案的實施比較煩瑣，在客戶機器或路由器更改硬件時，需要對全網進行重新的MAC地址掃描并重新綁定，工作量巨大。所取得的效果，僅

僅可以防御住一些低端的ARP欺騙，對于攻擊型ARP軟件則無任何作用。

方案四：

使用ARP防護軟件，針對ARP欺騙攻擊的軟件在網絡中很多，但具體的效果卻一直不理想。多數軟件單單針對ARP欺騙攻擊的某一方面特性進行制作抵御軟件

的原理，并沒有從根本上去考慮ARP欺騙攻擊的產生與傳播方式。所以，這些軟件在ARP防范領域影響甚微。

針對上述幾種常見的傳統防范ARP的方法，都有各自的優點，但是也都曝漏了其局限性，并不都可以完全解決ARP欺騙攻擊。網絡中多臺主機同時高頻率的

發送ARP播送，會很輕易的造成網絡癱瘓、路由器死機，使其它主機響應緩慢，甚至造成系統停止響應（假死）。如果是ARP木馬，還會進行傳播，同時感

染其它網絡中的其它主機，產生眾多主機同時中毒的現象。發貼者dengguo時間：HYPERLINK\o"permanentlink"下午6:39HYPERLINK0評論標簽：HYPERLINKARP欺騙,HYPERLINK防范ARP攻擊HYPERLINKARP透視——ARP欺騙，騙的是什么?主持人:大家好，今天的主題是《ARP欺騙，騙的是什么?》很快樂邀請到我們的嘉賓資深網絡技術專家張先生，為我們解答問題。

張:謝謝主持人。

主持人:他的title雖然是營銷總監，但是也有深厚的功底，相信他今天給我們帶來精采的解答。

前一段時間，有一件事情被炒得非常熾熱，就是MSN被監聽。實際上媒體也對MSN的監聽軟件做了報告，實際上它并不是非常容易被使用。但是網上后來又

出了叫停類的文章，是說MSNMessenger是配合ARP欺騙軟件，就起到了它原本應該有的作用。我們想問一下張先生，ARP欺騙到底是什么樣的技術?

張:ARP欺騙我們必須從它的名詞來講。ARP欺騙它是一個地址解讀的協議。地址解讀協議是什么意思呢?在我們互聯網上面，最常用的協議是TCPIP，就是傳

輸的協議。IP就是所謂定址的協議。好比我們用哪一棟大樓，在什么地方，在網絡上就是使用IP地址來定的。但是在實體上，我們大家都知道，在每一臺

電腦上都有實體的地址。IP地址是網絡的一個地址。ARP就是讓這兩個地址跟IP地址產生關聯的一個協議。也就是說，我怎么知道哪一臺IP在什么位置呢?

就是透過ARP去先地方他的IP地方在哪里，再把這個偵發過去。像MSN是怎么欺騙的呢?在局域網里面，我這個偵或者這個包本來要發到某一個IP，這個IP

對的機器是A機器。它騙你這個IP對應的是第一臺機器。你就以為這個包要發到另外一臺機器去。這就是所謂ARP欺騙的根本想法和思維。

主持人:ARP欺騙對于我們局域網的一些應用看來是很危險的。

張:我從各地，從東莞，溫州、寧波，在中國，普遍發現ARP欺騙影響，在早期是網吧。它就是讓這個網吧掉線。其實我們早期發現的時候，剛剛主持人講

的一些應用就是所謂的MSN監聽。在所謂的MSN，并沒有做特殊的加密。有些人就想了一些機制去監聽。其實ARP最早的應用就是在網絡上盜取密碼的。就是

有一些在網吧里的用戶，用ARP欺騙。另外一個用戶在輸入用戶名和密碼的時候，就欺騙他的這臺機器說，我的機器是路由器，他會把用戶名的密碼送到我

這臺機器里面。他就可以把這個用戶名和密碼解讀出來。等用戶沒有上網的時候，他就可以把這個寶盜走。后來慢慢我們發現，很多用戶用這個功能，在

這個上面做了很多的隱身，變得一發不可收拾。本來我大概可以用三秒、五秒，后來就產生了很多隱身和變形，造成網斷線。因為應用的軟件失控了，他

就可以在某一臺機器上不斷做這個欺騙的動作。

主持人:ARP欺騙軟件運行同時，為什么會造成頻繁的斷線呢?

張:在我們以局域網運作來講，我們有兩種方式的傳輸。一種對外傳，就是我的用戶有一個需求，他透過路由器對外界傳送。這個時候，這是一種。另外一

種是回傳。當有用戶在網絡上假裝他自己是路由器的時候，用戶往外傳的包或者偵就會送到假的用戶去。這個軟件就會有一來、一回持續的運作。當你今

天碰到ARP欺騙的時候，你就會發現你送去給他，他那邊沒有回應。用戶就覺得是掉線或者斷線。嚴重的時候，就會把其他的應用，也沒有方法應用了。所

以就感覺到大幅度掉線或者斷線的功能。

主持人:實際上就是造成斷線的假象。

張:實際上也真的斷線了。就像我今天跟你在講話，但是你聽不到我講話的聲音。我的效勞器也不知道我在跟他講什么話。另外一個人聽到話，只是把它竊

取下來，記錄下來，并沒有給我回應。就是這樣的現象。

主持人:剛剛也說老了ARP欺騙最早可以用于盜取用戶的一些密碼、一些敏感信息。現在我們知道，所有未加密的傳送的軟件，都應用配合一些應用工具監

聽的。能不能再給我們介紹一下，配合ARP欺騙使用，還有什么所謂的黑客行為呢?

張:盜寶是最主要的，另外就是監聽。當ARP欺騙，可能配合其他的一些軟件功能這樣子的。我們發現，在局域網里面，想盜取一些ARP，或者無線網絡里面

，根本上都是用局域網的特性叫播送。播送，像我們剛剛提到的ARP欺騙為什么可以成型?在每一個計算機里面，都存了一個IP地址的對應表。但是每臺機

器的內存有限，當這個表不夠的時候，會傳一個播送信息。比方今天我要送給一個IP地址，我就問這個IP在哪里?問出來，所有人都會接受。假設在標準正

常的運作里面，大家知道我不是這個，我不用回應。但是路由器知道，這個東西不是這個網域里面，不用送。如果是假裝這個IP地址的話，你就會產生一

種誤解。其實這種比較重大的威脅，我們看到無線這邊，有人利用這個特性，做一些相關的動作。

主持人:也就是說，在無線或者有限的局域網里面，你所做的一些行為，都可以用黑客軟件配合ARP監控軟件進行欺騙，截取。

張:有一些比較低階段的應用就是所謂的監聽。如果在對于這些軟件做進一步的分析，比方我這個軟件送的時候是什么需求，回來的時候是什么需求。他可

以用另外一個目標把你所有的動作都攔截回去。如果今天對方知道，像一個交易，他知道第一筆是什么，第二筆是什么，他把所有的資料都送過去。他也

可以把你的訊息攔截走，再轉送到效勞器，再轉送回來。這樣的隱身就變成了蠻復雜的狀況在應用。這也是各地對ARP效果影響越來越大的原因。

主持人:這個是一般用戶來說，也是蠻頭疼的問題。

張:用戶因為不小心，用了一些軟件，或者在PC里面點了一些MSN的連接等等，把這個程序啟動了，他會發現自己漸漸受到了影響。像今天早上我們的技術

支持跟我們說，湖北一些網吧，幾乎沒有人上網了。因為上不了網。

主持人:像有這種加密的軟件傳送，信息也是能被黑客截取。只是截取后看不到內容?

張:是的。

主持人:前一陣子出有一個msnchatsniffer這樣的軟件，發現每一臺機器都受到了掃描攻擊。后來我們分析，是中了病毒還是木馬這類東西呢?

張:其實在早期里面，ARP的很多功能，像陀螺儀木馬這樣的功能期在一起。在早期的ARP，只是黑客用來盜取密碼，用了三、五秒鐘。當你輸入用戶名和密

碼的時候，另外一個用戶發現沒有回應，他會再輸一次。但是因為這些ARP的功能跟其他的木馬或者其他的城市，或者網絡上的連接、病毒結合在一起，所

以造成很大規模的影響，斷線或者掉線。像你剛剛提到的狀況，這個用戶可能不知道自己在做這樣的事情，這是典型的病毒，這是病毒跟ARP結合的典型現

象。

主持人:他能通過ARP欺騙的病毒做什么呢?

張:ARP欺騙的病毒做到現在，對于制作的人或者散布的人沒有什么太大的作用，純粹是破壞的工具。因為ARP可以收集網絡上播送的包，如果進一步的應用

，肯定會有很多的黑客在思考這個問題。因為網絡上的特性屬于來回，屬于協議這樣的狀況，如果你好好利用，好的方向能保持網絡順暢，不好的方向可

以攔截任何他需要的資訊。

主持人:從今年開始，在病毒這邊應該是說黑客已經從最早的表現欲，已經轉變成有目的性的盈利的目標，也就是說，ARP欺騙很可能被成為黑客盈利的手

段。

張:你怎么樣發生ARP欺騙的狀況，我們必須從原理開始講。最簡單的就是叫做ARP跟IP地址的對照表。我們有一些文章描述到，你可以對這個網絡進行掃描

。像這個ARP的對照表，可以對這個網絡進行掃描。當你發現某一個對應IP地址的話，正常是一對一的關系，如果發現一對多的方式那就是異常的情況。回

到我們剛剛講的，預防ARP。我們必須建立地址跟IP的固定關系。因為它會欺騙你。我們現在所謂綁定的功能，我們剛剛講了有兩個方向做綁定，一個是路

由器的局部，你必須把內部的所有的機器，IP地址做一個綁定。我們想了一些功能，可以讓它作后面做激活的動作把它綁定。

很多用戶發現我只要在路由器這邊做好了就行了，在終端這邊就不用做了。但是這樣的話，會發生局部的現象。所以在用戶這邊有所謂的ARP—S的功能，

你把你的路由器的位置，也做綁定。這樣送給路由器的包就不會被別人攔截去。我們剛剛談到了兩個方向，一個是所謂的路由器端做綁定，就是所有機器

的IP地址。另外是用戶端也要綁定，綁的是路由器的IP，跟路由器的地址。實際上我們最近發現另外一個現象，就是對于中毒的這臺機器還有另外的處理

方式。中毒的這臺機器，雖然你針對每臺機器綁定，但是這個設定從開機以后，就失效了。所以我們建議用戶把它寫到啟動的檔案里面。每次開機的時候

激活這個功能。

另外中毒的這臺機器，雖然綁定了，但是它內部已經有病毒了。雖然綁定了，但是它可以每秒快速寫它的ARP。這時候他對別人沒有方法造成危害。因為別

人已經把路由器跟這個機器的位置寫得很確定了。對這臺上網的人還是有很多的困擾。我們這種傳統的綁定功能可以給他快速的寫。寫到一秒兩百次這樣

的速度。我們現在看到比較好的做法，就是把藏在里面的病毒去除掉，或者整個機器都要清理一下病毒。這是我們現在比較完整的處理方式。

主持人:真的是很精彩的解答。如果我只對我個人的PC機做了綁定，路由那端沒有做綁定，還會不會受到ARP欺騙?

張:在個人這邊做綁定，你可以確保你往路由送的包，確定會送到路由這邊去。但是路由送回來的時候，他可以在半路攔截。告訴你路由器不要送給它，送

給我吧。就把這個包攔截過去了。所以我們剛剛談到要雙向的包要嚴密。現在有些網吧如果做單方面的綁定是不行的。

主持人:很多人認為我一邊綁定就可以了，實際上還是需要雙方相的綁定。河北前一段時間某公司，采用了貴公司的產品，和網吧結合出現了一些問題。請

問有一些什么具體的問題嗎?

張:在早期的路由器的版本里面，也許沒有這樣的綁定的功能。所以它就會產生掉線或者不穩定的狀況。

主持人:看來防范ARP還不是說用戶個人的行為能夠解決的，還需要網管和用戶一起來解決。

張:這個對網管而言是比較全面、頭疼的工作。其實對于網管而言比較復雜的地方在這邊，就是你如果一次把所有局域網上的IP地址找出來的話，你必須要

借助一些工具。不是現成的機器就可以做的。必須在網絡上下載。就是msnchatsniffer，或者其他的工具。還有一些行動的工作者，比方筆記本電腦來

了，你沒有設在里面，這臺就發生了這樣的問題。

主持人:不光是技術的問題，還牽涉到平安管理的問題。所以說ARP欺騙可以說是無法徹底解決的問題。可以這么說嗎?

張:在網絡上有人提到，這個是在協議上的弱點。但是我想說從技術的觀點來講，實際上有不同的方案可以解決。在一些做路由器產品或者相關軟件的，或

者做防毒的，大家都可以針對這個特性。早期大家不是很了解，慢慢大家針對剛剛的特性，就是所有IP地址的綁定，你去給它更好的局限。在早期因為很

開放，所以我在播送。但是因為發生這樣的問題，所以將來不管在嵌入的時候，或者在網絡上播送的時候，不同的軟件會做更多的標準，會降低這樣的現

象。

主持人:謝謝關先生精彩的發言。我們中場休息一下。我們再收集一下網友的提問，下半節請張先生答復。發貼者dengguo時間：HYPERLINK\o"permanentlink"下午6:39HYPERLINK0評論標簽：HYPERLINKARP欺騙,HYPERLINKARP欺騙攻擊HYPERLINKARP透視——ARP欺騙的危害作為一名網絡管理員，應該明確的知道網絡中的ARP列表，收集ARP列表信息。或者，為每臺機器手工綁定IP地址，不允許客戶機隨意更改IP地址，將每

臺機器的IP-->MAC信息保存為文件。

MAC地址：通過一些方法可以使網卡的MAC地址發生改變。所以不允許修改網卡的MAC地址。

IP地址與主機相對應。

xxxx_001為系統保存，通常就是網關了。IP地址為xxx.xxx.xxx.1

例如：xxxx_002這臺主機的IP地址為局域網地址xxx.xxx.xxx.2

ARPtable

主機名部門IP地址C地址

xxxx_002－xxx.xxx.xxx.xxx－xx-xx-xx-xx-xx-xx

xxxx_003－xxx.xxx.xxx.xxx－xx-xx-xx-xx-xx-xx

xxxx_004－xxx.xxx.xxx.xxx－xx-xx-xx-xx-xx-xx

xxxx_005－xxx.xxx.xxx.xxx－xx-xx-xx-xx-xx-xx

xxxx_006－xxx.xxx.xxx.xxx－xx-xx-xx-xx-xx-xx

xxxx_007－xxx.xxx.xxx.xxx－xx-xx-xx-xx-xx-xx

xxxx_008－xxx.xxx.xxx.xxx－xx-xx-xx-xx-xx-xx

xxxx_009－xxx.xxx.xxx.xxx－xx-xx-xx-xx-xx-xx

xxxx_011－xxx.xxx.xxx.xxx－xx-xx-xx-xx-xx-xx

xxxx_012－xxx.xxx.xxx.xxx－xx-xx-xx-xx-xx-xx

xxxx_013－xxx.xxx.xxx.xxx－xx-xx-xx-xx-xx-xx

ARP協議：

####源IP地址-->源MAC地址#####將源IP地址解析為源MAC地址

####目標IP地址-->目標MAC地址####將目標IP地址解析為目標MAC地址

RARP協議：

####源MAC地址-->源IP地址####將源MAC地址解析為源IP地址

####目標MAC地址-->目標IP地址####將目標MAC地址解析為目標IP地址

ARP攻擊檢測：

#ARP–a

查看本機ARP緩存，正常情況下第一欄打印本機IP地址，第二欄返回當前網關的IP地址和MAC地址。

正常模式：網絡中只有一個網關，客戶機ARP緩存只有一條ARP記錄，并且這條記錄是當前網關的IP-->MAC的映射。

混雜模式：當ARP緩存中有多條IP-->MAC的記錄，說明當前為混雜模式，網的網關不是唯一的。

排除：在SuSELinux系統中，如果使用ping命令ping網絡中的另一臺主機，再用ARP-a的命令查看本機ARP緩存會多出一條ARP記錄。這條記錄的源IP

地址就是剛剛ping的那臺主機的IP地址，源MAC地址就是剛剛ping的那臺主機的MAC址址。

獲取網絡中的ARP信息：使用ping命令ping網絡中的另一臺主機，然后再使用ARP-a或者是ARP-na的命令可以查看到剛剛ping的那臺網絡中的主機的IP

和MAC地址的映射關系。注意，使用此方法獲得的ARP信息不代表網絡一定為混雜模式。如果網關路由工作正常，且有合法的公網地址

sled10:~#ARP-na

(41)at00:01:01:02:02:39[ether]oneth0

(50)at00:E0:4C:3A:1D:BC[ether]oneth0

()at00:14:78:A1:7F:78[ether]oneth0

sled10:~#

能夠訪問廣域網的情況下：

使用ping命令ping廣域網上的一個域名

＞正常的現象：

#ping

#ping

#ping

sled10:~#ping

PING(58)56(84)bytesofdata.

64bytesfromf1.(58):ICMP_seq=1ttl=51time=1183ms

64bytesfromf1.(58):ICMP_seq=2ttl=51time=1458ms

64bytesfromf1.(58):ICMP_seq=3ttl=51time=1287ms

64bytesfromf1.(58):ICMP_seq=4ttl=51time=1185ms

64bytesfromf1.(58):ICMP_seq=5ttl=51time=934ms

＞非正常情況：

分析ARP欺騙的原理

sled10:~#ping

PING(4)56(84)bytesofdata.

From41:ICMP_seq=237RedirectHost(Newnexthop:)

64bytesfrom5:ICMP_seq=237ttl=53time=25.6ms

From41:ICMP_seq=238RedirectHost(Newnexthop:)

64bytesfrom5:ICMP_seq=238ttl=53time=25.3ms

From41:ICMP_seq=239RedirectHost(Newnexthop:)

64bytesfrom5:ICMP_seq=239ttl=53time=25.6ms

From41:ICMP_seq=240RedirectHost(Newnexthop:)

64bytesfrom5:ICMP_seq=240ttl=53time=25.8ms

From41:ICMP_seq=241RedirectHost(Newnexthop:)

64bytesfrom5:ICMP_seq=241ttl=53time=26.0ms

From41:ICMP_seq=242RedirectHost(Newnexthop:)

From41:ICMP_seq=240RedirectHost(Newnexthop:)

上面的ping后，從局域網的41返回一條ICMP包。

＞＞＞

64bytesfrom5:ICMP_seq=239ttl=53time=25.6ms

接著，從廣域網返回一條ICMP包。

注意，正常的的情況下ping廣域網的域名或IP地址應該只會收到廣域網地址返回的ICMP包。

同時反覆的高頻率的從局域網的一臺主機返回的ICMP包屬于非正常的情況。

From41:ICMP_seq=240RedirectHost(Newnexthop:)

Redirect:['ri:di'rekt]

a.再直接的

v.重新傳入,重新寄送

英英解釋:

動詞redirect:

注意！！

上面的英文解釋是“再連接的〞，也就是說每次ping廣域網的一個域名都會先收到這個局域網內的機器的ICMP包。

這個ICMP包是“再連接的〞，也就是說不是始終連接的。只有當有網絡請求時才會“再次連接〞，而不需要訪問網絡時就斷開了連接或者說連接不起作

用。每次訪問網絡都需要和這臺局域網中的機器連接，每發送一個ping包到廣域網的一個域名（主機）都要通過這臺局域網中的主機，每收到廣域網的一

個域（地址）的ICMP包之前都必須通過這臺局域網中的機器。都要通過這臺局域網中的主機。那么這臺主機就相當于網關了。但是，實際的網關并不是這

臺主機。

正常工作的網關，不會出出如此高頻率的“重新傳入〞、“再次連接〞。

合理的解釋：本機的ARP緩存正在被高頻率的刷新。

造本錢機的ARP緩存高頻率刷新的原因就在于局域網中的這臺主機使用了不斷的高頻率的向局域網中發送ARP包，不斷的高頻率的向網絡中的機器告白：“

大家好！我就是網關，你們跟著我就能夠有吃有喝了。〞發貼者dengguo時間：HYPERLINK\o"permanentlink"下午6:38HYPERLINK0評論標簽：HYPERLINKARP欺騙HYPERLINK網吧頻繁掉線（ARP）與解決方法現在頻繁掉線的網吧很多.但為何掉線.許多網管朋友.不是很清楚.網吧掉線的原因很多.現在我給大家講一下現在很流行的一種木馬.<傳奇網吧殺手>.根本上東北地區的網吧都被這一木馬弄的身心疲憊.但是現在有解決的方法了.中病毒特征:網吧不定時的掉線.(重啟路由后正常),網吧局域網內有個別機器掉線.

木馬分析:傳奇殺手木馬,是通過ARP欺騙,來或取局域網內發往外網的數據.從而截獲局域內一些網游的用戶名和密碼.木馬解析:中木馬的機器能虛擬出一個路由器的MAC地址和路由器的IP.當病毒發作時,局域網內就會多出一個路由器的MAC地址.內網在發往外網的數據時,誤認為中木馬的機器是路由器,從而把這些數據發給了虛擬的路由器.真正路由器的MAC地址被占用.內網的數據發出不去.所以就掉線了.解決方法:守先你下載一個網絡執法官,他可以監控局域網內所有機器的MAC地址和局域網內的IP地址.在設置網絡執法官時.你必須將網絡執法官的IP段設置和你內網的IP段一樣.比方說:你的內網IP是54你的設置時也要設置54.設置完后,你就會看到你的內網中的MAC地址和IP地址.從而可以看出哪臺機器中了木馬.(在多出的路由器MAC地址和IP地址和內網機器的IP地址,MAC地址一樣的說明中了傳奇網吧殺手)要是不知道路由器的MAC地址,在路由器的設置界面可以看到.發現木馬后.你還要下載瑞星2006最新版的殺病毒軟件(3月15日之后的病毒庫).在下載完之后必須在平安模式下查殺(這是瑞星反病毒專家的見意)反復查殺(一般在四次就可以了)注意查完后殺病毒軟件不要卸載掉.觀查幾天(這是我個人的經驗.在卸后第三天病毒還會死灰復燃,我想可能是注冊表里還有他的隱藏文件.在觀查幾天后正常就可以卸載掉了.注:復原精靈和冰點對網吧傳奇殺手木馬不起做用.(傳奇殺手木馬不會感染局域網.不要用硬盤對克,對克跟本不起任何做用.而且還會感染到母盤上.切記!)最好主機安裝上網絡執法官,這樣可以時時監控局域網內的動態,發現木馬后可以及時做出對策)

下面是傳奇網吧殺手木馬的文件:

文件名：文件路徑：病毒名：

a.exe>>b.exec:\windows\system32Trojan.psw.lmir.jbg

235780.dllc:\windows\Trojan.psw.lmir.aji

kb2357801.logc:\windows\Trojan.psw.lmir.jhe

Q98882.logc:\windows\Trojan.psw.lmir.jhe

kb2357802.logc:\windows\Trojan.psw.lmir.jbg

Q90979.logc:\windows\Trojan.psw.lmir.jhe

Q99418.logc:\windows\Trojan.psw.lmir.jbg

ZT.exec:\windows\programFiles\浩方對戰平臺病毒名：Trojan.dL.agent.eqv

a[1].exe>>b.exec:\documentsandsttings\sicent\localsettings\TemporaryInternetFiles\content.IE5\Q5g5g3uj

病毒名:Trojan.psw.lmir.jbg(各位朋友.瑞星殺毒軟件文件過大郵箱發送不了.請大家下載瑞星個人18.18.20版殺毒軟件我現在給大家提供注冊碼.希望大家原諒.)

SN=P5V6EH-61FHJK-9G0SS7-C4D200

ID=5B3C5BJ4Y125

（網絡執法官可以批量MAC捆綁，到執法官的局域網MAC界面，全選后單擊右鍵會出現批量MAC捆綁．做完捆綁以后，ARP要是在次攻擊時他會報警，出現的假MAC是為非法．網絡執法官會終止他的一切操作．）這樣可以解決ARP在次攻擊．發貼者dengguo時間：HYPERLINK\o"permanentlink"下午6:31HYPERLINK0評論標簽：HYPERLINKARP攻擊策略,HYPERLINKARP欺騙HYPERLINKARP攻擊與防護完全手冊最近在論壇上經常看到關于ARP病毒的問題，于是在Google上搜索ARP關鍵字！結果出來N多關于這類問題的討論。想再學習ARP下相關知識，所以對目前網絡中常見的ARP問題進行了一個總結。現在將其貼出來，希望和大家一起討論！

一、ARP概念

咱們談ARP之前，還是先要知道ARP的概念和工作原理，理解了原理知識，才能更好去面對和分析處理問題。

1.1ARP概念知識

ARP，全稱AddressResolutionProtocol，中文名為地址解析協議，它工作在數據鏈路層，在本層和硬件接口聯系，同時對上層提供效勞。

IP數據包常通過以太網發送，以太網設備并不識別32位IP地址，它們是以48位以太網地址傳輸以太網數據包。因此，必須把IP目的地址轉換成以太網目的地址。在以太網中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢？它就是通過地址解析協議獲得的。ARP協議用于將網絡中的IP地址解析為的硬件地址（MAC地址），以保證通信的順利進行。

1.2ARP工作原理

首先，每臺主機都會在自己的ARP緩沖區中建立一個ARP列表，以表示IP地址和MAC地址的對應關系。當源主機需要將一個數據包要發送到目的主機時，會首先檢查自己ARP列表中是否存在該IP地址對應的MAC地址，如果有﹐就直接將數據包發送到這個MAC地址；如果沒有，就向本地網段發起一個ARP請求的播送包，查詢此目的主機對應的MAC地址。此ARP請求數據包里包括源主機的IP地址、硬件地址、以及目的主機的IP地址。網絡中所有的主機收到這個ARP請求后，會檢查數據包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此數據包；如果相同，該主機首先將發送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已經存在該IP的信息，則將其覆蓋，然后給源主機發送一個ARP響應數據包，告訴對方自己是它需要查找的MAC地址；源主機收到這個ARP響應數據包后，將得到的目的主機的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息開始數據的傳輸。如果源主機一直沒有收到ARP響應數據包，表示ARP查詢失敗。

例如：

A的地址為：IP：MAC:AA-AA-AA-AA-AA-AA

B的地址為：IP：MAC:BB-BB-BB-BB-BB-BB

根據上面的所講的原理，我們簡單說明這個過程：A要和B通訊，A就需要知道B的以太網地址，于是A發送一個ARP請求播送（誰是，請告訴），當B收到該播送，就檢查自己，結果發現和自己的一致，然后就向A發送一個ARP單播應答（在BB-BB-BB-BB-BB-BB）。

1.3ARP通訊模式

通訊模式（PatternAnalysis）：在網絡分析中，通訊模式的分析是很重要的，不同的協議和不同的應用都會有不同的通訊模式。更有些時候，相同的協議在不同的企業應用中也會出現不同的通訊模式。ARP在正常情況下的通訊模式應該是：請求->應答->請求->應答，也就是應該一問一答。

二、常見ARP攻擊類型

個人認為常見的ARP攻擊為兩種類型：ARP掃描和ARP欺騙。

2.1ARP掃描（ARP請求風暴）

通訊模式（可能）：

請求->請求->請求->請求->請求->請求->應答->請求->請求->請求...

描述：

網絡中出現大量ARP請求播送包，幾乎都是對網段內的所有主機進行掃描。大量的ARP請求播送可能會占用網絡帶寬資源；ARP掃描一般為ARP攻擊的前奏。

出現原因（可能）：

病毒程序，偵聽程序，掃描程序。

如果網絡分析軟件部署正確，可能是我們只鏡像了交換機上的局部端口，所以大量ARP請求是來自與非鏡像口連接的其它主機發出的。

如果部署不正確，這些ARP請求播送包是來自和交換機相連的其它主機。

2.2ARP欺騙

ARP協議并不只在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包的時候，就會對本地的ARP緩存進行更新，將應答中的IP和MAC地址存儲在ARP緩存中。所以在網絡中，有人發送一個自己偽造的ARP應答，網絡可能就會出現問題。這可能就是協議設計者當初沒考慮到的！

2.2.1欺騙原理

假設一個網絡環境中，網內有三臺主機，分別為主機A、B、C。主機詳細信息如下描述：

A的地址為：IP：MAC:AA-AA-AA-AA-AA-AA

B的地址為：IP：MAC:BB-BB-BB-BB-BB-BB

C的地址為：IP：MAC:CC-CC-CC-CC-CC-CC

正常情況下A和C之間進行通訊，但是此時B向A發送一個自己偽造的ARP應答，而這個應答中的數據為發送方IP地址是（C的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（C的MAC地址本來應該是CC-CC-CC-CC-CC-CC，這里被偽造了）。當A接收到B偽造的ARP應答，就會更新本地的ARP緩存（A被欺騙了），這時B就偽裝成C了。同時，B同樣向C發送一個ARP應答，應答包中發送方IP地址四（A的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（A的MAC地址本來應該是AA-AA-AA-AA-AA-AA），當C收到B偽造的ARP應答，也會更新本地ARP緩存（C也被欺騙了），這時B就偽裝成了A。這樣主機A和C都被主機B欺騙，A和C之間通訊的數據都經過了B。主機B完全可以知道他們之間說的什么：）。這就是典型的ARP欺騙過程。

注意：一般情況下，ARP欺騙的某一方應該是網關。

2.2.2兩種情況

ARP欺騙存在兩種情況：一種是欺騙主機作為“中間人〞，被欺騙主機的數據都經過它中轉一次，這樣欺騙主機可以竊取到被它欺騙的主機之間的通訊數據；另一種讓被欺騙主機直接斷網。

◆第一種：竊取數據（嗅探）

通訊模式：

應答->應答->應答->應答->應答->請求->應答->應答->請求->應答...

描述：

這種情況就屬于我們上面所說的典型的ARP欺騙，欺騙主機向被欺騙主機發送大量偽造的ARP應答包進行欺騙，當通訊雙方被欺騙成功后，自己作為了一個“中間人“的身份。此時被欺騙的主機雙方還能正常通訊，只不過在通訊過程中被欺騙者“竊聽〞了。

出現原因（可能）：

木馬病毒

嗅探

人為欺騙

◆第二種：導致斷網

通訊模式：

應答->應答->應答->應答->應答->應答->請求…

描述：

這類情況就是在ARP欺騙過程中，欺騙者只欺騙了其中一方，如B欺騙了A，但是同時B沒有對C進行欺騙，這樣A實質上是在和B通訊，所以A就不能和C通訊了，另外一種情況還可能就是欺騙者偽造一個不存在地址進行欺騙。

對于偽造地址進行的欺騙，在排查上比較有難度，這里最好是借用TAP設備（呵呵，這個東東好似有點貴勒），分別捕獲單向數據流進行分析！

出現原因（可能）：

木馬病毒

人為破壞

一些網管軟件的控制功能

三、常用的防護方法

搜索網上，目前對于ARP攻擊防護問題出現最多是綁定IP和MAC和使用ARP防護軟件，也出現了具有ARP防護功能的路由器。呵呵，我們來了解下這三種方法。

3.1靜態綁定

最常用的方法就是做IP和MAC靜態綁定，在網內把主機和網關都做IP和MAC綁定。

欺騙是通過ARP的動態實時的規則欺騙內網機器，所以我們把ARP全部設置為靜態可以解決對內網PC的欺騙，同時在網關也要進行IP和MAC的靜態綁定，這樣雙向綁定才比較保險。

方法：

對每臺主機進行IP和MAC地址靜態綁定。

通過命令，arp-s可以實現“arp–sIPMAC地址〞。

例如：“arp–sAA-AA-AA-AA-AA-AA〞。

如果設置成功會在PC上面通過執行arp-a可以看到相關的提示：InternetAddressPhysicalAddressType

AA-AA-AA-AA-AA-AAstatic(靜態)

一般不綁定,在動態的情況下：

InternetAddressPhysicalAddressType

AA-AA-AA-AA-AA-AAdynamic(動態)

說明：對于網絡中有很多主機，500臺，1000臺...，如果我們這樣每一臺都去做靜態綁定，工作量是非常大的。。。。，這種靜態綁定，在電腦每次重起后，都必須重新在綁定，雖然也可以做一個批處理文件，但是還是比較麻煩的！

3.2使用ARP防護軟件

目前關于ARP類的防護軟件出的比較多了，大家使用比較常用的ARP工具主要是欣向ARP工具，Antiarp等。它們除了本身來檢測出ARP攻擊外，防護的工作原理是一定頻率向網絡播送正確的ARP信息。我們還是來簡單說下這兩個小工具。

3.2.1欣向ARP工具

俺使用了該工具，它有5個功能：

A.IP/MAC清單

選擇網卡。如果是單網卡不需要設置。如果是多網卡需要設置連接內網的那塊網卡。

IP/MAC掃描。這里會掃描目前網絡中所有的機器的IP與MAC地址。請在內網運行正常時掃描，因為這個表格將作為對之后ARP的參照。

之后的功能都需要這個表格的支持，如果出現提示無法獲取IP或MAC時，就說明這里的表格里面沒有相應的數據。

B.ARP欺騙檢測

這個功能會一直檢測內網是否有PC冒充表格內的IP。你可以把主要的IP設到檢測表格里面，例如，路由器，電影效勞器，等需要內網機器訪問的機器IP。

(補充)“ARP欺騙記錄〞表如何理解：

“Time〞：發現問題時的時間；

“sender〞：發送欺騙信息的IP或MAC；

“Repeat〞：欺詐信息發送的次數；

“ARPinfo〞：是指發送欺騙信息的具體內容.如下面例子：

timesenderRepeatARPinfo22:22:2221433isat00:0e:03:22:02:e8

這條信息的意思是：在22:22:22的時間,檢測到由2發出的欺騙信息，已經發送了1433次，他發送的欺騙信息的內容是：的MAC地址是00:0e:03:22:02:e8。

翻開檢測功能，如果出現針對表內IP的欺騙，會出現提示。可以按照提示查到內網的ARP欺騙的根源。提示一句，任何機器都可以冒充其他機器發送IP與MAC，所以即使提示出某個IP或MAC在發送欺騙信息，也未必是100％的準確。所有請不要以暴力解決某些問題。

C.主動維護

這個功能可以直接解決ARP欺騙的掉線問題，但是并不是理想方法。他的原理就在網絡內不停的播送制定的IP的正確的MAC地址。

“制定維護對象〞的表格里面就是設置需要保護的IP。發包頻率就是每秒發送多少個正確的包給網絡內所有機器。強烈建議盡量少的播送IP，盡量少的播送頻率。一般設置1次就可以，如果沒有綁定IP的情況下，出現ARP欺騙，可以設置到50－100次，如果還有掉線可以設置更高，即可以實現快速解決ARP欺騙的問題。但是想真正解決ARP問題，還是請參照上面綁定方法。

D.欣向路由器日志

收集欣向路由器的系統日志，等功能。

E.抓包

類似于網絡分析軟件的抓包，保存格式是.cap。

3.2.1Antiarp

這個軟件界面比較簡單，以下為我收集該軟件的使用方法。

A.填入網關IP地址，點擊［獲取網關地址］將會顯示出網關的MAC地址。點擊[自動防護]即可保護當前網卡與該網關的通信不會被第三方監聽。注意：如出現ARP欺騙提示，這說明攻擊者發送了ARP欺騙數據包來獲取網卡的數據包，如果您想追蹤攻擊來源請記住攻擊者的MAC地址，利用MAC地址掃描器可以找出IP對應的MAC地址.

B.IP地址沖突

如頻繁的出現IP地址沖突，這說明攻擊者頻繁發送ARP欺騙數據包，才會出現IP沖突的警告，利用AntiARPSniffer可以防止此類攻擊。

C.您需要知道沖突的MAC地址，Windows會記錄這些錯誤。查看具體方法如下：

右擊[我的電腦]--[管理]--點擊[事件查看器]--點擊[系統]--查看來源為[TcpIP]雙擊事件可以看到顯示地址發生沖突，并記錄了該MAC地址，請復制該MAC地址并填入AntiARPSniffer的本地MAC地址輸入框中(請注意將:轉換為-)，輸入完成之后點擊[防護地址沖突]，為了使MAC地址生效請禁用本地網卡然后再啟用網卡，在CMD命令行中輸入Ipconfig/all，查看當前MAC地址是否與本地MAC地址輸入框中的MAC地址相符，如果更改失敗請與我聯系。如果成功將不再會顯示地址沖突。

注意:如果您想恢復默認MAC地址,請點擊[恢復默認],為了使MAC地址生效請禁用本地網卡然后再啟用網卡。

3.3具有ARP防護功能的路由器

這類路由器以前聽說的很少，對于這類路由器中提到的ARP防護功能，其實它的原理就是定期的發送自己正確的ARP信息。但是路由器的這種功能對于真正意義上的攻擊，是不能解決的。

ARP的最常見的特征就是掉線，一般情況下不需要處理一定時間內可以回復正常上網，因為ARP欺騙是有老化時間的，過了老化時間就會自動的回復正常。現在大多數路由器都會在很短時間內不停播送自己的正確ARP信息，使受騙的主機回復正常。但是如果出現攻擊性ARP欺騙(其實就是時間很短的量很大的欺騙ARP，1秒有個幾百上千的)，它是不斷的發起ARP欺騙包來阻止內網機器上網，即使路由器不斷播送正確的包也會被他大量的錯誤信息給淹沒。

可能你會有疑問：我們也可以發送比欺騙者更多更快正確的ARP信息啊？如果攻擊者每秒發送1000個ARP欺騙包，那我們就每秒發送1500個正確的ARP信息！

面對上面的疑問，我們仔細想想，如果網絡拓撲很大，網絡中接了很多網絡設備和主機，大量的設備都去處理這些播送信息，那網絡使用起來好不爽，再說了會影響到我們工作和學習。ARP播送會造成網絡資源的浪費和占用。如果該網絡出了問題，我們抓包分析，數據包中也會出現很多這類ARP播送包，對分析也會造成一定的影響。發貼者dengguo時間：HYPERLINK\o"permanentlink"下午6:28HYPERLINK0評論標簽：HYPERLINKARP攻擊,HYPERLINKARP防護HYPERLINK局域網ARP欺騙排查解決報告上周四下午，單位網絡故障，無法翻開網頁，關掉防火墻，路由器，重新起動，故障消失，這種事情由來已久，因為網絡設計初期問題

周五出現網絡時斷時續現象，一本科生告訴我可能是“ARP欺騙〞所致，在DOS下，輸入：arp-a發現網關MAC地址與一臺IP為的主機MAC相同，找到該機后，斷掉，網絡恢復。

本以為事情就這么過去了，然而：

周一上班又出現網絡時斷時續、網速慢、上不去網……眾人紛紛報告，搞得我相當郁悶，情急之下發現重新起動電腦故障就消失了，于是簡單要求照做。晚上在家查找了相關資料，知道遇到ARP欺騙這種事情不好搞，并且找到了應急對策：

1、對網關做IP-MAC綁定

2、用MAC掃描器得到網內上網主機的IP-MAC對，記錄下來以備后用

周二上班前做了網關地址綁定。一上午至下班前一小時無事，但我知道，這個ARP欺騙主機像幽靈躲在暗處，時刻窺探發動攻擊的最正確時刻，不把它揪出來，早晚是個事兒！現在它沒有出現，可能是因為故障主機的人沒來不在單位，根本沒開機！果然，下班前一個小時故障再次出現！然而單位70幾臺上網主機三個樓層，怎么查？！有人提出一個房間一個房間的斷網排查，我否認的這種干擾正常工作秩序的方案，決定重新研究新對策。下載了一個AntiArpSniffer的工具進行監控，晚上回家在不安中睡去……

周三，也就是今天早上到單位，在兩臺監控的主機上發現如下“欺騙機MAC地址：00-11-**--**-**-2D〞（由于此地址為物理網卡地址，具有全球唯一性，故隱去真實值），軟件還報告了發生欺騙的時間和大概36次的欺騙次數！但卻沒有查出IP地址。8點半用MAC掃描器進行全網掃描，卻未發現上述MAC地址。9點15分，有機器報告不能上網，到現場，運行欄輸入：arp–d不用關機重起，可以上網，更確定是ARP病毒所致。10點05分再次用MAC掃描器，突然閃現了IP與MAC地址對應的主機！！！火速聯系機主，對方反應這幾天上網速度很慢，正想重裝系統。告知事發原因，并驗明他昨天上午到下班前一小時確實不在單位沒有開機的事實，與網絡自他歸來后變得不穩定現象完全符合！經對方查驗其MAC地址確實與掃描出的欺騙主機地址一致！！！事主重新格式化重裝系統……

雖然找出了源頭并采取的相應措施，但內心始終忐忑，網絡平安任重道遠啊……

一切盡在觀察中……

處理步驟小結：

1、應急處理不能上網的主機，在運行欄里執行命令：arp–d

2、用AntiArpSniffer3.5監測網絡

3、用MAC掃描器找出主機IP地址

4、根據IP地址找到電腦，格式化，重裝系統。

5、OVER

建議：

對整個網絡做IP-MAC綁定。發貼者dengguo時間：HYPERLINK\o"permanentlink"下午6:28HYPERLINK0評論標簽：HYPERLINK局域網ARP欺騙HYPERLINK徹底解決局域網ARP攻擊一般ARP攻擊的對治方法

現在最常用的根本對治方法是“ARP雙向綁定〞。

由于ARP攻擊往往不是病毒造成的，而是合法運行的程序（外掛、網頁）造成的，所殺毒軟件多數時候束手無策。

所謂“雙向綁定〞，就是再路由器上綁定ARP表的同時，在每臺電腦上也綁定一些常用的ARP表項。

“ARP雙向綁定〞能夠防御輕微的、手段不高明的ARP攻擊。ARP攻擊程序如果沒有試圖去更改綁定的ARP表項，那么ARP攻擊就不會成功；如果攻擊手段不劇烈，也欺騙不了路由器，這樣我們就能夠防住50％ARP攻擊。

但是現在ARP攻擊的程序往往都是合法運行的，所以能夠合法的更改電腦的ARP表項。在現在ARP雙向綁定流行起來之后，攻擊程序的作者也提高了攻擊手段，攻擊的方法更綜合，另外攻擊非常頻密，僅僅進行雙向綁定已經不能夠應付兇狠的ARP攻擊了，仍然很容易出現掉線。

于是我們在路由器中參加了“ARP攻擊主動防御〞的功能。這個功能是在路由器ARP綁定的基礎上實現的，原理是：當網內受到錯誤的ARP播送包攻擊時，路由器立即播送正確的ARP包去修正和消除攻擊包的影響。這樣我們就解決了掉線的問題，但是在最兇悍的ARP攻擊發生時，仍然發生了問題當ARP攻擊很頻密的時候，就需要路由器發送更頻密的正確包去消除影響。雖然不掉線了，但是卻出現了上網“卡〞的問題。

所以，我們認為，依靠路由器實現“ARP攻擊主動防御〞，也只能夠解決80％的問題。

為了徹底消除ARP攻擊，我們在此基礎上有增加了“ARP攻擊源攻擊跟蹤〞的功能。對于剩下的強悍的ARP攻擊，我采用“日志〞功能，提供信息方便用戶跟蹤攻擊源，這樣用戶通過臨時切斷攻擊電腦或者封殺發出攻擊的程序，能夠解決問題。

徹底解決ARP攻擊

事實上，由于路由器是整個局域網的出口，而ARP攻擊是以整個局域網為目標，當ARP攻擊包已經到達路由器的時候，影響已經照成。所以由路由器來承當防御ARP攻擊的任務只是權宜之計，并不能很好的解決問題。

我們要真正消除ARP攻擊的隱患，安枕無憂，必須轉而對“局域網核心〞――交換機下手。由于任何ARP包，都必須經由交換機轉發，才能到達被攻擊目標，只要交換機據收非法的ARP包，哪么ARP攻擊就不能造成任何影響。

我們提出一個真正嚴密的防止ARP攻擊的方案，就是在每臺接入交換機上面實現ARP綁定，并且過濾掉所有非法的ARP包。這樣可以讓ARP攻擊足不能出戶，在局域網內完全消除了ARP攻擊。

因為需要每臺交換機都具有ARP綁定和相關的平安功能，這樣的方案無疑價格是昂貴的，所以我們提供了一個折衷方案。

經濟方案

我們只是中心采用能夠大量綁定ARP和進行ARP攻擊防御的交換機――Netcore7324NSW，這款交換機能夠做到ARP綁定條目可以到達1000條，因此根本上可以對整網的ARP進行綁定，同時能杜絕任何非法ARP包在主交換機進行傳播。

這樣如果在強力的ARP攻擊下，我們觀察到的現象是：ARP攻擊只能影響到同一個分支交換機上的電腦，這樣可能被攻擊到的范圍就大大縮小了。當攻擊發生時，不可能造成整個網絡的問題。

在此基礎上，我們再補充“日志〞功能和“ARP主動防御〞功能，ARP攻擊也可以被完美的解決。

ARP攻擊最新動態

最近一段時間，各網吧發現的ARP攻擊已經升級，又一波ARP攻擊的高潮來臨。

這次ARP攻擊發現的特征有：

1、速度快、效率高，大概在10－20秒的時間內，能夠造成300臺規模的電腦掉線。

2、不易發現。在攻擊完成后，立即停止攻擊并更正ARP信息。如果網內沒有日志功能，再去通過ARP命令觀察，已經很難發現攻擊痕跡。

3、能夠破解最新的XP和2000的ARP補丁，微軟提供的補丁很明顯在這次攻擊很脆弱，沒有作用。

4、介質變化，這次攻擊的來源來自私服程序本身（不是外掛）和P2P程序。發貼者dengguo時間：HYPERLINK\o"permanentlink"下午6:25HYPERLINK0評論標簽：HYPERLINKARP協議,HYPERLINKARP文章,HYPERLINKARP欺騙HYPERLINK局域網arp地址欺騙解決方法【故障原因】

局域網內有人使用ARP欺騙的木馬程序（比方：魔獸世界，天堂，勁舞團等盜號的軟件，某些外掛中也被惡意加載了此程序）。

【故障原理】

要了解故障原理，我們先來了解一下ARP協議。

在局域網中，通過ARP協議來完成IP地址轉換為第二層物理地址（即MAC地址）的。ARP協議對網絡平安具有重要的意義。通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞。

ARP協議是“AddressResolutionProtocol〞（地址解析協議）的縮寫。在局域網中，網絡中實際傳輸的是“幀〞，幀里面是有目標主機的MAC地址的。在以太網中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢？它就是通過地址解析協議獲得的。所謂“地址解析〞就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。ARP協議的根本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的順利進行。

每臺安裝有TCP/IP協議的電腦里都有一個ARP緩存表，表里的IP地址與MAC地址是一一對應的，如下所示。

主機IP地址MAC地址Aaa-aa-aa-aa-aa-aa

Bbb-bb-bb-bb-bb-bb

Ccc-cc-cc-cc-cc-cc

Ddd-dd-dd-dd-dd-dd我們以主機A（）向主機B（）發送數據為例。當發送數據時，主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了，也就知道了目標MAC地址，直接把目標MAC地址寫入幀里面發送就可以了；如果在ARP緩存表中沒有找到相對應的IP地址，主機A就會在網絡上發送一個播送，目標MAC地址是“FF.FF.FF.FF.FF.FF〞，這表示向同一網段內的所有主機發出這樣的詢問：“的MAC地址是什么？〞網絡上其他主機并不響應ARP詢問，只有主機B接收到這個幀時，才向主機A做出這樣的回應：“的MAC地址是bb-bb-bb-bb-bb-bb〞。這樣，主機A就知道了主機B的MAC地址，它就可以向主機B發送信息了。同時它還更新了自己的ARP緩存表，下次再向主機B發送信息時，直接從ARP緩存表里查找就可以了。ARP緩存表采用了老化機制，在一段時間內如果表中的某一行沒有使用，就會被刪除，這樣可以大大減少ARP緩存表的長度，加快查詢速度。

從上面可以看出，ARP協議的基礎就是信任局域網內所有的人，那么就很容易實現在以太網上的ARP欺騙。對目標A進行欺騙，A去Ping主機C卻發送到了DD-DD-DD-DD-DD-DD這個地址上。如果進行欺騙的時候，把C的MAC地址騙為DD-DD-DD-DD-DD-DD，于是A發送到C上的數據包都變成發送給D的了。這不正好是D能夠接收到A發送的數據包了么，嗅探成功。

A對這個變化一點都沒有意識到，但是接下來的事情就讓A產生了疑心。因為A和C連接不上了。D對接收到A發送給C的數據包可沒有轉交給C。

做“maninthemiddle〞，進行ARP重定向。翻開D的IP轉發功能，A發送過來的數據包，轉發給C，好比一個路由器一樣。不過，假設D發送ICMP重定向的話就中斷了整個方案。

D直接進行整個包的修改轉發，捕獲到A發送給C的數據包，全部進行修改后再轉發給C，而C接收到的數據包完全認為是從A發送來的。不過，C發送的數據包又直接傳遞給A，倘若再次進行對C的ARP欺騙。現在D就完全成為A與C的中間橋梁了，對于A和C之間的通訊就可以了如指掌了。

【故障現象】

當局域網內某臺主機運行ARP欺騙的木馬程序時，會欺騙局域網內所有主機和路由器，讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過路由器上網現在轉由通過病毒主機上網，切換的時候用戶會斷一次線。

切換到病毒主機上網后，如果用戶已經登陸了效勞器，那么病毒主機就會經常偽造斷線的假像，那么用戶就得重新登錄效勞器，這樣病毒主機就可以盜號了。

由于ARP欺騙的木馬程序發作的時候會發出大量的數據包導致局域網通訊擁塞以及其自身處理能力的限制，用戶會感覺上網速度越來越慢。當ARP欺騙的木馬程序停止運行時，用戶會恢復從路由器上網，切換過程中用戶會再斷一次線。

【HiPER用戶快速發現ARP欺騙木馬】

在路由器的“系統歷史記錄〞中看到大量如下的信息（440以后的路由器軟件版本中才有此提示）：MACChged24

MACOld00:01:6c:36:d1:7f

MACNew00:05:5d:60:c7:18這個消息代表了用戶的MAC地址發生了變化，在ARP欺騙木馬開始運行的時候，局域網所有主機的MAC地址更新為病毒主機的MAC地址（即所有信息的MACNew地址都一致為病毒主機的MAC地址），同時在路由器的“用戶統計〞中看到所有用戶的MAC地址信息都一樣。

如果是在路由器的“系統歷史記錄〞中看到大量MACOld地址都一致，則說明局域網內曾經出現過ARP欺騙（ARP欺騙的木馬程序停止運行時，主機在路由器上恢復其真實的MAC地址）。

【在局域網內查找病毒主機】

在上面我們已經知道了使用ARP欺騙木馬的主機的MAC地址，那么我們就可以使用NBTSCAN工具來快速查找它。

NBTSCAN可以取到PC的真實IP地址和MAC地址，如果有〞ARP攻擊〞在做怪，可以找到裝有ARP攻擊的PC的IP/和MAC地址。

命令：“nbtscan-r/24〞（搜索整個/24網段,即-54）；或“nbtscan5-137〞搜索5-137網段，即5-37。輸出結果第一列是IP地址，最后一列是MAC地址。

NBTSCAN的使用范例：

假設查找一臺MAC地址為“000d870d585f〞的病毒主機。

1）將壓縮包中的nbtscan.exe和cygwin1.dll解壓縮放到c:下。

2）在Windows開始—運行—翻開，輸入cmd（windows98輸入“command〞），在出現的DOS窗口中輸入：C:btscan-r/24（這里需要根據用戶實際網段輸入），回車。

3）通過查詢IP--MAC對應表，查出“000d870d585f〞的病毒主機的IP地址為“23〞。

【解決思路】

1、不要把你的網絡平安信任關系建立在IP基礎上或MAC基礎上，（rarp同樣存在欺騙的問題），理想的關系應該建立在IP+MAC基礎上。

2、設置靜態的MAC-->IP對應表，不要讓主機刷新你設定好的轉換表。

3、除非很有必要，否則停止使用ARP，將ARP做為永久條目保存在對應表中。

4、使用ARP效勞器。通過該效勞器查找自己的ARP轉換表來響應其他機器的ARP播送。確保這臺ARP效勞器不被黑。

5、使用"proxy"代理IP的傳輸。

6、使用硬件屏蔽主機。設置好你的路由，確保IP地址能到達合法的路徑。（靜態配置路由ARP條目），注意，使用交換集線器和網橋無法阻止ARP欺騙。

7、管理員定期用響應的IP包中獲得一個rarp請求，然后檢查ARP響應的真實性。

8、管理員定期輪詢，檢查主機上的ARP緩存。

9、使用防火墻連續監控網絡。注意有使用SNMP的情況下，ARP的欺騙有可能導致陷阱包喪失。

【HiPER用戶的解決方案】

建議用戶采用雙向綁定的方法解決并且防止ARP欺騙。

1、在PC上綁定路由器的IP和MAC地址：

1）首先，獲得路由器的內網的MAC地址（例如HiPER網關地址54的MAC地址為0022aa0022aa）。

2）編寫一個批處理文件rarp.bat內容如下：@echooff

arp-d

arp-s5400-22-aa-00-22-aa將文件中的網關IP地址和MAC地址更改為您自己的網關IP地址和MAC地址即可。

將這個批處理軟件拖到“windows--開始--程序--啟動〞中。

3）如果是網吧，可以利用收費軟件效勞端程序（pubwin或者萬象都可以）發送批處理文件rarp.bat到所有客戶機的啟動目錄。Windows2000的默認啟動目錄為“C:\DocumentsandSettingsAllUsers「開始」菜單程序啟動〞。

2、在路由器上綁定用戶主機的IP和MAC地址（440以后的路由器軟件版本支持）：

在HiPER管理界面--高級配置--用戶管理中將局域網每臺主機均作綁定。發貼者dengguo時間：HYPERLINK\o"permanentlink"下午6:25HYPERLINK0評論標簽：HYPERLINKARP欺騙,HYPERLINKARP欺騙攻擊,HYPERLINKARP緩存HYPERLINK局域網受到ARP欺騙攻擊的解決方法【故障現象】當局域網內某臺主機運行ARP欺騙的木馬程序時，會欺騙局域網內所有主機和平安網關，讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過平安網關上網現在轉由通過病毒主機上網，切換的時候用戶會斷一次線。切換到病毒主機上網后，如果用戶已經登陸了傳奇效勞器，那么病毒主機就會經常偽造斷線的假像，那么用戶就得重新登錄傳奇效勞器，這樣病毒主機就可以盜號了。由于ARP欺騙的木馬程序發作的時候會發出大量的數據包導致局域網通訊擁塞以及其自身處理能力的限制，用戶會感覺上網速度越來越慢。當ARP欺騙的木馬程序停止運行時，用戶會恢復從平安網關上網，切換過程中用戶會再斷一次線。【快速查找】在WebUIà系統狀態à系統信息à系統歷史記錄中，看到大量如下的信息:MACSPOOF00MACOld00:01:6c:36:d1:7fMACNew00:05:5d:60:c7:18這個消息代表了用戶的MAC地址發生了變化，在ARP欺騙木馬開始運行的時候，局域網所有主機的MAC地址更新為病毒主機的MAC地址(即所有信息的MACNew地址都一致為病毒主機的MAC地址)。同時在平安網關的WebUIà高級配置à用戶管理à讀ARP表中看到所有用戶的MAC地址信息都一樣，或者在WebUIà系統狀態à用戶統計中看到所有用戶的MAC地址信息都一樣。如果是在WebUIà系統狀態à系統信息à系統歷史記錄中看到大量MACOld地址都一致，則說明局域網內曾經出現過ARP欺騙(ARP欺騙的木馬程序停止運行時，主機在平安網關上恢復其真實的MAC地址)。在上面我們已經知道了使用ARP欺騙木馬的主機的MAC地址，那么我們就可以使用NBTSCAN(下載地址:)工具來快速查找它。NBTSCAN可以取到PC的真實IP地址和MAC地址，如果有〞傳奇木馬〞在做怪，可以找到裝有木馬的PC的IP/和MAC地址。命令:“nbtscan-r/24〞(搜索整個/24網段,即-54);或“nbtscan5-137〞搜索5-137網段，即5-37。輸出結果第一列是IP地址，最后一列是MAC地址。NBTSCAN的使用范例:假設查找一臺MAC地址為“000d870d585f〞的病毒主機。1)將壓縮包中的nbtscan.exe和cygwin1.dll解壓縮放到c:\下。2)在Windows開始à運行à翻開，輸入cmd(windows98輸入“command〞)，在出現的DOS窗口中輸入:C:\nbtscan-r/24(這里需要根據用戶實際網段輸入)，回車。3)通過查詢IP--MAC對應表，查出“000d870d585f〞的病毒主機的IP地址為“23〞。【解決方法】采用雙向綁定的方法解決并且防止ARP欺騙。1、在PC上綁定平安網關的IP和MAC地址：1）首先，獲得平安網關的內網的MAC地址（例如HiPER網關地址54的MAC地址為0022aa0022aa）。2）編寫一個批處理文件rarp.bat內容如下：@echooffarp-darp-s5400-22-aa-00-22-aa將文件中的網關IP地址和MAC地址更改為實際使用的網關IP地址和MAC地址即可。將這個批處理軟件拖到“windowsà開始à程序à啟動〞中。3）如果是網吧，可以利用收費軟件效勞端程序（pubwin或者萬象都可以）發送批處理文件rarp.bat到所有客戶機的啟動目錄。Windows2000的默認啟動目錄為“C:\DocumentsandSettings\AllUsers「開始」菜單程序啟動〞。2、在平安網關上綁定用戶主機的IP和MAC地址：在WebUIà高級配置à用戶管理中將局域網每臺主機均作綁定。發貼者dengguo時間：HYPERLINK\o"permanentlink"下午6:24HYPERLINK0評論標簽：HYPERLINKARP欺騙,HYPERLINK防范ARP攻擊HYPERLINK局域網ARP欺騙的應對一、故障現象及原因分析

情況一、當局域網內某臺主機感染了ARP病毒時，會向本局域網內（指某一網段，比方：這一段）所有主機發送ARP欺騙攻擊謊稱自己是這個網端的網關設備，讓原本流向網關的流量改道流向病毒主機，造成受害者正常上網。

情況二、局域網內有某些用戶使用了ARP欺騙程序（如：網絡執法官,QQ盜號軟件等）發送ARP欺騙數據包，致使被攻擊的電腦出現突然不能上網，過一段時間又能上網，反復掉線的現象。

關于APR欺騙的具體原理請看我收集的資料ARP欺騙的原理

二、故障診斷

如果用戶發現以上疑似情況，可以通過如下操作進行診斷：

點擊“開始〞按鈕->選擇“運行〞->輸入“arp–d〞->點擊“確定〞按鈕，然后重新嘗試上網，如果能恢復正常，則說明此次掉線可能是受ARP欺騙所致。

注：arp-d命令用于去除并重建本機arp表。arp–d命令并不能抵御ARP欺騙，執行后仍有可能再次遭受ARP攻擊。

三、故障處理

1、中毒者：建議使用趨勢科技SysClean工具或其他殺毒軟件去除病毒。

2、被害者：(1)綁定網關mac地址。具體方法如下：

1）首先，獲得路由器的內網的MAC地址（例如網關地址54的MAC地址為0022aa0022aa）。2）編寫一個批處理文件AntiArp.bat內容如下：@echooffarp-darp-s5400-22-aa-00-22-aa將文件中的網關IP地址和MAC地址更改為您自己的網關IP地址和MAC地址即可，計算機重新啟動后需要重新進行綁定，因此我們可以將該批處理文件AntiArp.bat文件拖到“windows--開始--程序--啟動〞中。這樣開機時這個批處理就被執行了。

(2)使用ARP防火墻(例如AntiArp)軟件抵御ARP攻擊。

AntiArp軟件會在提示框內出現病毒主機的MAC地址

四，找出ARP病毒源

第一招：使用Sniffer抓包

在網絡內任意一臺主機上運行抓包軟件，捕獲所有到達本機的數據包。如果發現有某個IP不斷發送

ARPRequest請求包，那么這臺電腦一般就是病毒源。原理：無論何種ARP病毒變種，行為方式有兩種，一是欺騙網關，二是欺騙網內的所有主機。最終的結果是，在網關的ARP緩存表中，網內所有活動主機的MAC地址均為中毒主機的MAC地址；網內所有主機的ARP緩存表中，網關的MAC地址也成為中毒主機的MAC地址。前者保證了從網關到網內主機的數據包被發到中毒主機，后者相反，使得主機發往網關的數據包均發送到中毒主機。

第二招：使用arp-a命令任意選兩臺不能上網的主機，在DOS命令窗口下運行arp-a命令。例如在結果中，兩臺電腦除了網關的IP，MAC地址對應項，都包含了86的這個IP，則可以斷定86這臺主機就是病毒源。原理：一般情況下，網內的主機只和網關通信。正常情況下，一臺主機的ARP緩存中應該只有網關的MAC地址。如果有其他主機的MAC地址，說明本地主機和這臺主機最后有過數據通信發生。如果某臺主機（例如上面的86）既不是網關也不是效勞器，但和網內的其他主機都有通信活動，且此時又是ARP病毒發作時期，那么，病毒源也就是它了。

第三招：使用tracert命令在任意一臺受影響的主機上，在DOS命令窗口下運行如下命令：tracert48。假定設置的缺省網關為，在跟蹤一個外網地址時，第一跳卻是86，那么，86就是病毒源。原理：中毒主機在受影響主機和網關之間