ARP详解三

sdgmzsg

ARP欺骗的控制方法 1、主机静态绑定网关MAC
方法--使用arp命令静态绑定网关MAC，格式如下：
arp －s 网关IP 网关MAC
如果觉得每次手动输入比较复杂，您可以编写一个简单的批处理文件然后让它每次开机时自动运行，
批处理文件如下：
-----------------------------------
@echo off
echo 'arp set'
arp -d
arp －s 网关IP 网关MAC
exit
------------------------------------
优点--简单易行，普通用户都能操作
缺点--只能单向绑定。需要跟网关绑定MAC结合使用。
2、网关使用IP+MAC绑定模式
方法--交换机启用静态ARP绑定功能，将用户的IP与MAC进行静态绑定，防止ARP欺骗发生。
优点--效果明显
缺点--操作复杂，工作量巨大。无法保证主机端不被欺骗，需要与主机端绑定网关MAC结合使用。
3、使用ARP服务器
方法--在局域网内架设ARP服务器，替代主机应答ARP包。
优点--效果明显
缺点--配置复杂，需要改变客户端设置。成本高，需要大量的服务器。
4、使用防ARP攻击的软件
方法--下载和使用防ARP攻击的软件，如ARPFix或者是AntiARP等。
优点--简单易行
缺点--需要用户端都安装，无法保证网关不被欺骗。
总结：因为ARP欺骗利用的是ARP协议本身的缺陷，所以到目前为止，我们依然没有一个十分有效
的方法去控制这种攻击。目前难点主要集中在网关交换机上，我们还没有找到一个很有效
的方法来防范网关上的ARP列表不被欺骗修改。所以当前最有效的办法还是迅速阻断这种攻击的来源。
这就要求能够快速检测到攻击并定位出攻击主机位置后加以处理。

5、防范ARP欺骗的常用工具
ARP防火墙--ARPFix
这是我们CCERT为了解决ARP病毒所开发的一个小防火墙软件，当它被安装在正常主机上时，它能有效地防范自身被ARP欺骗并能检测出感染主机的MAC地址，如果它被安装在感染主机上时它可以阻断感染主机对外发起的ARP欺骗攻击。需要说明的是这只是一款防火墙软件，它不具备查
杀ARP病毒的能力，如果需要查杀ARP病毒，您还是需要专业杀毒软件。
windump软件--windump
tcpdump软件在windows系统下的版本，简单易用！需要winpcap的支持。
sniffer pro软件--sniffer
windows系统低下功能最强大的抓包分析软件。
趋势的ARP专杀工具--TSC_ARP
趋势提供的最新的ARP专杀工具，解压缩后直接运行TSC.exe即可。
AntiARP软件--AntiArp
网络上比较流行的防范ARP欺骗攻击的软件。软件的下载地址和详细信息请参见:
http://www.antiarp.com/

6、ARP欺骗病毒的最新状况
以往的ARP病毒使用ARP欺骗的目的绝大多数都是为了窃取用户的敏感信息，但是我们最近监测到ARP欺骗在病毒中又得到了新的应用，那就是作为传播网页木马病毒的传播手段，当一台主机感染带有这种ARP欺骗功能的病毒后，会在局域网内发动ARP欺骗，它会监听局域网内所有主机的数据包，一旦发现其它主机有访问WEB网页的行为后，就会通过修改相应的数据封包在你访问的网页代码里加入包含有木马程序的网页链接。从而导致局域网内其它主机不管访问什么网站都会被导引到含有木马病毒的网站上去的。当您访问任何网站您的杀毒软件都在报该网页有毒的话，很可能您的局域网内就存在这种攻击。
参考资料：http://inc.swjtu.edu.cn/articleReader.do?art_id=187

最近老掉线，每次一掉线就是全体断外网，但是局域网内部是通的。
经过几次查证，确定是局域网有APR攻击。
现在有及个问题：
1，那台代理服务器安装了360安全卫士，360自带ARP防火墙防御，但是为什么每次掉线的时候，360ARP防火墙没有任何报警和提示，一条记录也没。
2，关于ARP攻击，如果是局域网内部两台机器间的攻击，（假设那台代理没受攻击）那也会全体断网吗？？？
3，ARP攻击使用什么工具防范最好，网上说360好，开始到现在N次掉线，那个360的ARP防火墙就没有一次报警过！！！然后，关于这个东西，是不是在代理上面装就可以了，还是局域网所有机器都要装360的ARP防火墙？？（因为我个人觉得只要代理服务器能够防御攻击，那么就不至于全体掉线吧）
4，断线的时候，为什么我让大家在自己机器上用ARP -A，然后看网关显示的MAC地址------就是正确的网关MAC啊，也没有没欺骗，更改啊？
5，到底什么方法或工具能够快速查到有毒的那台机器（IP或MAC都可以），因为之前有及次掉线，不管是我个人机器装的瑞星2008防火墙，还是代理服务器上安装的360ARP防火墙，都没有任何反应（在掉线的时候）。公司200多台机器，大家都要上班，说了全部从装系统，装杀毒软件，这个不台现实，毕竟大家都还要办公。。。

急死了，已经好多次了。上次查出一个员工机器有问题（他网线一拔，网络立刻回复正常）之后重装了，但是现在还是会断，一断就是全部上不了外网，所以估计局域网内还是有其他机器有问题。
我手上现在卡巴，瑞星，360都有，真不知道这些用哪个，感觉都没其什么作用。。。

网上那篇关于ARP的文章已经看了N遍，请大家不要复制过来也不要发链接了，请说些实际的吧，谢谢！~
问题补充：回3楼的朋友，确定是ARP攻击，
1，局域网有个员工用的是ANTI-ARP防火墙，他里面记录已经拦截了几十万个ARP冲突包。
2，之前确实360是没任何反应，但是我自己机器上装的瑞星2008防火墙，就经常会有“局域网有IP冲突，请选择一个MAC加入可信任区域”
3，每次断网，一断就是全体上不了外网，但是局域网是完好的，然后我就去那台代理服务器上去看，那台机器当时是PING外网都PING不通，但是只要我先把内网的那块网卡禁用掉（断绝了和内网的链接---这样内网有毒有冲突包暂时也影响不到我），然后把外网的那块网卡再禁用--激活，然后立竿见影---那台服务器就可以PING通外网，可以访问任何网站。
4，有个问题，瑞星2008防火墙可以查到局域网有IP冲突，但是当我把被怀疑的那块硬盘拿下来挂到安装了“2008瑞星杀毒软件”的机器上去查杀，却什么毒也查不出来。。。
就是说瑞星防火墙提示的有问题的那块硬盘那用瑞星去杀，他自己也杀不出来，所以也搞不清除是什么原因。。。

5，关于那个ANTI -ARP。要收费使用总是不台方便，所以就图便宜装了360，结果，从类没有过任何拦截。。。


又加了20分，雪地跪求高手帮忙啊！！！！
提问者： 188MYJ - 助理 二级 最佳答案
防范ARP地址欺骗类病毒