ARP攻擊與瀏覽器挾持的處理

所有網(wǎng)頁(yè)都會(huì)被加上一段惡意代碼， 發(fā)現(xiàn)這應(yīng)該是局域網(wǎng)中某臺(tái)機(jī)器中毒造成的ARP攻擊， 下面就讓我們看一下ARP攻擊和瀏覽器挾持的解決辦法。

　　ARP攻擊之導(dǎo)致瞬間掉線和大面積斷網(wǎng)的罪魁禍?zhǔn)?/p>

　　在局域網(wǎng)中， 通過(guò)ARP協(xié)議來(lái)進(jìn)行IP地址(第三層)與第二層物理地址(即MAC地址)的相互轉(zhuǎn)換。 網(wǎng)吧中的一些設(shè)備如路由器、裝有TCP/IP協(xié)議的電腦等都提供ARP緩存表， 以提高通信速度。 目前很多帶有ARP欺騙功能的攻擊軟件都是利用ARP協(xié)議的這個(gè)特點(diǎn)來(lái)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行攻擊， 通過(guò)偽造的MAC與局域網(wǎng)內(nèi)的IP地址對(duì)應(yīng)， 并修改路由器或電腦的ARP緩存表， 使得具有合法MAC的電腦無(wú)法與IP對(duì)應(yīng)， 從而無(wú)法通過(guò)路由器上網(wǎng)。

　　在掉線重啟路由器后， ARP緩存表會(huì)刷新， 網(wǎng)絡(luò)會(huì)在短時(shí)間內(nèi)恢復(fù)正常， 待ARP攻擊啟動(dòng)后， 又出現(xiàn)斷網(wǎng)現(xiàn)象， 如此反復(fù)， 很容易被誤斷為路由器“死機(jī)”， 從而使得網(wǎng)吧網(wǎng)管員無(wú)法及時(shí)采取行動(dòng)迅速恢復(fù)網(wǎng)吧的正常營(yíng)運(yùn)。 說(shuō)白一點(diǎn)， 就是你要訪問(wèn)網(wǎng)絡(luò)的時(shí)候需要通過(guò)一個(gè)服務(wù)器， 但是中毒的主機(jī)， 就會(huì)在中間截住服務(wù)器發(fā)給你的數(shù)據(jù)包， 并在中間加上他的內(nèi)容以后再發(fā)給你。 這樣， 你要看的網(wǎng)頁(yè)就會(huì)多出來(lái)一段代碼。 ARP工具下載：www.arpun.com

　　如果是你是單機(jī)上網(wǎng)， 那么殺一下毒就可以了。 如果是局域網(wǎng)上網(wǎng)， 那么下面的就是解決辦法：

　　路由器端， 將客戶機(jī)的MAC地址和IP地址一一綁定， 沒(méi)有被綁定的電腦就上不了網(wǎng)， 因?yàn)橹卸镜闹鳈C(jī)要想用ARP攻擊， 就得不斷變化自己的MAC地址來(lái)截取和發(fā)送數(shù)據(jù)包。 做完這一步基本上已經(jīng)能解決問(wèn)題了。 下面這轉(zhuǎn)載的這個(gè)問(wèn)題的一些延升。

　　另外， 在局域網(wǎng)中， 一般只有兩類設(shè)備帶有ARP緩存， 一類是路由器， 另一類是上網(wǎng)電腦， 也只有這兩類設(shè)備最容易受到ARP攻擊。 如同路由器受到ARP攻擊時(shí)數(shù)據(jù)包不能到達(dá)電腦一樣， 上網(wǎng)電腦受到ARP攻擊時(shí)， 數(shù)據(jù)包也不會(huì)發(fā)送到路由器上， 而是發(fā)送到一個(gè)錯(cuò)誤的地方， 當(dāng)然也就無(wú)法通過(guò)路由器上網(wǎng)了。 因此， 網(wǎng)吧要對(duì)付ARP攻擊， 除對(duì)路由器進(jìn)行IP與MAC綁定以外， 在電腦上進(jìn)行IP與MAC綁定也必不可少。

　　ARP攻擊之路由器進(jìn)行的IP與MAC綁定

　　對(duì)路由器進(jìn)行的IP與MAC綁定前面已經(jīng)介紹過(guò)， 在電腦上進(jìn)行IP與MAC綁定該如何操作呢?其實(shí)微軟的操作系統(tǒng)中都帶有ARP這一命令行程序， 在電腦的Windows命令行界面中輸入“arp　-s +路由器IP如192.168.1.1+路由器LAN口MAC地址”就可以將的路由器IP和MAC綁定到電腦的ARP表中。 若通過(guò)Windows命令行界面中輸入ARP命令來(lái)綁定IP與MAC， 電腦每次在重啟后都需要先輸入ARP命令， 還有更簡(jiǎn)單的辦法， 可以讓電腦每次啟動(dòng)時(shí)， 自動(dòng)將路由器的IP與MAC綁定到電腦的ARP表中：

　　第一步：新建一個(gè)批處理文件如static_arp.bat， 注意后綴名為bat。 編輯它， 在里面加入ARP命令， 并保存。

　　要得到路由器的LAN口MAC地址， 可以查看路由器的界面中的“LAN運(yùn)行狀態(tài)”。

　　第二步：將建立好的批處理文件static_arp.bat拷貝到系統(tǒng)的啟動(dòng)目錄中。 電腦每次啟動(dòng)時(shí)將自動(dòng)運(yùn)行該文件， 自動(dòng)綁定IP與MAC。

　　第三步：將static_arp.bat文件拷貝到網(wǎng)吧內(nèi)所有電腦的系統(tǒng)啟動(dòng)目錄中。

　　至此， 網(wǎng)吧中的所有電腦都將路由器的IP與MAC綁定到ARP表中， 無(wú)需再擔(dān)心因ARP攻擊而無(wú)法上網(wǎng)。

　　特別提示：當(dāng)使用了ARP防范功能(IP和MAC綁定功能)后， 電腦應(yīng)使用固定IP， 而不要使用動(dòng)態(tài)IP(通過(guò)DHCP自動(dòng)獲取IP)， 因?yàn)槿羰褂脛?dòng)態(tài)IP， 電腦每次啟動(dòng)時(shí)所獲得的IP可能不一樣， 從而可能造成與路由器中保存的IP與MAC綁定條目不一致， 這樣電腦將無(wú)法上網(wǎng)。

　　不過(guò)上面的是治標(biāo)不治本的方法。 要治本的話,就要去機(jī)房看看了,看交換機(jī)上哪能個(gè)電腦的流量最大,燈狂閃,把他撥了,再上網(wǎng)試,這時(shí)候如果發(fā)現(xiàn)所有電腦都上不了網(wǎng)了,或是連路由器也PING不通了,那么恭喜你,你找到這個(gè)主機(jī)了,把路由器重啟一下,再去專門(mén)整那個(gè)中毒的機(jī)器吧,沒(méi)把病毒清理干凈前,不要讓這個(gè)機(jī)器接入局域網(wǎng)。

　　ARP攻擊和瀏覽器挾持的解決辦法就為大家介紹完了， 希望大家已經(jīng)掌握了。