痛定思痛 高手教你做ARP雙向綁定

2008年對(duì)于反病毒戰(zhàn)線來說， 絕對(duì)不是個(gè)安寧的一年， 網(wǎng)絡(luò)病毒的大規(guī)模發(fā)作， 給全國(guó)的網(wǎng)民帶來的， 絕不僅僅是中毒后重做系統(tǒng)這么簡(jiǎn)單， 重要數(shù)據(jù)丟失， 網(wǎng)上銀行被竊， 網(wǎng)游帳號(hào)裝備被偷等等， 網(wǎng)絡(luò)病毒的危害性， 已經(jīng)遠(yuǎn)遠(yuǎn)超過了人們的想象， 而做為絕大多數(shù)網(wǎng)民的上網(wǎng)場(chǎng)所， 網(wǎng)吧以及企業(yè)的局域網(wǎng)絡(luò)， 則首當(dāng)其沖成為了網(wǎng)絡(luò)病毒的重災(zāi)區(qū)。

網(wǎng)絡(luò)病毒之所以能以驚人的速度傳播， 是因?yàn)樗鼈兌加袠O強(qiáng)的利用漏洞攻擊網(wǎng)絡(luò)上其他機(jī)器的能力， 而局域網(wǎng)ARP漏洞攻擊， 則是目前暴發(fā)流行的各種網(wǎng)絡(luò)病毒最常用的招數(shù)， 包括目前正在大規(guī)模暴發(fā)的“機(jī)器狗”， 也正是利用ARP漏洞在局域網(wǎng)中傳染開去。

ARP（Address Resolution Protocol）又被稱為地址轉(zhuǎn)換協(xié)議， 是用來實(shí)現(xiàn) IP 地址與本地網(wǎng)絡(luò)認(rèn)識(shí)的物理地址（以太網(wǎng) MAC 地址）之間的映射。 在以太網(wǎng)絡(luò)中有一張表格， 通常稱為 ARP 緩沖（ARP cache）， 來維持每個(gè) MAC 地址與其相應(yīng)的 IP 地址之間的對(duì)應(yīng)關(guān)系。 ARP 提供一種形成該對(duì)應(yīng)關(guān)系的規(guī)則以及提供雙向地址轉(zhuǎn)換。 ARP協(xié)議很像一個(gè)思想不堅(jiān)定容易被騙的人， 就像一個(gè)快遞員， 要送信給"張三"， 只在馬路上問"張三住那兒？"， 并投遞給最近和他說"我就是！"或"張三住那間！"， 來決定如何投遞一樣。 在一個(gè)人人誠實(shí)的地方， 快遞員的工作還是能正常進(jìn)行；但若是旁人看快遞物品值錢， 想要欺騙取得的話， 快遞員這種工作方式就會(huì)帶來混亂了。

常見ARP攻擊對(duì)象有兩種， 一是網(wǎng)絡(luò)網(wǎng)關(guān)， 二是局域網(wǎng)上的計(jì)算機(jī)。 攻擊網(wǎng)絡(luò)網(wǎng)關(guān)就好比發(fā)送錯(cuò)誤的地址信息給快遞員， 讓快遞員失去正確目標(biāo)， 所有信件無法正常送達(dá)；而攻擊一般計(jì)算機(jī)就是直接和人謊稱自己就是快遞員， 讓用戶把需要傳送的物品傳送給發(fā)動(dòng)攻擊的計(jì)算機(jī)。 由于一般的計(jì)算機(jī)及路由器的ARP協(xié)議的意志都不堅(jiān)定， 因此只要有惡意計(jì)算機(jī)在局域網(wǎng)持續(xù)發(fā)出錯(cuò)誤的ARP訊息， 就會(huì)讓計(jì)算機(jī)及路由器信以為真， 作出錯(cuò)誤的傳送網(wǎng)絡(luò)包動(dòng)作。 一般的ARP欺騙攻擊就是以這樣的方式， 造成網(wǎng)絡(luò)運(yùn)作不正常， 達(dá)到盜取用戶密碼或破壞網(wǎng)絡(luò)運(yùn)作的目的。 而要從根本上徹底解決這種欺騙攻擊， 唯一的辦法就是對(duì)局域網(wǎng)中的每臺(tái)機(jī)器包括網(wǎng)關(guān)在內(nèi)進(jìn)行ARP地址雙向綁定。

首先說網(wǎng)關(guān)的綁定， 這個(gè)比較簡(jiǎn)單， 一般的網(wǎng)關(guān)路由器或者代理軟件均有ARP綁定功能， 以筆者使用的路由器為例， 綁定的界面簡(jiǎn)單直觀

選擇靜態(tài)ARP綁定設(shè)置后出現(xiàn)表單

在此填入需要綁定的IP地址和MAC地址， 然后保存即可。

若需要對(duì)成批的地址進(jìn)行綁定， 也可以選擇ARP映射表， 會(huì)列出局域網(wǎng)中所有正在使用的機(jī)器的IP和MAC， 方便我們成批的添加綁定

點(diǎn)取“全部導(dǎo)入”， 然后切換回“靜態(tài)地址綁定”頁面， 將要綁定的地址勾中即可

在此特別提請(qǐng)注意的是：網(wǎng)關(guān)自己的IP和MAC地址也需要在這里做好綁定。

至此網(wǎng)關(guān)部分的ARP綁定工作已經(jīng)完成， 然而只在網(wǎng)關(guān)做綁定， 防護(hù)是不完整的， 我們還需要對(duì)局域網(wǎng)中的每一臺(tái)客戶機(jī)進(jìn)行單獨(dú)的綁定。

客戶機(jī)的綁定工作分成兩部分， 一部分是綁定網(wǎng)關(guān)， 另一部分是綁定自己。

綁定網(wǎng)關(guān)的操作比較簡(jiǎn)單， 以WINXP為例， 綁定的命令是：

Arp –s (ip) (mac)

比如：arp –s 192.168.0.1 00-14-2A-5F-99-E1

192.168.0.1 為網(wǎng)關(guān)路由器的IP地址， 00-14-2A-5F-99-E1 為路由器的MAC地址。

建議將這條命令做成批處理放在啟動(dòng)組里， 方便系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行。

接下來需要綁定的是客戶機(jī)自己的IP和MAC， 從原理上講和綁定路由器是一樣的操作， 不過考慮到局域網(wǎng)中的客戶機(jī)一般很多， 要一臺(tái)一臺(tái)的查IP和MAC工作量很繁重， 所以我們利用一個(gè)批處理來自動(dòng)完成對(duì)每一臺(tái)客戶機(jī)的綁定：

@echo off

if exist ipconfig.txt del ipconfig.txt

ipconfig /all >ipconfig.txt

if exist phyaddr.txt del phyaddr.txt

find "Physical Address" ipconfig.txt >phyaddr.txt

for /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M

if exist IPAddr.txt del IPaddr.txt

find "IP Address" ipconfig.txt >IPAddr.txt

for /f "skip=2 tokens=15" %%I in (IPAddr.txt) do set IP=%%I

arp -s %IP% %Mac%

del ipaddr.txt

del ipconfig.txt

del phyaddr.txt

exit

同樣也建議將這個(gè)批處理放在系統(tǒng)的啟動(dòng)組里， 方便系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行。

接下來可以檢查下我們的工作成果， 在CMD命令行下打 arp –a ， 提示如下：

Internet Address Physical Address Type

192.168.0.1 00-14-2A-5F-99-E1 static

192.168.0.9 00-0a-eb-4e-6f-67 static

綁定狀態(tài)為“STATIC”說明綁定成功為靜態(tài)， 至此大功告成！

其實(shí)網(wǎng)絡(luò)病毒并不可怕， 只要我們做好防護(hù)工作， 打好系統(tǒng)補(bǔ)丁， 即使有一天“狼”真的來了， 我們也能將它拒之門外， 確保一方網(wǎng)絡(luò)平安。