Vista下應(yīng)對網(wǎng)絡(luò)執(zhí)法官及ARP欺騙攻擊

ARP欺騙攻擊方法在很多學(xué)校、公司的內(nèi)部網(wǎng)絡(luò)里面經(jīng)常會被一些不道德的人用它攻擊別人， 讓很多人掉線， 甚至讓整個網(wǎng)絡(luò)都癱瘓。 針對這個問題， 大家可以采取如下的辦法。

介紹一個防火墻：Outpost Firewall。 它可以防護“P2P終結(jié)者”等局域網(wǎng)軟件， 效果超好， 還能查出局域網(wǎng)哪臺機在使用， 功能強大， 占用資源少， 可以評分5個星。

其實， 類似網(wǎng)絡(luò)管理這種軟件都是利用arp欺騙達到目的的。 其原理就是使電腦無法找到網(wǎng)關(guān)的MAC地址。 那么ARP欺騙到底是怎么回事呢？

首先給大家說說什么是ARP。 ARP（Address Resolution Protocol）是地址解析協(xié)議， 是一種將IP地址轉(zhuǎn)化成物理地址的協(xié)議。 從IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。

ARP具體說來就是將網(wǎng)絡(luò)層（IP層， 也就是相當(dāng)于OSI的第三層）地址解析為數(shù)據(jù)連接層（MAC層， 也就是相當(dāng)于OSI的第二層）的MAC地址。

ARP原理：某機器A要向主機B發(fā)送報文， 會查詢本地的ARP緩存表， 找到B的IP地址對應(yīng)的MAC地址后， 就會進行數(shù)據(jù)傳輸。 如果未找到， 則廣播A一個 ARP請求報文（攜帶主機A的IP地址Ia——物理地址Pa）， 請求IP地址為Ib的主機B回答物理地址Pb。 網(wǎng)上所有主機包括B都收到ARP請求， 但只有主機B識別自己的IP地址， 于是向A主機發(fā)回一個ARP響應(yīng)報文。 其中就包含有B的MAC地址， A接收到B的應(yīng)答后， 就會更新本地的ARP緩存。 接著使用這個MAC地址發(fā)送數(shù)據(jù)（由網(wǎng)卡附加MAC地址）。 因此， 本地高速緩存的這個ARP表是本地網(wǎng)絡(luò)流通的基礎(chǔ)， 而且這個緩存是動態(tài)的。

ARP協(xié)議并不只在發(fā)送了ARP請求才接收ARP應(yīng)答。 當(dāng)計算機接收到ARP應(yīng)答數(shù)據(jù)包的時候， 就會對本地的ARP緩存進行更新， 將應(yīng)答中的IP和MAC 地址存儲在ARP緩存中。 因此， 當(dāng)局域網(wǎng)中的某臺機器B向A發(fā)送一個自己偽造的ARP應(yīng)答， 而如果這個應(yīng)答是B冒充C偽造來的， 即IP地址為C的IP， 而 MAC地址是偽造的， 則當(dāng)A接收到B偽造的ARP應(yīng)答后， 就會更新本地的ARP緩存， 這樣在A看來C的IP地址沒有變， 而它的MAC地址已經(jīng)不是原來那個了。 由于局域網(wǎng)的網(wǎng)絡(luò)流通不是根據(jù)IP地址進行， 而是按照MAC地址進行傳輸。 所以， 那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址， 這樣就會造成網(wǎng)絡(luò)不通， 導(dǎo)致A不能Ping通C！這就是一個簡單的ARP欺騙。

解決方法歸納起來有以下方法：

1。 使用VLAN

只要你的PC和P2P終結(jié)者軟件不在同一個VLAN里， 他就拿你沒辦法。

2。 使用雙向IP/MAC綁定

在PC上綁定你的出口路由器的MAC地址， P2P終結(jié)者軟件不能對你進行ARP欺騙， 自然也沒法管你， 不過只是PC綁路由的MAC還不安全， 因為P2P終結(jié)者軟件可以欺騙路由， 所以最好的解決辦法是使用PC， 路由上雙向IP/MAC綁定， 就是說， 在PC上綁定出路路由的MAC地址， 在路由上綁定PC的IP和MAC地址， 這樣要求路由要支持IP/MAC綁定， 比如HIPER路由器。

3。 使用IP/MAC地址盜用+IP/MAC綁定

索性你把自己的MAC地址和IP地址改成和運行P2P終結(jié)者軟件者一樣的IP和MAC， 看他如何管理， 這是一個兩敗俱傷的辦法， 改動中要有一些小技巧， 否則會報IP沖突。 要先改MAC地址， 再改IP， 這樣一來WINDOWS就不報IP沖突了（windows傻吧）））， 做到這一步還沒有完， 最好你在PC上吧路由的MAC地址也綁定， 這樣一來P2P終結(jié)者欺騙路由也白費力氣了。

屏蔽網(wǎng)絡(luò)執(zhí)法官的解決方式

利用Look N Stop防火墻， 防止arp欺騙

1。 阻止網(wǎng)絡(luò)執(zhí)法官控制

網(wǎng)絡(luò)執(zhí)法官是利用的ARp欺騙的來達到控制目的的。

ARP協(xié)議用來解析IP與MAC的對應(yīng)關(guān)系， 所以用下列方法可以實現(xiàn)抗拒網(wǎng)絡(luò)執(zhí)法官的控制。 如果你的機器不準備與局域網(wǎng)中的機器通訊， 那么可以使用下述方法：

A。 在“互聯(lián)網(wǎng)過濾”里面有一條“ARP ： Authorize all ARP packets”規(guī)則， 在這個規(guī)則前面打上禁止標志；

B。 但這個規(guī)則默認會把網(wǎng)關(guān)的信息也禁止了， 處理的辦法是把網(wǎng)關(guān)的MAC地址（通常網(wǎng)關(guān)是固定的）放在這條規(guī)則的“目標”區(qū)， 在“以太網(wǎng)：地址”里選擇“不等于”， 并把網(wǎng)關(guān)的MAC地址填寫在那時；把自己的MAC地址放在“來源”區(qū)， 在“以太網(wǎng)：地址”里選擇“不等于”。

C。 在最后一條“All other packet”里， 修改這條規(guī)則的“目標”區(qū)， 在“以太網(wǎng)：地址”里選擇“不等于”， MAC地址里填FF：FF：FF：FF：FF：FF；把自己的MAC地址放在“來源”區(qū)， 在“以太網(wǎng)：地址”里選擇“不等于”。 其它不改動。

這樣網(wǎng)絡(luò)執(zhí)法官就無能為力了。 此方法適用于不與局域網(wǎng)中其它機器通訊， 且網(wǎng)關(guān)地址是固定的情況下。

如果你的機器需要與局域網(wǎng)中的機器通訊， 僅需要擺脫網(wǎng)絡(luò)執(zhí)法官的控制， 那么下述方法更簡單實用（此方法與防火墻無關(guān)）：

進入命令行狀態(tài)， 運行“ARP －s 網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC”就可以了， 想獲得網(wǎng)關(guān)的MAC， 只要Ping一下網(wǎng)關(guān)， 然后用Arp －a命令查看， 就可以得到網(wǎng)關(guān)的IP與MAC的對應(yīng)。 此方法應(yīng)該更具通用性， 而且當(dāng)網(wǎng)關(guān)地址可變時也很好操作， 重復(fù)一次“ARP －s 網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC”就行了。 此命令作用是建立靜態(tài)的ARP解析表。

另外， 聽說op防火墻也可以阻止， 這個還沒有試過。

防止P2P終結(jié)者的攻擊

1：第一種方法就是修改自己的MAC地址， 下面就是修改方法：

在"開始"菜單的"運行"中輸入regedit， 打開注冊表編輯器， 展開注冊表到：HKEY_LOCAL_MACHINE“System “CurrentControlSet“Control“Class“｛4D36E9E｝子鍵， 在子鍵下的0000， 0001， 0002等分支中查找 DriverDesc（如果你有一塊以上的網(wǎng)卡， 就有0001， 0002。 。 。 。 。 。 在這里保存了有關(guān)你的網(wǎng)卡的信息， 其中的DriverDesc內(nèi)容就是網(wǎng)卡的信息描述， 比如我的網(wǎng)卡是Intel 210 41 based Ethernet Controller）， 在這里假設(shè)你的網(wǎng)卡在0000子鍵。 在0000子鍵下添加一個字符串， 命名為"NetworkAddress"， 鍵值為修改后的MAC地址， 要求為連續(xù)的12個16進制數(shù)。 然后在"0000"子鍵下的NDI“params中新建一項名為NetworkAddress的子鍵， 在該子鍵下添加名為"default"的字符串， 鍵值為修改后的MAC地址。

在NetworkAddress的子鍵下繼續(xù)建立名為"ParamDesc"的字符串， 其作用為指定Network Address的描述， 其值可為"MAC Address"。 這樣以后打開網(wǎng)絡(luò)鄰居的"屬性"， 雙擊相應(yīng)的網(wǎng)卡就會發(fā)現(xiàn)有一個"高級"設(shè)置， 其下存在MACAddress的選項， 它就是你在注冊表中加入的新項"NetworkAddress"， 以后只要在此修改MAC地址就可以了。 關(guān)閉注冊表， 重新啟動， 你的網(wǎng)卡地址已改。 打開網(wǎng)絡(luò)鄰居的屬性， 雙擊相應(yīng)網(wǎng)卡項會發(fā)現(xiàn)有一個MAC Address的高級設(shè)置項， 用于直接修改MAC地址。

2：第二種方法就是修改IP到MAC的映射就可使P2P攻擊的ARP欺騙失效， 就隔開突破它的限制。 方法就是在cmd下用ARP －a命令得到網(wǎng)關(guān)的MAC地址， 最后用ARP －s IP 網(wǎng)卡MAC地址命令把網(wǎng)關(guān)的IP地址和它的MAC地址映射起來就可以了。

Vista和XP系統(tǒng)：只要用arp命令綁定自己MAC和路由MAC就行了， 如：

arp －s 自己IP 自己MAC

arp －s 路由IP 路由MAC

最好都綁定一下， 只綁定路由的話， 出了IP沖突就上不去了， 別人照樣能T你下線， 如果綁定了自己的話， IP沖突了也能上網(wǎng)。

Windows 9x/2000就需要軟件了， 搜索一下anti arp sniffer就行了， 設(shè)置好路由IP， mac 。 不過XP和Vista系統(tǒng)也可以安裝這個軟件， 可以清楚的看到誰想T你下線或者想限制你。 當(dāng)然， 這樣的系統(tǒng)還建議更換成Vista或者XP， 只要上面設(shè)置一下， p2p終結(jié)者就報廢了。

Vista和XP系統(tǒng)在cmd狀態(tài)輸入： arp －a

如果路由IP 還有自己IP最后面狀態(tài)是static， 那么就表示綁定成功

arp －d

綁定之前也最好輸入一下， 刪除非法綁定。

看到這些， 大家都明白了吧， 其實都不難的。