【原创】浅谈ARP欺骗以及若干解决方法

QUOTE:河风海韵-c qj2J{u@+KkJq

【前言】河风海韵'YMk(X U0F2J3~0f$d-x"X
河风海韵T9I#l(@'H,om
“ARP欺骗”肆虐！清华大学万余台电脑感染病毒，清华大学的校园BBS上，有多名同学抱怨学校宿舍网速太慢，并频频出现掉线现象。引起这种现象的是一种名为“ARP欺骗”的电脑病毒。从4月10日起，已经陆续有100多个宿舍网络端口被封闭，给学生们的正常上网带来了影响。

QUOTE:

【什么是ARP】
Vgu0nX^Shn0河风海韵'kH/D5]l-I
ARP即“Address Resolution Protocol”(地址解析协议)，用于根据1个已知的IP地址查找硬件地址。
W*U.BTL0
@;J_)da@_1Fc0它把IP地址翻译成硬件地址(MAC)。MAC地址是48位的二进制码，翻译成16进制后形如：XX-XX-XX-XX-XX-XX。这点与IP地址不同，IP地址本身是32位二进制码，只是每8位翻译成了十进制。
&BZSo]{"J*L%OK0
`n0H&]w0在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。

QUOTE:

5jD],`-ma0

zV;{,d,`he0

【什么是ARP欺骗】
X,A1q.P8doH$tu0河风海韵K'J.BJV3l-rX]G9F]

河风海韵'B6mh(Saxf

xwG{q$c$cS6g
S0

第一步：假设我们宿舍4人路由器共享上网，A，B，C，D。

S?9]*CZ0

名   称 ,afh(f)Fl }:d*FY0	IP地址 V6Ch \}/rG.R'Y0	MAC地址 B-IbE*nOqF0
路由器河风海韵^U3Yb6`k;R	192.168.0.254 x!ApmWg+iV0	GG-GG-GG-GG-GG-GG v){/N9J8|k?M\+D%]0
计算机A ,e3`O e(CSm o7b0	192.168.0.1 ^{#T"a4x/w[sp0	AA-AA-AA-AA-AA-AA jFyjtp0
计算机B xL:Y\8w[y\T0	192.168.0.2河风海韵N'f4Y2Rl`(FO	BB-BB-BB-BB-BB-BB河风海韵aQ$_hz/X'X
计算机C河风海韵;X)u6y8|&^;c@	192.168.0.3河风海韵b1p T@`N5c)S	CC-CC-CC-CC-CC-CC河风海韵q#i}D p4c(C
计算机D河风海韵DjR|b	192.168.0.4河风海韵i;n,w2Q6`	DD-DD-DD-DD-DD-DD河风海韵7I$Ak/_9D*P$e2H

河风海韵|/_%n"Mq5}0I~~0^
第二步：正常情况下在A计算机上运行ARP -A查询ARP缓存表应该出现如下信息。
Y+_K[0_s8DS@%[k6f0
!T'v4@zx6AA0Interface: 192.168.0.1 on Interface *****
p,`8o,u:?%C0Internet Address   Physical Address       Type河风海韵bHIHT i
192.168.0.254  GG-GG-GG-GG-GG-GG  dynamic   （一般必有）

D[
JE$Z'w+G0

192.168.0.2      BB-BB-BB-BB-BB-BB     dynamic   （可能有）
KZ
gL6[YnM0192.168.0.3      CC-CC-CC-CC-CC-CC     dynamic   （可能有）

D&c%s-~}O/]X9zo0

192.168.0.4      DD-DD-DD-DD-DD-DD  dynamic   （可能有）

|W4h(P3f7Q0
M i {6NVj+[ d k _Z0

?]M'F8_u0第三步：若计算机B上运行ARP欺骗程序，向A发送ARP欺骗包。

sG+y3J`*e?0

[-U8a
JuG@1X0这里举例：B（192.168.0.2）发过来的包内容为【192.168.0.254，BB-BB-BB-BB-BB-BB】，此时，A的ARP缓存第一条（见上面）会被更新为：192.168.0.254  BB-BB-BB-BB-BB-BB  dynamic。

/g0DIVF,L0河风海韵;l7?5SUts,y

到此为止，ARP欺骗完成。ARP缓存表已经变成了畸形，而此时的A浑然不觉。更糟糕的是，要是arp病毒随便改个不存在的MAC，那么A发的信息永远也不可能被传送到外网。

Ks'|QO8A7\0
@y-Xs
\'Euk0

一度兴风作浪（现在还是）的P2P终结者或聚生网管就是利用这个原理，控制机发送ARP欺骗包给所有局域网内的受控机，宣称自己是网关（gateway，也可称路由器）。这样的话，其他机子访问外部网络的时候，理所当然会经过网关中转，但是此时他们眼中的网关是控制机而不是真正的路由器（被欺骗了）。河风海韵5d-gw`Bb-jh8m6B

1iEOF^ F;z+{0OK，所有的数据都得经过控制机，控制机就可以随心所欲的控制任何一台机的数据流速了。河风海韵| SV\d+w9u!q

`1cP0b,Cd0河风海韵K\
Pk-U [

【中招症状】
"l;~-F3MR*Rz$@+rM'^0河风海韵
A%h:p@q'Fzd

qBD`a$Cs,z0

E5CK P\#a0

河风海韵uK8`;{ V Ue2B

ARP欺骗可以造成内部网络的混乱，让某些被欺骗的计算机无法正常访问内外网，让网关无法和客户端正常通信。如果你的计算机时不时的掉线，或者ping不同网关时就该引起注意了。河风海韵"{Y9n8h Z z

'hmo6?0y0

QUOTE:

【解决方案】
t!lk~l8m^~3G0y0河风海韵?1{_h:P|
快速且有效：
6H/KFW d0
%f2TXX ]e*epRv0使用静态ARP绑定法。可以解决已经受ARP攻击的电脑，也可以来防止ARP攻击的侵害。
F/S?(k/J0
xM,^#tpx5U5i:gX;{0前者，假设网关IP为192.168.0.254，在运行中输入http://192.168.0.254来登录路由器，找到路由器的LAN端MAC地址，假设为GG-GG-GG-GG-GG-GG。河风海韵} m9zj
w bBP

6qEm zXr-B}0河风海韵9Wa'n(^ sJ
开始-运行-CMD，进入命令提示符；
(q!H&Q(R"Z5i0ARP  -D    //清除ARP缓存，注意中间有空格。
!sVU%w N1Y!~2T!rH `0ARP  -S    192.168.0.254    GG-GG-GG-GG-GG-GG    //静态ARP绑定。河风海韵2e&qx*`8gC"q
河风海韵7V#Ix4`0UQ8d5^i

*]
I
Z:Er4l
gv
K0然后用ARP –A查看缓存，发现现在的一个条目跟以前不一样了，现在变static了。如下：河风海韵.O7w$`|F4D%Q@
河风海韵^g8t/KK2N
192.168.0.254  GG-GG-GG-GG-GG-GG  static （与前面最大的不同是dynamic变static了）河风海韵8o3ji+G9\
河风海韵NX(~]c
静态的好处是发现同一个IP新的ARP缓存时，采取丢弃处理，不更新。这样就抵制了ARP欺骗。当然病毒技术发达，他们可以很轻松地把static该为dynamic  ，继续作孽。河风海韵8R6b b*Q1}-X&Lt8Px

png[n0这里我找到了一个较好的动态解决方案：
2FA W+SK0河风海韵d.T#~[$K8kUt
用VBScript脚本实现，每N秒钟自动刷新一遍ARP缓存，脚本名可以为ARP.VBS。
jKeG-ViJ0河风海韵|4r;g
?*GO

l F-{,j*}C'oy0河风海韵\C~ ^J5[
河风海韵8DY7|?)m h]&s

set Ws = WScript.CreateObject("WScript.Shell") }Pk4|xL0     count=0 %u{kPz[t0 u8oOO'|.@N1x0for each ps in getobject("winmgmts:\\.\root\cimv2:win32_process").instances_ Z/eBB:lh:Ojwh0     if ps.name="wscript.exe" then count=count+1河风海韵h#n$p*Hs%M'f%v&?0H}          next河风海韵 f`3Mj @/o      if count > 2 then wscript.quit WgaA.|!gkj0         i=1河风海韵8V&vBkL F7Nk R&rEQvi4r^ E0for i = 1 to 3 '3为绑定的次数河风海韵 ~:U.}/j sg+I      i=i-1 '永远也不会是3,所以一直循环 "A+XM PI9Fu0     WScript.Sleep(1000*60*0.1) '每0.1分钟绑定一次 ]t jZ%[$XK t@ l(U0     ws.run "arp -d",0 |![ \{s!L!i0     ws.run "arp -s 192.168.0.254  GG-GG-GG-GG-GG-GG",0 C Y-AT'OJ+J&x3Lb0     next k6iA:{,i0

当然，为了简单一点，也可以建立个批处理文件，如ARP.BAT。
/v!?.wPc5| M9eyo0
_~2xNSwJl0

@echo off J(t.^J#v%i1e?N%y0arp -d I D6xiG0 arp -s 192.168.0.254  GG-GG-GG-GG-GG-GG河风海韵o8o;{_x_~$G

然后把ARP.VBS或ARP.BAT放到“开始-启动”中即可。专业版的用户也可以用组策略来加载，运行-gpedit.msc，计算机配置-脚本（启动/关机），在启动中添加刚才的脚本，参数空，就OK老。河风海韵bV |1{re

ov*v;w`V!O0完全：河风海韵:Q,a\N{Dr2REh

W#F|1m C;LJ})N]0跟普通的病毒查杀一样，参考病毒查杀教材。或者把使用ARP欺骗软件（p2p终结者等）的人狂欧一顿，^_^。河风海韵cJ.KdXHohOu
河风海韵8Bx$|f`v r
防火墙防范：使用ARP防火墙 AntiARP 4.1.1（最新个人版），可以监测ARP欺骗行为，主动抑制等。
%}X!p3k)[
r4[0下载地址：www.antiarp.com
9MS:p ^ X `
q l*k0河风海韵7Ykmm2pD(D9p/T|