什么是ARP?如何防范ARP欺骗?

http://blog.csdn.net/terryzero/article/details/4092114今天发生了件很奇怪的事,由于我和邻居用路由器共享上网,但今天他一上线,我就上不了网了,经过多方面得寻找资料,发现时我邻居中了ARP病毒。

什么是ARP?
    ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。

什么是ARP欺骗?
    从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
    第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。

ARP攻击是什么原理 有什么影响?(以上没看懂,就往这开始看)
您的网络是否经常断线,是否经常发生IP冲突?

您是否担心通讯数据受到监控(如MSN、QQ、EMAIL)?

您的服务器是否经常遭受ARP欺骗,被黑客植入木马?

您是否深受各种ARP攻击软件之苦(如网络执法官、网络剪刀手、局域网终结者)?

以上各种问题的根源都是ARP欺骗(ARP攻击)。在没有ARP欺骗之前,数据流向是这样的:网关<->本机。ARP欺骗之后,数据流向是这样的:网关<->攻击者(“网管”)<->本机,本机与网关之间的所有通讯数据都将流经攻击者(“网管”),所以“任人宰割”就在所难免了。
处理办法

通用的处理流程

1.先保证网络正常运行

方法一:编辑一个***.bat文件内容如下:

arp.exe s
**.**.**.**(网关ip) ****
**
**
**
**(
网关MAC地址)
end

让网络用户点击就可以了!

办法二:编辑一个注册表问题,键值如下:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"MAC"="arp s
网关IP地址网关MAC地址"

然后保存成Reg文件以后在每个客户端上点击导入注册表。

2.找到感染ARP病毒的机器

a、在电脑上ping一下网关的IP地址,然后使用ARP -a的命令看得到的网关对应的MAC地址是否与实际情况相符,如不符,可去查找与该MAC地址对应的电脑。

b、使用抓包工具,分析所得到的ARP数据报。有些ARP病毒是会把通往网关的路径指向自己,有些是发出虚假ARP回应包来混淆网络通信。第一种处理比较容易,第二种处理比较困难,如果杀毒软件不能正确识别病毒的话,往往需要手工查找感染病毒的电脑和手工处理病毒,比较困难。

c、使用MAC地址扫描工具,Nbtscan扫描全网段IP地址和MAC地址对应表,有助于判断感染ARP病毒对应MAC地址和IP地址。

哎~~~这病毒真讨厌,影响本机也就算了,还影响整个网络的人

时间: 2024-10-11 22:23:58

什么是ARP?如何防范ARP欺骗?的相关文章

ARP协议及ARP欺骗详解

ARP协议及ARP欺骗详解 地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议.主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址:收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源.ARP缓存是个用来储存IP地址和MAC地址的缓冲区,其本质就是一个IP地址-->MAC地址的对应表,表中每一个条目分别记

ARP协议-攻击与欺骗分析-交换机工作原理--(精华全篇版)

ARP协议攻击与欺骗分析-交换机工作原理 一:交换机的工作原理 (一):实验拓扑 1:主机A与主机B通信 交换机的工作原理 (1):主机A将一个带有主机A的的ip地址和MAC地址的数据进行封装成帧,向局域网中发送广播. (2):交换机1的接口G0/0/1接收到主机A发送来的数据帧,会立即将数据帧的源MA地 址和接收数据帧的接口G0/0/1记录在它的MAC地址表中.此时的源MAC地址是主机A. (3):交换机这个时候查看自己MAC地址表,看看自己的MAC地址表中是否记录了数据帧的目标MAC地址和默

浅析ARP协议及ARP攻击

一. ARP数据包结构 (1)硬件类型:指明发送方想知道的硬件接口类型,以太网的值为1:(2)协议类型:指明发送方提供的高层协议类型:它的值为 0x0800 即表示 IP地址.(3)硬件地址长度和协议长度: 指明硬件地址和高层协议地址的长度,这样ARP报文就可以在任意硬件和任意协议的网络中使用:对于以太网上IP地址的ARP请求或应答来说,它们的值分别为6和4.(4)op:操作字段用来表示这个报文的类型,ARP请求为1,ARP响应为2,RARP请求为3,RARP响应为4: ARP协议解析过程: 1

解决局域网络控制、限网 arp绑定及arp绑定问题解决

当你在一个有n多人共用一个wifi时,避免不了的问题就是抢网速,那么有人就会想办法让自己多点网速,那么就会有人试图去控制局域网,一般的办法就是进行arp欺骗,以控制别人的网速.不用担心,我们可以静态的绑定网关ip和mac的对应关系,让它欺骗不了,我们可以这样做: Win7下绑定IP和MAC地址提示"ARP项添加失败:拒绝访问 我们都知道直接执行arp -s 命令即可绑定IP和MAC地址,但是在Win7下会遇到不能运行arp -s 进行静态mac绑定的情况,提示"ARP 项添加失败: 拒

ARP协议(5)ARP攻击和防护

一.ARP攻击 我们先来看ARP的功能:ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行. ARP的具体实现方式,我在<ARP协议(1)什么是ARP协议>已有说明: Q:这张映射表是如何生成的? A: (1)这张表中,每条记录(非静态)的生存时间一般为20分钟,起始时间从被创建开始算起,一旦过期,将在这张表中删除.(手动删除全部,可以用 arp -d *命令). (2)当A主机要发送信息给B时,A先在ARP高速缓存里查询B的IP是否有对应的MAC地址,

ARP原理和ARP攻击

ARP--在TCP/IP协议栈中,最不安全的协议莫过于ARP了,我们经常听到的网络扫描,内网渗透,流量欺骗等等,他们基本上都与ARP有关系,甚至可以说,他们的底层都是基于ARP实现的.但是ARP的是实现仅需一问一答的两个包即可,实现上很简单. 一.ARP协议 ARP(Address Resolution Protocol)地址解析协议,目的是实现IP地址到MAC地址的转换. 在计算机间通信的时候,计算机要知道目的计算机是谁(就像我们人交流一样,要知道对方是谁),这中间需要涉及到MAC地址,而MA

arp与免费arp的区别,arp老化

免费arp:应用场景: case1 : PC 通过 DHCP 申请地址,在获取到 IP 地址后,会发送免费 ARP ,目的用于探测 同一网段时候存在相同的 IP 地址终端,防止 IP 冲突. case2 : PC 的 MAC 地址发生变化后,会发送免费 ARP ,用于刷新同网段其他终端保存该 PC 的 ARP 表现 免费arp与普通arp的区别在于:免费arp报文中封装的源/目的ip 都是自己的ip case1 : PC 通过 DHCP 申请地址,在获取到 IP 地址后,会发送免费 ARP ,目

arp与免费arp的差别,arp老化

免费arp:应用场景: case1:PC通过DHCP申请地址.在获取到IP地址后,会发送免费ARP,目的用于探測同一网段时候存在同样的IP地址终端,防止IP冲突. case2:PC的MAC地址发生变化后,会发送免费ARP.用于刷新同网段其它终端保存该PC的ARP表现 免费arp与普通arp的差别在于:免费arp报文中封装的源/目的ip 都是自己的ip Case1:PC通过DHCP申请地址,在获取到IP地址后.会发送免费ARP.目的用于探測同一网段时候存在同样的IP地址终端,防止IP冲突. cas

ARP协议详解之Gratuitous ARP(免费ARP)

ARP协议详解之Gratuitous ARP(免费ARP) Gratuitous ARP(免费ARP) Gratuitous ARP也称为免费ARP,无故ARP.Gratuitous ARP不同于一般的ARP请求,它并非期待得到IP对应的MAC地址,而是当主机启动的时候,将发送一个Gratuitous arp请求,即请求自己的IP地址的MAC地址. 免费ARP的产生 免费ARP数据包是主机发送ARP查找自己的IP地址.通常,它发生在系统引导期间进行接口配置的时候.这里可以使用Wireshark捕