ARP攻擊修正檔,另附送個人我防範arp攻擊心得
防ARP攻擊修正檔,另附送個人我防範arp攻擊心得
想必有很多那局局局內網用戶受到網路剪刀手,網路執法官等軟體的影響
其實這些關於ARP的WINPCAP軟體本來不是用在這方面的但難免會有人心術不正
在此放出防ARP攻擊修正檔,希望大家喜歡
在此冒昧一下,希望能置頂,因為現在受這類軟體影響的人太多了
另外,希望大家不要介紹推廣這類軟體,特別不要受到這類影響以後以毒攻毒
本來上網就是消遣嘛
在此先解釋一下原理
網路剪刀手是通過網路閘道來控制局局局內網的機器,若對方是合法的,你想繞開,恐怕思法上說不過去!因為你畢竟要通過它才能往外連接啊!
不過根據原理,這個軟體好像是針對IP來控制的,有個辦法就是在斷了情況下重置自己的IP位址(可能還包括MAC位址,有修改自己MAC位址的軟體),這樣就可以暫時躲過網路閘道的控制!但只能是暫時的!!
該修正檔原理是既時綁定網路閘道mac/ip,能徹底解決arp欺騙的問題。
下載後請一定按照以下步驟操作完成時時綁定(以下步驟只適合2K/XP系統):
1:在指令行狀態,ping 網路閘道位址(局局局內網),例如你的網路閘道(局局局內網)是192.168.0.1,那麼在指令行狀態下你輸入ping 192.168.0.1,Enter鍵。
2:在指令行狀態下,輸入arp -a,
C:\Documents and Settings\Administrator>arp -a
Interface: 192.168.0.119 --- 0x10003
Internet Address Physical Address Type
192.168.0.1 00-e0-2a-b0-75-0c dynamic
192.168.1.1 00-e0-2a-75-75-75 static
3。這時候記下你的網路閘道位址所對應的Physical Address ,也就是MAC位址。
按照以下說明取代IP和MAc位址:
FL freeland=192.168.0.1 00-aa-bb-cc-dd-ee 1 freeland false
↓ ↓
取代為網路閘道IP位址 取代為網路閘道MAC值
例如你的網路閘道是192.168.1.1 ,網路閘道mac位址為00-e0-2a-75-75-75,那麼你的A.bat內容應該是這樣的
FL freeland=192.168.1.1 00-e0-2a-75-75-75 3 freeland false
只要動態重新整理ARP快取表,就可以解決
4:如果以後更換網路閘道網路卡或者路由器,這時候網路閘道的MAC位址就會改變,所以請重新檢查mac位址並重新修改伺服器共享硬碟內的A.bat的mac位址字元段(否則客戶端機會上不了網).
有2個版本,for 2K和for XP的,大家可以有選項安裝,for 2K是2000下用,for XP是xp下使用。
另外:各種防火牆對對ARP攻擊是沒有效果的,也就是說你開著防火牆也沒有用
(註:我僅僅測試了毒霸,江名,瑞星和諾頓,天網,其他殺毒軟體防火牆沒有試用,不知道效果如何)
聽說zonealarm有效,沒有測試,希望有安裝的測試一下
有關尋找arp攻擊位址:可以去下載一款協助工具,比如一些區域網路檢視工具,捕獲發進來的資料包分析一下,就可以知道具體是哪個IP在攻擊你!!!!!!
在此推薦我個人使用的區域網路檢視工具,為綠色破解版,功能很不錯,建議配合使用
主要功能:(1)搜尋所有工作組。(2)搜尋指定網段內的電腦,並顯示每台電腦的電腦名稱,IP位址,工作組,MAC位址,用戶。(3)搜尋所有工作內或是選定的一個或幾個工作組內的電腦,並顯示每台電腦的電腦名稱,IP位址,工作組,MAC位址,用戶。(4)將搜匯出的電腦訊息儲存到指定的文本文件中。(5)搜尋所有電腦的共享資源。(6)將指定共享資源映射成本機機驅動器。(7)搜尋所有共享資源內的共享文件。(8)搜尋選定的一個或幾個共享資源內的共享文件。(9)在搜尋共享文件時,你可選項搜尋你所需要的一種或幾種檔案檔案檔案類型的共享文件。(10)開啟指定的電腦。(11)開啟指定的共享目錄(12)開啟指定的共享文件。(13)傳送消息,給選定的一台或幾台電腦發消息,給指定工作組內的所有電腦發消息,給所有電腦發消息。(14)連接阜掃瞄,你也可以掃瞄出區域網路內或指定網段內所有開放指定TCP連接阜的電腦,也可以掃瞄出指定電腦內活動的TCP連接阜。(15)ping指定的電腦,檢視指定電腦的MAC位址,所在的工作組以及當前用戶等
如果動手能力再強的,可以通過設定防火牆,使本地機機只回應網路閘道來的MAC,這才是解決的根本辦法
大陸的防火牆目前很少有這個功能,我個人使用的是Look'n'Stop,配合修正檔使用,可安然無憂~
「Look'n'Stop防火牆」功能強大、設定複雜,如果對Look'n'Stop防火牆不熟悉的人安裝完後產生了各種網路問題,最好還是上網查查資料,自己解決一些問題,這樣不僅解決了問題又學到了知識。實在沒辦法就上論壇問問。
附送我個人使用Look'n'Stop防範arp心得:
阻止網路執法官等arp控制
網路執法官是利用的ARp欺騙的來達到控制目的的。
ARP傳輸協定用來解析IP與MAC的對應關係,所以用下列方法可以實現抗拒網路執法官的控制。
如果你的機器不準備與區域網路中的機器通訊,那麼可以使用下述方法:
A.在「網際網路過濾」裡面有一條「ARP : Authorize all ARP packets」規則,在這個規則前面打上禁止標誌;
B.但這個規則預設會把網路閘道的訊息也禁止了,處理的辦法是把網路閘道的MAC位址(通常網路閘道是固定的)放在這條規則的「目標」區,在「乙太網:位址」裡選項「不等於」,並把網路閘道的MAC位址填寫在那時;把自己的MAC位址放在「來源」區,在「乙太網:位址」裡選項「不等於」。
C.在最後一條「All other packet」裡,修改這條規則的「目標」區,在「乙太網:位址」裡選項「不等於」,MAC位址裡填FF:FF:FF:FF:FF:FF;把自己的MAC位址放在「來源」區,在「乙太網:位址」裡選項「不等於」。其它不改動。
這樣網路執法官就無能為力了。此方法適用於不與區域網路中其它機器通訊,且網路閘道位址是固定的情況下。
如果你的機器需要與區域網路中的機器通訊,僅需要擺脫網路執法官的控制,那麼下述方法更簡單實用(此方法與防火牆無關):
進入指令行狀態,執行「ARP -s 網路閘道IP 網路閘道MAC」就可以了,想獲得網路閘道的MAC,只要Ping一下網路閘道,然後用Arp -a指令檢視,就可以得到網路閘道的IP與MAC的對應。此方法應該更具通用性,而且當網路閘道位址可變時也很好操作,重複一次「ARP -s 網路閘道IP 網路閘道MAC」就行了。此指令作用是建立靜態的ARP解析表。
修改網路卡MAC位址
利用Arpkiller的"Sniffer殺手"
ARPKiller 1.3
簡介:
可以快速查出區域網路所有主機的IP,並且還能查出哪些電腦的網路卡處於混雜模式(說不一定他就開了Sniffer哦! :"),除此之外還可以用他進行一些類似於搶IP,IP欺騙的勾當!
http://www.chinesehack.org/down/show.asp?id=2471
網路執法官 程式就是一arp的產物,防他lsn要設定規則的。
且你按下面的辦法去看看
1.阻止網路執法官控制
網路執法官是利用ARP欺騙來達到控制區域網路內其它電腦網路連接目的的。
ARP傳輸協定用來解析IP與MAC的對應關係,所以用下列方法可以實現抗拒網路執法官的控制。
如果你的機器不準備與區域網路中的機器通訊,那麼可以使用下述方法:
1.在「網際網路過濾」裡面有一條「ARP : Authorize all ARP packets」規則,在這個規則前面打上禁止標誌;
2.但這個規則預設會把網路閘道的訊息也禁止了,處理的辦法是把網路閘道的MAC位址(通常網路閘道是固定的)放在這條規則的「目標」區,在「乙太網:位址」裡選項「不等於」,並把網路閘道的MAC位址填寫在那時;把自己的MAC位址放在「來源」區,在「乙太網:位址」裡選項「不等於」。
3.在最後一條「All other packet」裡,修改這條規則的「目標」區,在「乙太網:位址」裡選項「不等於」,MAC位址裡填FF:FF:FF:FF:FF:FF;把自己的MAC位址放在「來源」區,在「乙太網:位址」裡選項「不等於」。其它不改動。
這樣網路執法官就無能為力了。此方法適用於不與區域網路中其它機器通訊,且網路閘道位址是固定的情況下。
國際慣例:感謝IT樂園 提供這樣一個交流場所!感謝簫友各位的關注,嚴重b