如何防范arp入侵攻擊

1．檢查本機(jī)的“ ARP 欺騙”木馬染毒進(jìn)程

同時(shí)按住鍵盤上的“ CTRL ”和“ ALT ”鍵再按“ DEL ”鍵，選擇“任務(wù)管理器”，點(diǎn)選“進(jìn)程”標(biāo)簽。察看其中是否有一個(gè)名為“ MIR0.dat ”的進(jìn)程。如果有，則說明已經(jīng)中毒。右鍵點(diǎn)擊此進(jìn)程后選擇“結(jié)束進(jìn)程”。

2．檢查網(wǎng)內(nèi)感染“ ARP 欺騙”木馬染毒的計(jì)算機(jī)

在“開始” - “程序” - “附件”菜單下調(diào)出“命令提示符”。輸入并執(zhí)行以下命令： ipconfig

記錄網(wǎng)關(guān) IP 地址，即“ Default Gateway ”對(duì)應(yīng)的值，例如“ 59.66.36.1 ”。再輸入并執(zhí)行以下命令：

arp –a

在“ Internet Address ”下找到上步記錄的網(wǎng)關(guān) IP 地址，記錄其對(duì)應(yīng)的物理地址，即“ Physical Address ”值，例如“ 00-01-e8-1f-35-54 ”。在網(wǎng)絡(luò)正常時(shí)這就是網(wǎng)關(guān)的正確物理地址，在網(wǎng)絡(luò)受“ ARP 欺騙”木馬影響而不正常時(shí)，它就是木馬所在計(jì)算機(jī)的網(wǎng)卡物理地址。 也可以掃描本子網(wǎng)內(nèi)的全部 IP 地址，然后再查 ARP 表。如果有一個(gè) IP 對(duì)應(yīng)的物理地址與網(wǎng)關(guān)的相同，那么這個(gè) IP 地址和物理地址就是中毒計(jì)算機(jī)的 IP 地址和網(wǎng)卡物理地址。

3．設(shè)置 ARP 表避免“ ARP 欺騙”木馬影響的方法

本方法可在一定程度上減輕中木馬的其它計(jì)算機(jī)對(duì)本機(jī)的影響。用上邊介紹的方法確定正確的網(wǎng)關(guān) IP 地址和網(wǎng)關(guān)物理地址，然后在 “命令提示符”窗口中輸入并執(zhí)行以下命令： arp –s 網(wǎng)關(guān) IP 網(wǎng)關(guān)物理地址

4. 靜態(tài)ARP綁定網(wǎng)關(guān)

步驟一：

在能正常上網(wǎng)時(shí)，進(jìn)入MS-DOS窗口，輸入命令：arp －a，查看網(wǎng)關(guān)的IP對(duì)應(yīng)的正確MAC地址， 并將其記錄下來(lái)。

注意：如果已經(jīng)不能上網(wǎng)，則先運(yùn)行一次命令arp －d將arp緩存中的內(nèi)容刪空，計(jì)算機(jī)可暫時(shí)恢復(fù)上網(wǎng)（攻擊如果不停止的話）。一旦能上網(wǎng)就立即將網(wǎng)絡(luò)斷掉（禁用網(wǎng)卡或拔掉網(wǎng)線），再運(yùn)行arp －a。

步驟二：

如果計(jì)算機(jī)已經(jīng)有網(wǎng)關(guān)的正確MAC地址，在不能上網(wǎng)只需手工將網(wǎng)關(guān)IP和正確的MAC地址綁定，即可確保計(jì)算機(jī)不再被欺騙攻擊。

要想手工綁定，可在MS-DOS窗口下運(yùn)行以下命令：

arp －s 網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC

例如：假設(shè)計(jì)算機(jī)所處網(wǎng)段的網(wǎng)關(guān)為192.168.1.1，本機(jī)地址為192.168.1.5，在計(jì)算機(jī)上運(yùn)行arp －a后輸出如下：

Cocuments and Settings>arp -a

Interf-ace:192.168.1.5 --- 0x2

Internet Address Physical Address Type

192.168.1.1 00-01-02-03-04-05 dynamic

其中，00-01-02-03-04-05就是網(wǎng)關(guān)192.168.1.1對(duì)應(yīng)的MAC地址，類型是動(dòng)態(tài)（dynamic）的，因此是可被改變的。

被攻擊后，再用該命令查看，就會(huì)發(fā)現(xiàn)該MAC已經(jīng)被替換成攻擊機(jī)器的MAC。如果希望能找出攻擊機(jī)器，徹底根除攻擊，可以在此時(shí)將該MAC記錄下來(lái)，為以后查找該攻擊的機(jī)器做準(zhǔn)備。

手工綁定的命令為：

arp －s 192.168.1.1 00-01-02-03-04-05

綁定完，可再用arp －a查看arp緩存：

Cocuments and Settings>arp -a

Interf-ace: 192.168.1.5 --- 0x2

Internet Address Physical Address Type

192.168.1.1 00-01-02-03-04-05 static

這時(shí)，類型變?yōu)殪o態(tài)（static），就不會(huì)再受攻擊影響了。

但是，需要說明的是，手工綁定在計(jì)算機(jī)關(guān)機(jī)重啟后就會(huì)失效，需要再次重新綁定，不過也可以寫個(gè)批處理，拖到啟動(dòng)中。腳本如下：

@echo off

使用arp -d命令，將儲(chǔ)存在本機(jī)系統(tǒng)中的ARP緩存信息清空，這樣錯(cuò)誤的ARP緩存信息就被刪除了，本機(jī)將重新從網(wǎng)絡(luò)中獲得正確的ARP信息，達(dá)到局域網(wǎng)機(jī)器間互訪和正常上網(wǎng)的目的。如果是遇到使用ARP欺騙工具來(lái)進(jìn)行攻擊的情況，使用上述的方法完全可以解決。但如果是感染ARP欺騙病毒，病毒每隔一段時(shí)間自動(dòng)發(fā)送ARP欺騙數(shù)據(jù)包，這時(shí)使用清空ARP緩存的方法將無(wú)能為力了。下面將接收另外一種，可以解決感染ARP欺騙病毒的方法。

還可以：在命令行模式下輸入arp -a命令來(lái)查看當(dāng)前本機(jī)儲(chǔ)存在本地系統(tǒng)ARP緩存中IP 和MAC對(duì)應(yīng)關(guān)系的信息.

然后將網(wǎng)關(guān)地址的IP與正確的MAC地址綁定起來(lái)：如下

使用arp -s命令來(lái)添加一條ARP地址對(duì)應(yīng)關(guān)系， 例如arp -s 192.168.2.1 00-14-78-a7-77-5c命令。這樣就將網(wǎng)關(guān)地址的IP與正確的MAC地址綁定好了，本機(jī)網(wǎng)絡(luò)連接將恢復(fù)正常了；

“計(jì)算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“高級(jí)安全Windows防火墻”→“高級(jí)安全Windows防火墻——本地組策略對(duì)象”→“入站規(guī)則”→“新規(guī)則”→“自定義”→“所有程序”→“ICMPv4”→“阻止連接”選項(xiàng)

arp -s192.168.1.1 00-01-02-03-04-05 end 保存為*.bat的文件。放在開機(jī)啟動(dòng)中。 要徹底根除攻擊，只有找出網(wǎng)段內(nèi)被病毒感染的計(jì)算機(jī)，把病毒殺掉，才算是真正解決問題。

【如何防范arp入侵攻擊】相關(guān)文章：

如何防范傳銷陷阱06-15

如何防范非法集資02-27

如何防范醫(yī)療糾紛03-03

如何防范擔(dān)保投資風(fēng)險(xiǎn)05-24

如何防范金融風(fēng)險(xiǎn)03-22

家庭理財(cái)如何防范風(fēng)險(xiǎn)04-23

如何防范和處理師生沖突02-27

如何防范電腦反復(fù)中病毒02-27

如何防范企業(yè)經(jīng)營(yíng)風(fēng)險(xiǎn)02-27

如何防范發(fā)泡水泥保溫板開裂02-27