ARP欺騙導致網絡癱瘓,這是局域網中最大的安全隱患,現在防ARP軟件也不少,但是必要的一些防范知識還是必要的,文章介紹了如何在Vista下去防范ARP欺騙。
很多學校、公司的內部網絡裡面經常有一些不道德的人用ARP欺騙軟件攻擊別人,讓很多人掉線,甚至讓整個網絡都癱瘓。針對這個問題,大家可以采取如下的辦法。
介紹一個防火牆:Outpost Firewall。它可以防護“P2P終結者”等局域網軟件,效果超好,還能查出局域網哪台機在使用,功能強大,占用資源少,可以評分5個星。
其實,類似網絡管理這種軟件都是利用arp欺騙達到目的的。其原理就是使電腦無法找到網關的Mac地址。那麼ARP欺騙到底是怎麼回事呢?
首先給大家說說什麼是ARP。ARP(Address Resolution Protocol)是地址解析協議,是一種將IP地址轉化成物理地址的協議。從IP地址到物理地址的映射有兩種方式:表格方式和非表格方式。
ARP具體說來就是將網絡層(IP層,也就是相當於OSI的第三層)地址解析為數據連接層(MAC層,也就是相當於OSI的第二層)的Mac地址。
ARP原理:某機器A要向主機B發送報文,會查詢本地的ARP緩存表,找到B的IP地址對應的MAC地址後,就會進行數據傳輸。如果未找到,則廣播A一個 ARP請求報文(攜帶主機A的IP地址Ia——物理地址Pa),請求IP地址為Ib的主機B回答物理地址Pb。網上所有主機包括B都收到ARP請求,但只有主機B識別自己的IP地址,於是向A主機發回一個ARP響應報文。其中就包含有B的MAC地址,A接收到B的應答後,就會更新本地的ARP緩存。接著使用這個MAC地址發送數據(由網卡附加Mac地址)。因此,本地高速緩存的這個ARP表是本地網絡流通的基礎,而且這個緩存是動態的。
ARP協議並不只在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包的時候,就會對本地的ARP緩存進行更新,將應答中的IP和Mac 地址存儲在ARP緩存中。因此,當局域網中的某台機器B向A發送一個自己偽造的ARP應答,而如果這個應答是B冒充C偽造來的,即IP地址為C的IP,而 MAC地址是偽造的,則當A接收到B偽造的ARP應答後,就會更新本地的ARP緩存,這樣在A看來C的IP地址沒有變,而它的Mac地址已經不是原來那個了。由於局域網的網絡流通不是根據IP地址進行,而是按照MAC地址進行傳輸。所以,那個偽造出來的MAC地址在A上被改變成一個不存在的Mac地址,這樣就會造成網絡不通,導致A不能Ping通C!這就是一個簡單的ARP欺騙。
解決方法歸納起來有以下方法:
1. 使用VLAN
只要你的PC和P2P終結者軟件不在同一個VLAN裡, 他就拿你沒辦法.
2. 使用雙向IP/Mac綁定
在PC上綁定你的出口路由器的MAC地址, P2P終結者軟件不能對你進行ARP欺騙, 自然也沒法管你, 不過只是PC綁路由的MAC還不安全, 因為P2P終結者軟件可以欺騙路由, 所以最好的解決辦法是使用PC, 路由上雙向IP/MAC綁定, 就是說, 在PC上綁定出路路由的MAC地址, 在路由上綁定PC的IP和MAC地址, 這樣要求路由要支持IP/Mac綁定, 比如HIPER路由器.
3. 使用IP/MAC地址盜用+IP/Mac綁定
索性你把自己的MAC地址和IP地址改成和運行P2P終結者軟件者一樣的IP和MAC, 看他如何管理, 這是一個兩敗俱傷的辦法, 改動中要有一些小技巧, 否則會報IP沖突. 要先改Mac地址, 再改IP, 這樣一來WINDOWS就不報IP沖突了(Windows傻吧))), 做到這一步還沒有完, 最好你在PC上吧路由的Mac地址也綁定, 這樣一來P2P終結者欺騙路由也白費力氣了.
屏蔽網絡執法官的解決方式
利用Look N Stop防火牆,防止arp欺騙
1.阻止網絡執法官控制
網絡執法官是利用的ARp欺騙的來達到控制目的的。
ARP協議用來解析IP與Mac的對應關系,所以用下列方法可以實現抗拒網絡執法官的控制。如果你的機器不准備與局域網中的機器通訊,那麼可以使用下述方法:
A.在“互聯網過濾”裡面有一條“ARP : Authorize all ARP packets”規則,在這個規則前面打上禁止標志;
B.但這個規則默認會把網關的信息也禁止了,處理的辦法是把網關的MAC地址(通常網關是固定的)放在這條規則的“目標”區,在“以太網:地址”裡選擇“不等於”,並把網關的MAC地址填寫在那時;把自己的Mac地址放在“來源”區,在“以太網:地址”裡選擇“不等於”。
C.在最後一條“All other packet”裡,修改這條規則的“目標”區,在“以太網:地址”裡選擇“不等於”,MAC地址裡填FF:FF:FF:FF:FF:FF;把自己的Mac地址放在“來源”區,在“以太網:地址”裡選擇“不等於”。其它不改動。
這樣網絡執法官就無能為力了。此方法適用於不與局域網中其它機器通訊,且網關地址是固定的情況下。
如果你的機器需要與局域網中的機器通訊,僅需要擺脫網絡執法官的控制,那麼下述方法更簡單實用(此方法與防火牆無關):
進入命令行狀態,運行“ARP -s 網關IP 網關MAC”就可以了,想獲得網關的MAC,只要Ping一下網關,然後用Arp -a命令查看,就可以得到網關的IP與MAC的對應。此方法應該更具通用性,而且當網關地址可變時也很好操作,重復一次“ARP -s 網關IP 網關Mac”就行了。此命令作用是建立靜態的ARP解析表。
另外,聽說op防火牆也可以阻止,這個還沒有試過。
防止P2P終結者的攻擊
1:第一種方法就是修改自己的Mac地址,下面就是修改方法:
在"開始"菜單的"運行"中輸入regedit,打開注冊表編輯器,展開注冊表到:HKEY_LOCAL_MACHINE\System \CurrentControlSet\Control\Class\{4D36E9E}子鍵,在子鍵下的0000,0001,0002等分支中查找 DriverDesc(如果你有一塊以上的網卡,就有0001,0002......在這裡保存了有關你的網卡的信息,其中的DriverDesc內容就是網卡的信息描述, 比如我的網卡是Intel 210 41 based Ethernet Controller),在這裡假設你的網卡在0000子鍵。在0000子鍵下添加一個字符串,命名為"NetworkAddress",鍵值為修改後的MAC地址,要求為連續的12個16進制數。然後在"0000"子鍵下的NDI\params中新建一項名為NetworkAddress的子鍵,在該子鍵下添加名為"default"的字符串,鍵值為修改後的Mac地址。
在NetworkAddress的子鍵下繼續建立名為"ParamDesc"的字符串,其作用為指定Network Address的描述,其值可為"MAC Address"。這樣以後打開網絡鄰居的"屬性",雙擊相應的網卡就會發現有一個"高級"設置,其下存在MACAddress的選項,它就是你在注冊表中加入的新項"NetworkAddress",以後只要在此修改MAC地址就可以了。關閉注冊表,重新啟動,你的網卡地址已改。打開網絡鄰居的屬性,雙擊相應網卡項會發現有一個MAC Address的高級設置項,用於直接修改Mac地址。
2:第二種方法就是修改IP到MAC的映射就可使P2P攻擊的ARP欺騙失效,就隔開突破它的限制。方法就是在cmd下用ARP -a命令得到網關的MAC地址,最後用ARP -s IP 網卡MAC地址命令把網關的IP地址和它的Mac地址映射起來就可以了。
Vista和XP系統:只要用arp命令綁定自己MAC和路由Mac就行了,如:
arp -s 自己IP 自己Mac
arp -s 路由IP 路由Mac
最好都綁定一下,只綁定路由的話,出了IP沖突就上不去了,別人照樣能T你下線,如果綁定了自己的話,IP沖突了也能上網。
Windows 9x/2000就需要軟件了,搜索一下anti arp sniffer就行了,設置好路由IP,Mac 。不過XP和Vista系統也可以安裝這個軟件,可以清楚的看到誰想T你下線或者想限制你。當然,這樣的系統還建議更換成Vista或者XP,只要上面設置一下,p2p終結者就報廢了。
Vista和XP系統在cmd狀態輸入: arp -a
如果路由IP 還有自己IP最後面狀態是static,那麼就表示綁定成功
arp -d
綁定之前也最好輸入一下,刪除非法綁定。
看到這些,大家都明白了吧,其實都不難的。
