Vista應(yīng)對(duì)網(wǎng)絡(luò)執(zhí)法官及ARP欺騙攻擊

很多學(xué)校、公司的內(nèi)部網(wǎng)絡(luò)里面經(jīng)常有一些不道德的人用ARP欺騙軟件攻擊別人， 讓很多人掉線， 甚至讓整個(gè)網(wǎng)絡(luò)都癱瘓。 針對(duì)這個(gè)問題， 大家可以采取如下的辦法。

　　介紹一個(gè)防火墻：Outpost Firewall。 它可以防護(hù)“P2P終結(jié)者”等局域網(wǎng)軟件， 效果超好， 還能查出局域網(wǎng)哪臺(tái)機(jī)在使用， 功能強(qiáng)大， 占用資源少， 可以評(píng)分5個(gè)星。

　　點(diǎn)擊此處下載Outpost Firewall

　　其實(shí)， 類似網(wǎng)絡(luò)管理這種軟件都是利用arp欺騙達(dá)到目的的。 其原理就是使電腦無法找到網(wǎng)關(guān)的MAC地址。 那么ARP欺騙到底是怎么回事呢？

　　首先給大家說說什么是ARP。 ARP（Address Resolution Protocol）是地址解析協(xié)議， 是一種將IP地址轉(zhuǎn)化成物理地址的協(xié)議。 從IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。

　　ARP具體說來就是將網(wǎng)絡(luò)層（IP層， 也就是相當(dāng)于OSI的第三層）地址解析為數(shù)據(jù)連接層（MAC層， 也就是相當(dāng)于OSI的第二層）的MAC地址。

　　ARP原理：某機(jī)器A要向主機(jī)B發(fā)送報(bào)文， 會(huì)查詢本地的ARP緩存表， 找到B的IP地址對(duì)應(yīng)的MAC地址后， 就會(huì)進(jìn)行數(shù)據(jù)傳輸。 如果未找到， 則廣播A一個(gè) ARP請(qǐng)求報(bào)文（攜帶主機(jī)A的IP地址Ia——物理地址Pa）， 請(qǐng)求IP地址為Ib的主機(jī)B回答物理地址Pb。 網(wǎng)上所有主機(jī)包括B都收到ARP請(qǐng)求， 但只有主機(jī)B識(shí)別自己的IP地址， 于是向A主機(jī)發(fā)回一個(gè)ARP響應(yīng)報(bào)文。 其中就包含有B的MAC地址， A接收到B的應(yīng)答后， 就會(huì)更新本地的ARP緩存。 接著使用這個(gè)MAC地址發(fā)送數(shù)據(jù)（由網(wǎng)卡附加MAC地址）。 因此， 本地高速緩存的這個(gè)ARP表是本地網(wǎng)絡(luò)流通的基礎(chǔ)， 而且這個(gè)緩存是動(dòng)態(tài)的。

　　ARP協(xié)議并不只在發(fā)送了ARP請(qǐng)求才接收ARP應(yīng)答。 當(dāng)計(jì)算機(jī)接收到ARP應(yīng)答數(shù)據(jù)包的時(shí)候， 就會(huì)對(duì)本地的ARP緩存進(jìn)行更新， 將應(yīng)答中的IP和MAC 地址存儲(chǔ)在ARP緩存中。 因此， 當(dāng)局域網(wǎng)中的某臺(tái)機(jī)器B向A發(fā)送一個(gè)自己偽造的ARP應(yīng)答， 而如果這個(gè)應(yīng)答是B冒充C偽造來的， 即IP地址為C的IP， 而 MAC地址是偽造的， 則當(dāng)A接收到B偽造的ARP應(yīng)答后， 就會(huì)更新本地的ARP緩存， 這樣在A看來C的IP地址沒有變， 而它的MAC地址已經(jīng)不是原來那個(gè)了。 由于局域網(wǎng)的網(wǎng)絡(luò)流通不是根據(jù)IP地址進(jìn)行， 而是按照MAC地址進(jìn)行傳輸。 所以， 那個(gè)偽造出來的MAC地址在A上被改變成一個(gè)不存在的MAC地址， 這樣就會(huì)造成網(wǎng)絡(luò)不通， 導(dǎo)致A不能Ping通C！這就是一個(gè)簡(jiǎn)單的ARP欺騙。

　　解決方法歸納起來有以下方法：

　　1. 使用VLAN

　　只要你的PC和P2P終結(jié)者軟件不在同一個(gè)VLAN里, 他就拿你沒辦法.

　　2. 使用雙向IP/MAC綁定

　　在PC上綁定你的出口路由器的MAC地址, P2P終結(jié)者軟件不能對(duì)你進(jìn)行ARP欺騙, 自然也沒法管你, 不過只是PC綁路由的MAC還不安全, 因?yàn)镻2P終結(jié)者軟件可以欺騙路由, 所以最好的解決辦法是使用PC, 路由上雙向IP/MAC綁定, 就是說, 在PC上綁定出路路由的MAC地址, 在路由上綁定PC的IP和MAC地址, 這樣要求路由要支持IP/MAC綁定, 比如HIPER路由器.

　　3. 使用IP/MAC地址盜用+IP/MAC綁定

　　索性你把自己的MAC地址和IP地址改成和運(yùn)行P2P終結(jié)者軟件者一樣的IP和MAC, 看他如何管理, 這是一個(gè)兩敗俱傷的辦法, 改動(dòng)中要有一些小技巧, 否則會(huì)報(bào)IP沖突. 要先改MAC地址, 再改IP, 這樣一來WINDOWS就不報(bào)IP沖突了(windows傻吧))), 做到這一步還沒有完, 最好你在PC上吧路由的MAC地址也綁定, 這樣一來P2P終結(jié)者欺騙路由也白費(fèi)力氣了.

　　屏蔽網(wǎng)絡(luò)執(zhí)法官的解決方式

　　利用Look N Stop防火墻， 防止arp欺騙

　　1.阻止網(wǎng)絡(luò)執(zhí)法官控制

　　網(wǎng)絡(luò)執(zhí)法官是利用的ARp欺騙的來達(dá)到控制目的的。

　　ARP協(xié)議用來解析IP與MAC的對(duì)應(yīng)關(guān)系， 所以用下列方法可以實(shí)現(xiàn)抗拒網(wǎng)絡(luò)執(zhí)法官的控制。 如果你的機(jī)器不準(zhǔn)備與局域網(wǎng)中的機(jī)器通訊， 那么可以使用下述方法：

A.在“互聯(lián)網(wǎng)過濾”里面有一條“ARP : Authorize all ARP packets”規(guī)則， 在這個(gè)規(guī)則前面打上禁止標(biāo)志；

　　B.但這個(gè)規(guī)則默認(rèn)會(huì)把網(wǎng)關(guān)的信息也禁止了， 處理的辦法是把網(wǎng)關(guān)的MAC地址（通常網(wǎng)關(guān)是固定的）放在這條規(guī)則的“目標(biāo)”區(qū)， 在“以太網(wǎng)：地址”里選擇“不等于”， 并把網(wǎng)關(guān)的MAC地址填寫在那時(shí)；把自己的MAC地址放在“來源”區(qū)， 在“以太網(wǎng)：地址”里選擇“不等于”。

　　C.在最后一條“All other packet”里， 修改這條規(guī)則的“目標(biāo)”區(qū)， 在“以太網(wǎng)：地址”里選擇“不等于”， MAC地址里填FF:FF:FF:FF:FF:FF；把自己的MAC地址放在“來源”區(qū)， 在“以太網(wǎng)：地址”里選擇“不等于”。 其它不改動(dòng)。

　　這樣網(wǎng)絡(luò)執(zhí)法官就無能為力了。 此方法適用于不與局域網(wǎng)中其它機(jī)器通訊， 且網(wǎng)關(guān)地址是固定的情況下。

　　如果你的機(jī)器需要與局域網(wǎng)中的機(jī)器通訊， 僅需要擺脫網(wǎng)絡(luò)執(zhí)法官的控制， 那么下述方法更簡(jiǎn)單實(shí)用（此方法與防火墻無關(guān)）：

　　進(jìn)入命令行狀態(tài)， 運(yùn)行“ARP -s 網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC”就可以了， 想獲得網(wǎng)關(guān)的MAC， 只要Ping一下網(wǎng)關(guān)， 然后用Arp -a命令查看， 就可以得到網(wǎng)關(guān)的IP與MAC的對(duì)應(yīng)。 此方法應(yīng)該更具通用性， 而且當(dāng)網(wǎng)關(guān)地址可變時(shí)也很好操作， 重復(fù)一次“ARP -s 網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC”就行了。 此命令作用是建立靜態(tài)的ARP解析表。

　　另外， 聽說op防火墻也可以阻止， 這個(gè)還沒有試過。

　　防止P2P終結(jié)者的攻擊

　　1：第一種方法就是修改自己的MAC地址， 下面就是修改方法：

　　在"開始"菜單的"運(yùn)行"中輸入regedit， 打開注冊(cè)表編輯器， 展開注冊(cè)表到：HKEY_LOCAL_MACHINE\System \CurrentControlSet\Control\Class\{4D36E9E}子鍵， 在子鍵下的0000， 0001， 0002等分支中查找 DriverDesc（如果你有一塊以上的網(wǎng)卡， 就有0001， 0002......在這里保存了有關(guān)你的網(wǎng)卡的信息， 其中的DriverDesc內(nèi)容就是網(wǎng)卡的信息描述， 比如我的網(wǎng)卡是Intel 210 41 based Ethernet Controller）， 在這里假設(shè)你的網(wǎng)卡在0000子鍵。 在0000子鍵下添加一個(gè)字符串， 命名為"NetworkAddress"， 鍵值為修改后的MAC地址， 要求為連續(xù)的12個(gè)16進(jìn)制數(shù)。 然后在"0000"子鍵下的NDI\params中新建一項(xiàng)名為NetworkAddress的子鍵， 在該子鍵下添加名為"default"的字符串， 鍵值為修改后的MAC地址。

　　在NetworkAddress的子鍵下繼續(xù)建立名為"ParamDesc"的字符串， 其作用為指定Network Address的描述， 其值可為"MAC Address"。 這樣以后打開網(wǎng)絡(luò)鄰居的"屬性"， 雙擊相應(yīng)的網(wǎng)卡就會(huì)發(fā)現(xiàn)有一個(gè)"高級(jí)"設(shè)置， 其下存在MACAddress的選項(xiàng)， 它就是你在注冊(cè)表中加入的新項(xiàng)"NetworkAddress"， 以后只要在此修改MAC地址就可以了。 關(guān)閉注冊(cè)表， 重新啟動(dòng)， 你的網(wǎng)卡地址已改。 打開網(wǎng)絡(luò)鄰居的屬性， 雙擊相應(yīng)網(wǎng)卡項(xiàng)會(huì)發(fā)現(xiàn)有一個(gè)MAC Address的高級(jí)設(shè)置項(xiàng)， 用于直接修改MAC地址。

　　2：第二種方法就是修改IP到MAC的映射就可使P2P攻擊的ARP欺騙失效， 就隔開突破它的限制。 方法就是在cmd下用ARP -a命令得到網(wǎng)關(guān)的MAC地址， 最后用ARP -s IP 網(wǎng)卡MAC地址命令把網(wǎng)關(guān)的IP地址和它的MAC地址映射起來就可以了。

　　Vista和XP系統(tǒng)：只要用arp命令綁定自己MAC和路由MAC就行了， 如：

　　arp -s 自己IP 自己MAC

　　arp -s 路由IP 路由MAC

　　最好都綁定一下， 只綁定路由的話， 出了IP沖突就上不去了， 別人照樣能T你下線， 如果綁定了自己的話， IP沖突了也能上網(wǎng)。

　　Windows 9x/2000就需要軟件了， 搜索一下anti arp sniffer就行了， 設(shè)置好路由IP,mac 。 不過XP和Vista系統(tǒng)也可以安裝這個(gè)軟件， 可以清楚的看到誰(shuí)想T你下線或者想限制你。 當(dāng)然， 這樣的系統(tǒng)還建議更換成Vista或者XP， 只要上面設(shè)置一下， p2p終結(jié)者就報(bào)廢了。

　　Vista和XP系統(tǒng)在cmd狀態(tài)輸入： arp -a

　　如果路由IP 還有自己IP最后面狀態(tài)是static， 那么就表示綁定成功

　　arp -d

　　綁定之前也最好輸入一下， 刪除非法綁定。

　　看到這些， 大家都明白了吧， 其實(shí)都不難的。