arp偽裝攻擊一般使用者解決方式 - 資安

因為有網友沒辦法正常開啟網頁，所以將文章轉貼此處，文章很長，請各位包涵。
這種攻擊方式針對的是網路架構的問題，跟系統無關，所以不同的系統有不同的解決方式，不過原理都是一樣的，這邊只提供簡單的解決Client端解決方式，
Server端的部份等有空再寫一篇吧。

首先針對PTT上的網友提出的問題給予回覆：

但怎樣才能確知Gateway的mac是正確的呢?
因為我反覆的arp -d 和 ping gateway'IP 再去arp -a裡面看,
發現mac位址會變動,所以不知道哪個才是真的gateway的mac,
哪個是中毒電腦的mac? 因為在學網,所以不知如何查起...囧
另外開機執行的bat,要怎麼寫呢? 直接放在啟動內嗎?

因為arp偽裝主要就是偽裝GW的mac address，
所以會有碰到mac address變換的問題，
而這個變換的mac address就是中arp偽裝的電腦喔！！
所以確認GW的mac address時，一定要確定你的網路是正常的可以連出網際網路，
那時的mac address才是對的。

除了ping以外，你可以利用nbtstat這個指令找出正確的GW（win only）。
在cmd底下打nbtstat -a GW的IP，
你會看見這個IP的資訊，包括電腦名稱，IP，mac address等。
先確定這個IP的電腦名稱是你們的GW吧。

至於bat的寫法，你可以開啟記事本，
在裡面打上：
arp -d
arp -s GW的IP GW的mac_address
然後存檔成x.bat
放在啟動就行了，不過這個方式只能暫時解決燃眉之急，
最重要的還是要網管人員將已中arp偽裝的電腦找出來然後解毒並且修正網路環境的漏洞。

在觀念上即為手動設定你電腦GW的IP及mac address，別讓它被其他的arp封包所欺騙，
Client端解決的方式只能注意這一點，不過如果GW本身都被欺騙的話..
你想出去也有問題就是了，這部份只能靠網管人員解決。

--
http://sanature.blogspot.com/

--