關於ARP網路攻擊的疑問~希望大家解惑 - 資安

By Dora
at 2008-01-14T17:29

Table of Contents

※ 引述《loui921 (雨過天晴)》之銘言：
: ※ [本文轉錄自 AntiVirus 看板]
: 作者: loui921 (雨過天晴) 看板: AntiVirus
: 標題: [問題] 關於ARP網路攻擊的疑問~希望大家解惑
: 時間: Sun Jan 13 02:23:18 2008
: 我不是中毒...預設的內容可以刪掉吼?
: 我蒐尋打了一下ARP...查不到什麼資料...
: 所以PO文詢問...如果PO錯地方請說一下~"~
: 最近我們學校常常遭受ARP網路攻擊
: 導致宿網非常不穩定
: 學校是直接把該中毒電腦的網路封鎖
: 讓他無法利用區域網路繼續攻擊其他電腦
: 但沒多久又會有新的電腦中類似的病毒
: 所以想請問一下有沒有比較好的預防方法
: 或者是殺毒感覺好像一般的防毒軟體沒辦法殺掉他
: 才會一直到現在都沒有解決良策
: 因為PO到一半...順便也問問推薦的防火牆
: 如果可以爬文找到~麻煩告知一下
: 因為我正在趕期末>"<
: 只有時間大概看一下文
: 沒有很多時間去爬...
: 最後~在此先謝謝大家的回答^^

arp攻擊的部份，問題在於網路的邏輯架構不完整，
宿網又不太會去使用一個IP綁一個mac address的政策。
因為你不是網管人員，所以這邊我就不提掃描跟找出兇手的方法，
只提可以讓你不斷線的方法囉：
首先先知道arp攻擊的大概方式，簡單來說，當你要找GateWay的IP時，
會發送一個who has 10.0.0.1的arp封包，如果有中arp病毒的那台電腦這時就會發作，
跟你講說它有10.0.0.1的位置，mac address是"它的mac address"。
這樣你就找不到GateWay的mac address啦，然後就把封包都丟給那台偽裝的電腦。
所以大部分都稱它為arp偽裝攻擊。

再來說解決方法，打開cmd，
1.arp -a 查看你現在的arp列表
2.arp -d 清除所有arp列表
3.arp -s gatewate的mac address 將你gw的mac address手動綁定

上面的指令重開機之後就會失效，你可以寫一個bat檔一開機就執行。

--

--

All Comments

By Odelette
at 2008-01-18T20:14

arp -s 10.0.0.1 mac-address才對少打了gw IP

By Madame
at 2008-01-22T04:21

謝謝幫忙~~~我想這樣已經可以解決很多人的問題了^^

By Tristan Cohan
at 2008-01-25T13:23

所以我要打arp -s 157.55.85.xxx 類似這樣?

By Una
at 2008-01-29T04:30

而那IP就是getewate的mac address??

By Charlie
at 2008-02-01T00:27

你先用ipconfig /all查你的GW IP跟address
arp -s ip macaddress ，ip跟address都是閘道器的

By Lucy
at 2008-02-02T01:44

打的格式類似 arp -s 192.168.1.1 00:14:51:7c:d9:e0

By Leila
at 2008-02-04T17:58

但怎樣才能確知Gateway的mac是正確的呢? 因為我反覆的
arp -d 和 ping gateway'IP 再去arp -a裡面看,發現mac

By Necoo
at 2008-02-09T02:59

位址會變動,所以不知道哪個才是真的gateway的mac,哪個

By Rosalind
at 2008-02-09T05:30

是中毒電腦的mac? 因為在學網,所以不知如何查起...囧

By Selena
at 2008-02-10T20:59

另外開機執行的bat,要怎麼寫呢? 直接放在啟動內嗎?

By Charlie
at 2008-02-13T05:05

我將簡單的解決方式放在此頁，因為這東西還會變種，如

By Robert
at 2008-02-14T05:53

如果有其他的問題再提問，因為這東西還蠻麻煩的

By John
at 2008-02-15T17:50

http://sanature.blogspot.com/2008/01/arpclient.html

By Xanthe
at 2008-02-18T03:23

解毒的我丟另一篇，也可以確認一下自己是否中毒。

By Caroline
at 2008-02-21T02:01

目前情況為部份網頁無法開啟,大大給的連結開不起來..@@

By Edwina
at 2008-02-23T03:08

我用AntiARP跑出來的gateway mac 都是同一組,而用arp-a
看到的GW mac卻會變動,真奇妙...囧

By Annie
at 2008-02-25T06:26

我重新發一篇在下面了，希望能解決你的問題。

By Mary
at 2008-03-01T06:18

因為AntiARP會先去確認GW的正常通道，arp這個指令單純
只是給予使用者查看arp列表而已,不是修復工具,差別在此

By Skylar Davis
at 2008-03-02T18:34

不過AntiARP算是使用第三方軟體來達成arp -s的功能，所
以我不喜歡，萬一因此又中了木馬得不償失，故只介紹-s

By Quintina
at 2008-03-05T12:22

太感謝大大的熱心協助了...~~~ 我再跑跑看囉~

By Anonymous
at 2008-03-06T08:36

謝謝大大的熱心協助>"<

By Valerie
at 2008-03-07T04:14

互相研究囉..反正我現在沒事作XD

By George
at 2008-03-07T22:01

話說成大的宿網好像就是一個ip綁一個mac address?

By Todd Johnson
at 2008-03-10T09:27

這篇好專業@@推!!

Related Posts

公司監控如何防止

By Bennie
at 2008-01-10T22:52

今天有同事偷偷的跟我說在公司用電腦都要小心點最近開始監控了(說啥花了三十萬買防水牆!) 但對那套軟體是一點概念都沒有在公司的電腦上是都會裝simplite 但是其實之前在某電子廠當網管的學弟就說了他們有系統可以監控更多連simplite都沒用連公司的人在上網拍~跟誰交談通通可以看到 ...

使用netstat指令得到的結果

By Ida
at 2008-01-08T12:26

※ 引述《thisisshita (..)》之銘言： : 請問一下 : 如果我用netstat 這個指令 : 卻出來幾個學校的ip : 兩個是宿網一個是計中 : 我沒有連他們學校的網路 : 這代表什麼? : 是跳板的機率大? 還是駭客的機率大? 你可以使用Active Ports 這套免費軟體是一個在Wi ...

關於被監控的問題!!

By Hazel
at 2008-01-06T22:03

※ 引述《alexfish2 (fish)》之銘言： : 我不知道我上班的地方有沒有監控的軟體或裝置 : 如果要做到不被監控，我該怎麼做呢?? : 假設我使用的電腦os是我自已灌的，裡面所要用到的程式也是我自已灌且知道作用的 : 只有ip是大家都知道的，如果我在把使用者設密碼，那~~我登入後還有可能被監控嗎? ...

硬體防火牆與軟體防火牆都裝會更安全嗎

By Eden
at 2008-01-01T22:44

會相衝嗎順便請問市面上有哪些雙核PC主機板內建防火牆不論Intel或AMD 便宜為佳 -- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 若要回應我張貼ㄉ文章,方便ㄉ話,也請回信箱,以免我漏看 Iand#39;m searching Somew ...

遠端電腦重開機?

By Daph Bay
at 2008-01-01T09:56

※ 引述《shawkid (Edge)》之銘言： : 大家好 : 小弟有個問題想請教大家 : 我在學校加了一台server : 但是常常無法遠端登入(都是黑色畫面) : 但是我架的FTP 站還可以連進去並下載東西 : 想請問板上的大大有沒有辦法讓遠端主機重開機阿 : ps 有該主機的帳號密碼 ...