内容导读:导航目录:1、什么软件可以监控局域网内arp攻击的电脑?2、有没什么软件可以让使用ARP攻击软件的主机断网?3、如何拦截ARP攻击4、求防ARP攻击的优秀工具5、用什么软件可以模拟ARP攻击和防御?6、如何可...……
导航目录:
- 1、什么软件可以监控局域网内arp攻击的电脑?
- 2、有没什么软件可以让使用ARP攻击软件的主机断网?
- 3、如何拦截ARP攻击
- 4、求防ARP攻击的优秀工具
- 5、用什么软件可以模拟ARP攻击和防御?
- 6、如何可以有效的防止局域网中其他人用arp攻击?或者有什么软件可以弄他的?
什么软件可以监控局域网内arp攻击的电脑?
1、上网监控并不需要被监视电脑安装软件的,内网监控才需要安装工作站;
2、对付ARP攻击方式监控软件的解决 *** :路由绑定IP和MAC,被监视电脑安装彩影的ANTIARP,所有ARP攻击所谓监控软件就自动成废物不用管他;比如P2P终结、执法官、长角牛、聚生、幽狗、剪刀手等,这些全成废物垃圾了;360ARP火墙或瑞星等的效率太低是可能无用的哦;那些垃圾软件都是采用牺牲 *** 带宽为代价疯狂发送ARP攻击包的 *** ,所以 *** 经常掉线或 *** 瘫痪就是这个原因;
3、对付WINPCAP免费接口驱动的旁听监控软件 *** :检查是否路由出来连接了一个共享式HUB(10M老式HUB),连接的 *** 是一头连接路由,一头连接交换机,一头连接一个管理电脑,而这个电脑就是采用WINPCAP免费教学接口做的玩具类的旁听监控软件;你只要卸掉WINPCAP驱动或去掉那个HUB,或把你的网线直接连接到出口路由,那么他们就失去了作用了;
4、值得注意的是,类似ANYVIEW( *** 警)这样的 *** 监控软件,做成了网桥或网关模式的话,你是怎么都逃避不了被监视的了,除非你不上网;或拔掉网线;
5、假如你的 *** 变慢或一些应用无法用了,或P2P速度很低,是否 *** 莫名其妙掉线;那么你就应该检查是否ARP被攻击,是否被连接了HUB等;正被 *** 监控中
有没什么软件可以让使用ARP攻击软件的主机断网?
ARP病毒---导致 *** (ping)时断时通---解决办法
【解决思路】
1、不要把你的 *** 安全信任关系建立在IP基础上或MAC基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。
2、设置静态的MAC--IP对应表,不要让主机刷新你设定好的转换表。
3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
5、使用“proxy” *** IP的传输。
6、使用硬件屏蔽主机。设置好你的路由,确保IP地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
7、管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。
8、管理员定期轮询,检查主机上的ARP缓存。
9、使用防火墙连续监控 *** 。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。
【HiPER用户的解决方案】
建议用户采用双向绑定的 *** 解决并且防止ARP欺骗。
1、在PC上绑定路由器的IP和MAC地址:
1)首先,获得路由器的内网的MAC地址(例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa局域网端口MAC地址)。
2)编写一个批处理文件rarp.bat内容如下:
@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa
将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。
将这个批处理软件拖到“windows--开始--程序--启动”中。
rp
显示和修改“地址解析协议 (ARP)”缓存中的项目。ARP 缓存中包含一个或多个表,它们用于存储 IP 地址及其经过解析的以太网或令牌环物理地址。计算机上安装的每一个以太网或令牌环 *** 适配器都有自己单独的表。如果在没有参数的情况下使用,则 arp 命令将显示帮助信息。
语法
arp[-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]]
参数
-a[ InetAddr] [ -N IfaceAddr]
显示所有接口的当前 ARP 缓存表。要显示特定 IP 地址的 ARP 缓存项,请使用带有 InetAddr 参数的 arp -a,此处的 InetAddr 代表 IP 地址。如果未指定 InetAddr,则使用之一个适用的接口。要显示特定接口的 ARP 缓存表,请将 -N IfaceAddr 参数与 -a 参数一起使用,此处的 IfaceAddr 代表指派给该接口的 IP 地址。-N 参数区分大小写。
-g[ InetAddr] [ -N IfaceAddr]
与 -a 相同。
-d InetAddr [IfaceAddr]
删除指定的 IP 地址项,此处的 InetAddr 代表 IP 地址。对于指定的接口,要删除表中的某项,请使用 IfaceAddr 参数,此处的 IfaceAddr 代表指派给该接口的 IP 地址。要删除所有项,请使用星号 (*) 通配符代替 InetAddr。
-s InetAddr EtherAddr [IfaceAddr]
向 ARP 缓存添加可将 IP 地址 InetAddr 解析成物理地址 EtherAddr 的静态项。要向指定接口的表添加静态 ARP 缓存项,请使用 IfaceAddr 参数,此处的 IfaceAddr 代表指派给该接口的 IP 地址。
/?
在命令提示符下显示帮助。
注释
? InetAddr 和 IfaceAddr 的 IP 地址用带圆点的十进制记数法表示。
? EtherAddr 的物理地址由六个字节组成,这些字节用十六进制记数法表示并且用连字符隔开(比如,00-AA-00-4F-2A-9C)。
按以下顺序删除病毒组件
1) 删除 ”病毒组件释放者”
%windows%\SYSTEM32\LOADHW.EXE
2) 删除 ”发ARP欺骗包的驱动程序” (兼 “病毒守护程序”)
%windows%\System32\drivers\npf.sys
a. 在设备管理器中, 单击”查看”--”显示隐藏的设备”
b. 在设备树结构中,打开”非即插即用….”
c. 找到” NetGroup Packet Filter Driver” ,若没找到,请先刷新设备列表
d. 右键点击” NetGroup Packet Filter Driver” 菜单,并选择”卸载”.
e. 重启windows系统,
f. 删除%windows%\System32\drivers\npf.sys
3) 删除 ”命令驱动程序发ARP欺骗包的控制者”
%windows%\System32\msitinit.dll
2. 删除以下”病毒的假驱动程序”的注册表服务项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf
三、定位ARP攻击源头和防御 ***
1.定位ARP攻击源头
主动定位方式:因为所有的ARP攻击源都会有其特征——网卡会处于混杂模式,可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的,从而判断这台机器有可能就是“元凶”。定位好机器后,再做病毒信息收集,提交给趋势科技做分析处理。
标注:网卡可以置于一种模式叫混杂模式(promiscuous),在这种模式下工作的网卡能够收到一切通过它的数据,而不管实际上数据的目的地址是不是它。这实际就是Sniffer工作的基本原理:让网卡接收一切它所能接收的数据。
被动定位方式:在局域网发生ARP攻击时,查看交换机的动态ARP表中的内容,确定攻击源的MAC地址;也可以在局域居于网中部署Sniffer工具,定位ARP攻击源的MAC。
也可以直接Ping网关IP,完成Ping后,用ARP –a查看网关IP对应的MAC地址,此MAC地址应该为欺骗的MAC。
使用N *** SCAN可以取到PC的真实IP地址、机器名和MAC地址,如果有”ARP攻击”在做怪,可以找到装有ARP攻击的PC的IP、机器名和MAC地址。
命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段,即192.168.16.25-192.168.16.137。输出结果之一列是IP地址,最后一列是MAC地址。
N *** SCAN的使用范例:
假设查找一台MAC地址为“000d870d585f”的病毒主机。
1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。
2)在Windows开始—运行—打开,输入cmd(windows98输入“command”),在出现的DOS窗口中输入:C: btscan -r 192.168.16.1/24(这里需要根据用户实际网段输入),回车。
3)通过查询IP--MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。
通过上述 *** ,我们就能够快速的找到病毒源,确认其MAC——〉机器名和IP地址。
如何拦截ARP攻击
1、 部署ARP防火墙防御ARP攻击、抵御ARP欺骗。通过对ARP攻击原理的分析得知,有效防止ARP断网攻击的 *** 就是采用ARP防火墙来绑定电脑的ARP表项,也就是网关的IP和MAC地址进行绑定。当然,也不一定非要通过ARP防火墙的方式来实现,通过操作系统的自带的ARP绑定命令同样可以实现网关的ARP镜头绑定,从而达到有效限制ARP攻击行为的目的
2、 通过购买带有防ARP欺骗功能、查杀ARP病毒的路由器、防火墙来抵抗ARP攻击行为。现在一些带有上网行为管理功能的路由器、防火墙常常集成了ARP攻击防护功能,可以有效防止局域网ARP攻击行为;同时,也可以通过路由器的IP和MAC地址绑定来达到防范ARP攻击的目的。
3、 通过部署专业的ARP攻击防护软件、ARP病毒检测软件来检测局域网ARP攻击行为,一旦发现ARP攻击行为,则可以通过ARP攻击防御软件来对其进行防御,甚至隔离开局域网,从而一方面可以让网管员及时发现并制止局域网电脑的ARP攻击行为,甚至配合行政处罚等来管控局域网员工随意使用ARP攻击软件、ARP限速软件来干扰和破坏局域网的行为,不至于在局域网出现ARP攻击行为时无法定位查找攻击源主机的窘况;另一方面,通过ARP攻击防御软件的隔离、免疫举措,可以即时防止ARP攻击行为给局域网造成的危害,防止员工电脑不小心遭遇ARP病毒侵袭时,对局域网造成的断网攻击危害。目前,国内一些伤上网行为管理厂家推出了一系列的ARP攻击防护软件或带有ARP攻击防护功能的 *** 管理产品。我们以国内较为知名的网管软件“聚生网管”为例,聚生网管系统集成了ARP攻击检测功能,也就是在局域网启动聚生网管系统后,一旦有局域网电脑主动或被动发动ARP攻击行为时,聚生网管系统会实时输出发动ARP攻击的电脑的IP和MAC地址等信息,同时自动向局域网发送ARP攻击免疫信息,从而极大地降低了ARP攻击对局域网造成的危害,使得局域网电脑不会因为ARP攻击而出现掉线和断网现象。同时,通过聚生网管系统集成的“大势至局域网安全卫士”,可以将发动ARP攻击的电脑进行强制隔离,使得发动ARP攻击的电脑无法再向局域网发动ARP攻击,同时也无法和局域网其他电脑通讯,也无法访问互联网,使其完全隔离开局域网
总之,局域网有效防止ARP攻击和防止ARP欺骗,必须综合采用各种手段,才可以有效防止局域网ARP攻击对企业内部局域网造成的危害,有力地保护局域网 *** 安全的稳定和畅通
求防ARP攻击的优秀工具
金山贝壳ARP防火墙:
ARP主动防御功能,保障网关不受ARP欺骗影响;
拦截IP地址冲突,内核级 *** 数据包过滤效率更高,丝毫不影响上网、下载和玩游戏;
ARP攻击双向拦截,让局域网更安全,在保护本机不被攻击的同时,拦截本机的对外攻击;
集成查杀盗号木马功能,保护计算机不受木马/病毒的侵害;
完美支持所有windows操作系统,包括Windows 2000、XP、2003、Vista以及Windows 7;
完全兼容其他杀毒软件和软件防火墙,完全无需担心软件冲突问题。
金山网镖2010
集成ARP防火墙功能,可以有效防御局域网内部的ARP欺骗攻击,保护 *** 数据的正常流量。需要时可以开启。
两者效果都不错,当然,前者更专业一些。
用什么软件可以模拟ARP攻击和防御?
预防ARP攻击比较使用专业的ARP防火墙并开启它,就可以有效地防止ARP攻击。目前相对来说,360ARP防火墙比较不错。它专门针对局域网内ARP攻击进行拦截,是比较有效的ARP攻击拦截工具之一,建议你安装360安全卫士后把ARP防火墙开启试试。
如何可以有效的防止局域网中其他人用arp攻击?或者有什么软件可以弄他的?
我有能弄死ARP攻击的软件。。
我昨天刚删掉。
因为自己拉了一条
好像叫STINGARP。。。。 你搜搜
特变态。。
只要一开 只有自己能上网
局域网所有的人都上不去