防止ARP***的技巧

防止ARP***的技巧

　 ARP（Address Resolution Protocol，地址解析協議）是一個位於TCP/IP協議棧中的底層協議，負責將某個IP地址解析成對應的MAC地址。

　　ARP協議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的進行。 　　ARP（Addre***esolutionProtocol）是地址解析協議，是一種將IP 地址轉化成物理地址的協議。從IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。ARP具體說來就是將網絡層（IP層，也就是相當於OSI的第三層）地址解析爲數據連接層（MAC層，也就是相當於OSI的第二層）的MAC地址。

解決ARP***的方法

【故障原因】

　　局域網內有人使用ARP欺騙的***程序（比如：傳奇盜號的軟件，某些傳奇外掛中也被惡意加載了此程序）。

　　【故障原理】

　　要了解故障原理，我們先來了解一下ARP協議。

　　在局域網中，通過ARP協議來完成IP地址轉換爲第二層物理地址（即MAC地址）的。ARP協議對網絡安全具有重要的意義。通過僞造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞。

　　ARP協議是“Address Resolution Protocol”（地址解析協議）的縮寫。在局域網中，網絡中實際傳輸的是“幀”，幀裏面是有目標主機的MAC地址的。在以太網中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢？它就是通過地址解析協議獲得的。所謂“地址解析”就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。ARP協議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的順利進行。

　　每檯安裝有TCP/IP協議的電腦裏都有一個ARP緩存表，表裏的IP地址與MAC地址是一一對應的，如下表所示。　　

　　主機 IP地址 MAC地址

　　A 192.168.16.1 aa-aa-aa-aa-aa-aa

　　B 192.168.16.2 bb-bb-bb-bb-bb-bb

　　C 192.168.16.3 cc-cc-cc-cc-cc-cc

　　D 192.168.16.4 dd-dd-dd-dd-dd-dd　　

　　我們以主機A（192.168.16.1）向主機B（192.168.16.2）發送數據爲例。當發送數據時，主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了，也就知道了目標MAC地址，直接把目標MAC地址寫入幀裏面發送就可以了；如果在 ARP緩存表中沒有找到相對應的IP地址，主機A就會在網絡上發送一個廣播，目標MAC地址是“FF.FF.FF.FF.FF.FF”，這表示向同一網段內的所有主機發出這樣的詢問：“192.168.16.2的MAC地址是什麼？”網絡上其他主機並不響應ARP詢問，只有主機B接收到這個幀時，才向主機 A做出這樣的迴應：“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。這樣，主機A就知道了主機B的MAC地址，它就可以向主機B發送信息了。同時它還更新了自己的ARP緩存表，下次再向主機B發送信息時，直接從ARP緩存表裏查找就可以了。ARP緩存表採用了老化機制，在一段時間內如果表中的某一行沒有使用，就會被刪除，這樣可以大大減少ARP緩存表的長度，加快查詢速度。

　　從上面可以看出，ARP 協議的基礎就是信任局域網內所有的人，那麼就很容易實現在以太網上的ARP欺騙。對目標A進行欺騙，A去Ping主機C卻發送到了DD-DD-DD- DD-DD-DD這個地址上。如果進行欺騙的時候，把C的MAC地址騙爲DD-DD-DD-DD-DD-DD，於是A發送到C上的數據包都變成發送給D的了。這不正好是D能夠接收到A發送的數據包了麼，嗅探成功。

　　A對這個變化一點都沒有意識到，但是接下來的事情就讓A產生了懷疑。因爲A和C連接不上了。D對接收到A發送給C的數據包可沒有轉交給C。

　　做“man in the middle”，進行ARP重定向。打開D的IP轉發功能，A發送過來的數據包，轉發給C，好比一個路由器一樣。不過，假如D發送ICMP重定向的話就中斷了整個計劃。

　　D直接進行整個包的修改轉發，捕獲到A發送給C的數據包，全部進行修改後再轉發給C，而C接收到的數據包完全認爲是從A發送來的。不過，C發送的數據包又直接傳遞給A，倘若再次進行對C的ARP欺騙。現在D就完全成爲A與C的中間橋樑了，對於A和C之間的通訊就可以瞭如指掌了。

　　【故障現象】

　　當局域網內某臺主機運行ARP欺騙的***程序時，會欺騙局域網內所有主機和路由器，讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過路由器上網現在轉由通過病毒主機上網，切換的時候用戶會斷一次線。

　　切換到病毒主機上網後，如果用戶已經登陸了傳奇服務器，那麼病毒主機就會經常僞造斷線的假像，那麼用戶就得重新登錄傳奇服務器，這樣病毒主機就可以盜號了。

　　由於ARP欺騙的***程序發作的時候會發出大量的數據包導致局域網通訊擁塞以及其自身處理能力的限制，用戶會感覺上網速度越來越慢。當ARP欺騙的***程序停止運行時，用戶會恢復從路由器上網，切換過程中用戶會再斷一次線。

ARP 這個病毒厲害是厲害.,但是他唯一的問題就是必須調用系統裏的npptools.dll文件...網絡執法官一類的軟件也用這個...如果你把這個DLL 文件刪除了..之後隨便弄個DLL改名爲npptools.dll然後NTFS分區格式把權限都弄掉...如果是FAT格式弄個只讀就OK了.`~`

解決辦法：
新建一個文本文檔，改名爲npptools.dll然後把他覆蓋到system32文件夾裏，如果沒關文件保護的朋友，只要把 system32\dllcache裏也覆蓋一份剛纔建的npptools.dll也可以~然後把它的屬性改爲只讀，隱藏，然後再把他的everyone 權限都去掉，即可！
之後把這個文件的屬性改爲只讀，隱藏，把他的everyone的權限再搞掉，病毒死也搞不能替換
也不能使用，所以arp是不會起作用的，從而起到防ARP的目的~~這個辦法很適用~目前發現
logo1也有arp的功能了，偶有個店還沒從新做系統logo1還沒免疫，發現中LOGO1的機器用
arp -a命令還可以看到連接很多IP。。但是沒有掉線情況，因爲偶用了替換npptools.dll文件的
辦法~~所以推薦給大家~~用了，控制住了，恭喜你！