一般攻擊者會使用如同“網絡執法官”這類的軟件,發送數據包改變ARP緩存中的網關ip對應的MAC地址,導致找不到真正的網關而不能連如internet。原來解決這種攻擊的辦法是修改自己的MAC地址,使得攻擊者暫時失去真正的目標,然後重新連入網絡,獲取網關的正確MAC地址,以便在以後被攻擊後好恢復網絡。
方法如下:進入到虛擬的DOS模式下ping自己的網關,然後用arp -a 命令可以看到緩存中網關對應的MAC地址,然後記錄下來。當再次受到攻擊導致無法上網時候可以在DOS下用arp -s 網關ip 網關MAC地址 的方式手動建立映射關係重新恢復和網關的通信。
但是這種方法在碰到惡意的連續攻擊的情況下是很麻煩的,嚴整影響了正常使用,因爲你不得不常常去修改你的緩存。還好找到了ColorSoft出的Anti Arp sniffer小東西,使用起來很簡單,直接把你記錄到的網關正確MAC填進去,在把自己的網卡MAC填進去,然後打開自動防護和防護地址衝突就可以了,他會自動過濾掉攻擊的欺騙數據包,從而使你網絡更穩定。呵呵,再也不怕因爲攻擊而遊戲掉線了。現在Anti Arp sniffer出到了2.0版,但是感覺還是不夠方便,不能自動獲得當前本機的網卡MAC,在受到連續攻擊的時候不停彈出受攻擊的提示,十分礙眼。不過總體說來還是不錯的好東東了
arp -a 查出網關MAC地址
arp -s 192.168.x.x 00-00-00-00-00-00-00
其中:192.168.x.x(網關IP)
00-00-00-00-00-00(網關MAC)
不會多查查幫助吧,系統自帶的
二、 ARP攻擊補丁防範網絡剪刀
分類C病毒
因爲網絡剪刀手等工具的原理就是利用了ARP欺騙,所以,只要防止了ARP欺騙也等於防止了網絡剪刀手。
解決辦法:應該把你的網絡安全信任關係建立在IP+MAC地址基礎上,設置靜態的MAC-地址->IP對應表,不要讓主機刷新你設定好的轉換表。
先在網上找一些MAC地址查找器,然後用編輯軟件編輯一下編寫成下面的批處理文件,
@echo off
arp -d
arp -s 192.168.5.10 00:0A:EB:C1:9B:89
arp -s 192.168.5.11 00:05:5D:09:41:09
arp -s 192.168.5.12 52:54:AB:4F:24:9D
arp -s 192.168.5.34 00:E0:4C:82:06:60
arp -s 192.168.5.35 00:E0:4C:62:F4:7C
arp -s 192.168.5.36 02:E0:4C:A0:F6:A2
。。
。。
。。
arp -s 192.168.5.201 00:10:5C:B9:AD:99
arp -s 192.168.5.215 00:0A:EB:10E:74
arp -s 192.168.5.220 00:E0:4C:5B:CF:49
arp -s 192.168.5.221 00:118:AE:8F:C5
arp -s 192.168.5.223 00:11:2F:E4:32:EB
(將文件中的IP地址和MAC地址更改爲您自己的網絡IP地址和MAC地址即可),保存下來,如果有人更新了你的arp,你就運行一下你的批處理文件就行了。
因爲網絡剪刀手等工具的原理就是利用了ARP欺騙,所以,只要防止了ARP欺騙也等於防止了網絡剪刀手。