一般攻击者会使用如同“网络执法官”这类的软件,发送数据包改变ARP缓存中的网关ip对应的MAC地址,导致找不到真正的网关而不能连如internet。原来解决这种攻击的办法是修改自己的MAC地址,使得攻击者暂时失去真正的目标,然后重新连入网络,获取网关的正确MAC地址,以便在以后被攻击后好恢复网络。
方法如下:进入到虚拟的DOS模式下ping自己的网关,然后用arp -a 命令可以看到缓存中网关对应的MAC地址,然后记录下来。当再次受到攻击导致无法上网时候可以在DOS下用arp -s 网关ip 网关MAC地址 的方式手动建立映射关系重新恢复和网关的通信。
但是这种方法在碰到恶意的连续攻击的情况下是很麻烦的,严整影响了正常使用,因为你不得不常常去修改你的缓存。还好找到了ColorSoft出的Anti Arp sniffer小东西,使用起来很简单,直接把你记录到的网关正确MAC填进去,在把自己的网卡MAC填进去,然后打开自动防护和防护地址冲突就可以了,他会自动过滤掉攻击的欺骗数据包,从而使你网络更稳定。呵呵,再也不怕因为攻击而游戏掉线了。现在Anti Arp sniffer出到了2.0版,但是感觉还是不够方便,不能自动获得当前本机的网卡MAC,在受到连续攻击的时候不停弹出受攻击的提示,十分碍眼。不过总体说来还是不错的好东东了
arp -a 查出网关MAC地址
arp -s 192.168.x.x 00-00-00-00-00-00-00
其中:192.168.x.x(网关IP)
00-00-00-00-00-00(网关MAC)
不会多查查帮助吧,系统自带的
二、 ARP攻击补丁防范网络剪刀
分类C病毒
因为网络剪刀手等工具的原理就是利用了ARP欺骗,所以,只要防止了ARP欺骗也等于防止了网络剪刀手。
解决办法:应该把你的网络安全信任关系建立在IP+MAC地址基础上,设置静态的MAC-地址->IP对应表,不要让主机刷新你设定好的转换表。
先在网上找一些MAC地址查找器,然后用编辑软件编辑一下编写成下面的批处理文件,
@echo off
arp -d
arp -s 192.168.5.10 00:0A:EB:C1:9B:89
arp -s 192.168.5.11 00:05:5D:09:41:09
arp -s 192.168.5.12 52:54:AB:4F:24:9D
arp -s 192.168.5.34 00:E0:4C:82:06:60
arp -s 192.168.5.35 00:E0:4C:62:F4:7C
arp -s 192.168.5.36 02:E0:4C:A0:F6:A2
。。
。。
。。
arp -s 192.168.5.201 00:10:5C:B9:AD:99
arp -s 192.168.5.215 00:0A:EB:10E:74
arp -s 192.168.5.220 00:E0:4C:5B:CF:49
arp -s 192.168.5.221 00:118:AE:8F:C5
arp -s 192.168.5.223 00:11:2F:E4:32:EB
(将文件中的IP地址和MAC地址更改为您自己的网络IP地址和MAC地址即可),保存下来,如果有人更新了你的arp,你就运行一下你的批处理文件就行了。
因为网络剪刀手等工具的原理就是利用了ARP欺骗,所以,只要防止了ARP欺骗也等于防止了网络剪刀手。