反黑风暴-第24部分

快捷操作: 按键盘上方向键 ← 或 → 可快速上下翻页 按键盘上的 Enter 键可回到本书目录页 按键盘上方向键 ↑ 可回到本页顶部! 如果本书没有阅读完，想下次继续接着阅读，可使用上方 "收藏到我的浏览器" 功能 和 "加入书签" 功能！


在命令提示符窗口的命令提示符下输入命令“asp…a”，就可以查看ARP缓存表中的内容。

不仅可以查看ARP缓存表，还可以根据需要修改或清除ARP表中的内容。在命令提示符下，在其中输入命令“arp…d＋空格＋”，即可删除指定IP所在行的内容；在其中输入命令“arp–d”，即可删除ARP缓存表里的所有内容；在其中输入命令“arp…s”，即可手动在ARP表中指定IP地址与MAC地址的对应，类型为static（静态）。

该项并没有存储在ARP缓存表中，而是存储在硬盘中，计算机重新启动后仍然存在，且遵循静态优于动态的原则，因此，这个设置非常重要。如果设置不正确，可能会导致用户无法上网。

10。2。4遭遇ARP攻击后的现象

遭遇ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和安全网关，让所有上网的流量必须经过病毒主机。这就可能导致局域网内的用户突然掉线，过一段时间后又会恢复正常。

在此期间，用户的主机还可能会出现频繁断网、IE浏览器频繁出错以及一些常用软件出现故障等情况。如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网关），重启计算机或在命令提示符窗口中输入命令“arp–d”后，又可恢复上网。一般来说，遭遇ARP欺骗攻击后，就会出现上面介绍的几种情况，但如果情况严重的话，还可能导致整个网络的瘫痪。

使用局域网的一些用户遇到上面的情况时，常常认为PC没有问题，交换机也没有掉线的“本事”。而且如果用户遭遇ARP欺骗攻击的类型是对路由器ARP表的欺骗，那么，只要用户重新启动路由器，就能使网络恢复正常。

这样，用户就会认为造成断网的罪魁祸首就是路由器。其实不然，通过上面的分析，知道造成这种现象的原因其实就是受到ARP欺骗攻击。

另外，一旦计算机中的ARP欺骗木马发作时，除了会使局域网内的计算机出现以上现象外，攻击者还会利用该木马窃取用户的密码，如盗取QQ密码、各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，会给用户造成了很大的不便和巨大的经济损失。

10。2。5ARP欺骗攻击原理

由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通C，这就是ARP欺骗。

ARP欺骗容易造成客户端断网，进行数据嗅探。从影响网络连接通畅的方式来看，ARP欺骗可以分为两种：一种是对路由器ARP表的欺骗，另一种是对内网PC的网关欺骗。

下面分别介绍这两种ARP欺骗的原理。

1。对路由器ARP表的欺骗

对路由器ARP表的欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址。由于网关MAC地址错误，所以从网络中计算机发来的数据无法正常发到网关，自然也就无法正常上网。

2。对内网PC的网关欺骗

对内网PC的网关欺骗的原理是伪造网关。也就是说，这种ARP欺骗会先建立假网关，让被它欺骗的PC向这个假网关发送数据，而不是通过正常的路由器途径上网。这样，内网的PC就会认为上不了网。

10。2。6ARP欺骗的过程

下面以某网络中的ARP欺骗攻击为例，介绍ARP欺骗的过程。

假设某局域网内的交换机连接了3台计算机，分别为计算机A、B、C。其中A的IP地址为192。168。0。6，MAC地址为00…1E…8C…17…BO…8B，B的IP地址为192。168。0。9，MAC地址为00…e0…4c…00…53…e8，C的IP地址为192。168。0。12，MAC地址为00…15…58…89…f7…b1。

在未受到ARP欺骗攻击之前，在计算机A中打开命令提示符窗口，运行命令“arp…a”查询ARP缓存表，应该出现如下信息：

Interface：192。168。0。7——020002

InterAddressPhysicalAddressType

192。168。0。1200…15…58…89…f7…b1dynamic

在计算机B上运行ARP欺骗程序，向A发送一个自己伪造的ARP应答，而这个应答中的数据则是C的IP地址192。168。0。12，MAC地址是08…00…2E…73…2D…BA（C的MAC地址原本是00…15…58…89…f7…b1，这里是伪造的MAC地址）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存。A不知道这个应答是从B发送过来的，A这里只有192。168。0。12（C的IP地址）和无效的08…00…2E…73…2D…BA（伪造的MAC地址）地址。

当计算机A受到ARP欺骗攻击后，再在计算机A上运行“arp…a”命令来查询ARP缓存信息，会发现此时的信息已出现错误，变成如下所示的信息：

Interface：192。168。0。7——020002

InterAddressPhysicalAddressType

192。168。0。1208…00…2E…73…2D…BAdynamic

通过上述信息可以看出，在使用网络传输数据时，虽然都是通过IP地址传输的，但最后还需要通过ARP协议进行地址转换，将IP地址转换为MAC地址。

而上面实例中的计算机A接收到的关于计算机C的MAC地址已经发生错误，所以就算以后从计算机A访问计算机C的这个IP地址，也会被ARP协议解析成错误的MAC地址08…00…2E…73…2D…BA（伪造的MAC地址）。

10。2。7用“P2P终结者”控制局域网

“P2P终结者”是一款局域网控制软件，它的主要功能就是控制和限制同一个局域网内其他的上网用户，比如，限制他人上QQ，不让他人浏览网页和下载资料。只要和你在同一局域网内的计算机用户，都可以控制他，而且只要在电脑上安装运行“P2P终结者”就可以达到前面所述的功能。需要注意的是，“P2P终结者”本身是黑客软件，因此，在使用前，需要关闭本地电脑的防火墙，包括ARP防火墙。

下面了解一下用“P2P终结者”控制局域网的方法。

步骤01在计算机中安装并运行“P2P终结者4。13”，会自动打开【系统设置】对话框，进入软件配置界面（在使用软件之前要先进行配置）。在“请选择连接到待控制网段的网卡”下拉列表中选择自己连接网络所用的网卡，此时下面就会显示网卡的当前IP地址、子网掩码、MAC地址和网关地址等内容。

步骤02切换到【控制设置】选项卡，在其中选中“本软件启动后自动开启控制网络”复选框；为防止新接入主机不受控制，需勾选“发现新主机自动对其进行控制”复选框；为了避免被其他人安装的ARP防火墙探测到正在使用P2P终结者，还需勾选“启用反ARP防护墙追踪模式”复选框。在选中之后，对方ARP防火墙将无法发现ARP攻击IP地址，但是依然能够顺利的阻挡P2P终结者的控制。

步骤03单击【确定】按钮，返回P2P终结者4。13的主界面中。在界面上方单击【启动控制】按钮，即可启动控制服务。

步骤04单击【扫描网络】按钮，稍等片刻后，即可自动显示本网络内正在工作的计算机，从主机列表中可以清楚的看到局域网中每台主机的带宽使用情况。

如果想要主机列表中某一用户的网速，可按照下面的步骤进行操作。

步骤01先创建一个时间计划，也就是设置在什么时间段运行什么规则。在左侧选择“系统设置→时间计划设置”选项，即可打开【时间计划设置】对话框。

步骤02单击【新建】按钮，即可弹出【时间计划】对话框。在“请输入时间计划名称”文本框中输入计划名称，并在下面选中想要生效的时间段。

步骤03创建该时间计划对应的控制规则。在主界面的左侧选择“系统设置→控制规则设置”选项，即可打开【控制规则设置】对话框。

步骤04单击【新建】按钮，即可打开【规则名称】对话框。在“请输入一个规则名称”文本框中输入规则名称，并在“请为规则选定一个时间计划”下拉列表中选择一个时间计划，这里选择刚才创建的时间计划。

步骤05设置宽带限制数值。单击【下一步】按钮，在弹出的【带宽限制】对话框中设置带宽限制数据。

【提示】

默认情况下，2MADSL宽带下行速度是512KB/S，这里推荐限制为50K

B/S，否则在2MADSL宽带中相当于没有限制。

步骤06设置P2P下载限制。单击【下一步】按钮，在弹出的【P2P下载限制】对话框中可以看到包含了下载工具、网络视频工具等使用带宽较多的软件，在其中选择要限制的P2P下载。

步骤07设置即时通讯限制。单击【下一步】按钮，在弹出的【即时通讯限制】对话框中可以选择希望限制的即时通讯工具，如QQ、飞信等。

步骤08限制使用IE直接下载文件的类型。单击【下一步】按钮，在【普通下载限制】对话框中可以添加要进行限制下载的文件类型。

步骤09单击“请输入您希望禁止HTTP下载的文件后缀名”列表框右侧的【添加】按钮，在【文件扩展名输入】对话框中输入要添加的文件后缀名，如exe。

步骤10按照同样的方法，添加其他要禁止HTTP下载的文件后缀名，如zip、rar等，然后单击【确定】按钮，返回【普通下载限制】对话框中。在其中可看到添加的禁止HTTP下载的文件后缀名。

步骤11设置访问限制。单击【下一步】按钮，在弹出的【访问限制】对话框中可以设置访问限制（网页浏览限制）。若选择“使用规则限制访问”选项，则可以设置能够浏览或不能浏览的网址的白/黑名单，还可以让被控主机无法浏览网页。

步骤12设置ACL规则。单击【下一步】按钮，在弹出的【ACL规则设置】对话框中单击【新建】按钮，在其中可以自定义设置需要控制的协议类型及端口范围。

步骤13编辑好规则后，单击【完成】按钮即可。在主界面中的左侧选择“系统运行信息→网络主机列表”选项，在右侧的界面中选中需要控制的主机并右击，在弹出菜单中选择【为选中主机制定规则】菜单项。

步骤14打开【控制规则指派】对话框，在“请选择一个你希望指派的控制规则”下拉列表中选择一个需要应用到该主机的规则，这里选择刚才创建的“规则1”。此时，就可以用设定的规则在制定的时间段来控制该主机的联网活动了。

对某个主机实施了控制后，对方即使使用迅雷下载时也只能达到最高50KB/S的速度。

10。2。8ARP攻击的防护方法

在网络管理中，IP地址盗用现象经常发生，不仅对网络的正常使用造成影响，还会对用户的信息造成潜在的安全隐患。因此，为了防止IP地址被盗用，最大限度地避免此类现象的发生，可以采取一些防护措施，如把IP地址与网卡地址进行捆绑，使用ARP防护软件等。

1．静态绑定

在为主机分配IP地址时，如果将IP和MAC进行静态绑定，可以有效地防止IP地址被盗用。因为ARP欺骗是通过ARP的动态实时的规则欺骗内网机器，只要将ARP全部设置为静态，就可以解决对内网PC的欺骗，同时在网关也要进行IP和MAC的静态绑定，这样双向绑定才能够更保险。下面介绍对主机进行IP和MAC地址进行静态绑定的方法。

步骤01打开命令提示符窗口，输入命令“arp–sIP地址MAC地址”，即可实现IP地址与MAC地址的绑定，如“arp…s192。168。0。700…1E…8C…17…BO…8B”。

步骤02此时，在其中输入命令“arp–a”，如果刚才的绑定设置成功，就会在PC上面看到相关的提示：

InterAddressPhysicalAddressType

192。168。0。700…1E…8C…17…BO…8Bstatic（静态）。

如果没有将IP地址与MAC地址进行绑定，则在动态的情况下，输入命令“arp–a”，会在PC上看到如下提示：

InterAddressPhysicalAddressType

192。168。0。700…1E…8C…17…BO…8Bdynamic（动态）

采用上面介绍的方法绑定网络中的一台或几台主机比较方便，但若网络中有很多台主机，如300台或800台，这样每一台去做静态绑定，工作量非常大。而且这种静态绑定，在电脑每次重新启动后，都必须重新绑定才有效。

2．使用ARP防护软件

网络上的ARP防护软件非常多，这里介绍的是AntiARP（原名为AntiARPSniffer），该软件最新版本为ARP防火墙单机版6。0。1版本和ARP防火墙网络版V3。2。3。

ARP防火墙通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址，可以保障数据流向正确，不经过第三者，从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制，解决网络经常掉线、网速慢等情况。

下面介绍网络版ARP防火墙V3。2。3的使用方法。首先要选一台性能较好的计算机安装ARP防火墙网络版管理端，然后还需要安装客户端，这样这台计算机才能受到保护。

（1）客户端组管理

使用ARP防火墙网络版防护局域网内的计算机之前，需要先在客户端下添加组。其具体操作方法如下：

步骤01在计算机中安装ARP防火墙管理端并运行软件，在主界面中左侧“所有客户端”→“默认端”选项上右击，在弹出菜单中选择【添加组】菜单项。

步骤02打开【添加】组对话框，在文本框中输入要添加的组的名称。

步骤03单击【OK】按钮，即可添加组A。选择【客户端管理】→【IP地址管理】→【组A】菜单项，打开【IP地址管理…组A】对话框，此时已默认加入组A中。在“开始IP”和“结束IP”文本框中分别输入相应的IP地址。

步骤04单击【添加】按钮，此时，即可弹出【访问】对话框，提示用户是否要把这些IP地址加入到组“组A”中。

步骤05单击【是】按钮，即可将这些IP地址添加到【IP地址管理…组A】对话框中。若要删除其中的某一IP地址，可选中该IP地址后右键单击，在弹出的快捷菜单中选择【删除IP地址】菜单项，即可删除。

2。客户端参数配置

在客户端下的“组A”中添加IP地址后，还需要对客户端的参数进行配置。其具体操作方法如下：

步骤01选择【客户端管理】→【客户端参数配置】→【组A】菜单项，打开【客户端参数配置…组A】对话框。默认选择【常规】选项卡，在其中可以设置“显示配置”和“运行配置”。取消选中其中的“继承全局配置”复选框，不继承全局配置，只单独针对组A进行特殊配置。另外，建议选中“自动最小化到系统栏”，、“隐藏没有数据的页面”、“程序运行后自动开始保护”复选框。

步骤02切换到【网络】选项卡，同样取消选中“继承全局配置”复选框。其中建议将“网关IP/MAC”设置为“自动获取”，如果在ARP防火墙客户端启动之前，系统已经处于攻击之下，自动获取到的网关MAC有可能是假的。遇到这种情况，则建议手工指定网关的IP和MAC。根据情况设置“管理端IP和端口”，这里可以设置两个。

步骤03选择【安全】选项卡，取消选中“继承全局配置”复选框，在“密码保护”选项区域中可以设置密码，该密码可用在程序卸载、程序退出、隐藏界面呼出、参数配置四个地方，其他选项保持默认设置。

步骤04选择【路由】选项卡，这里的可信路