■■Arp欺骗，网页带毒

新饭

最近利用arp欺骗传播的病毒多起来了，不光论坛，我的局域网也发生两起了

如果你在局域网，最近网速不稳定，打开任何（或随机）网站都发现带毒，那你最好看看这个文章。

arp是干什么的？每个网络设备，包括网卡，都有自己唯一的物理地址MAC。网络数据包最终是按照物理地址传递的。而arp协议就是完成ip地址到物理地址的转换。网卡想给另一个ip发东西时，先广播arp请求，询问别的机器。为了提高效率，当结果广播时，不光是你的机器，所有能收到广播的机器都更新自己的arp列表，省的询问相同的问题。命令行ipconfig /all可以看到网卡的mac地址，而arp -a可以看到当前arp缓冲内容

arp欺骗。假设我故意编造一个假的地址然后广播出去，并且发的频率比真的广播还快（冲掉真的），那附近的机器就只能使用我的假地址了。通常我会假装自己就是网关，所有想要上外网的都来求我。如果我不做任何处理，你就没法上网（网络执法官）；如果我转发数据到真的网关，那就形成中间人攻击（你可以弄个cain & able玩玩）想完美的话还得在网关面前模仿你。

病毒就是用的中间人攻击。因为我可以看到你所有数据包，并且可以任意修改。就能查看你的https保密链接，或者只是修改你收到的网页内容。比如在给你的所有网页前面插入一个带毒的图像。由于数据经过转发，通常慢一些，也比较不稳定。于是出现最前面提到的情况。

发现：正常情况下arp缓冲的每个项目都是独立的，mac地址不会重复。而受攻击时，你就可以看到arp缓冲有重复的mac。你用 arp -a就能查看arp缓冲内容



对策：卡吧是不行的，kis的防火墙是建立在ip上，没有物理地址mac。就像很多教材上说的，理想的信任关系应该建立在ip+Mac的基础（虽然现在两样都很容易改）。那怎么办呢？
第一是使用静态arp。还是为了提高效率，apr引入静态项目，就是一直存在于arp缓冲不会被冲掉的项目，并且优先于动态项目，信别人不如信自己。你可以在命令行用arp -s ip mac添加静态项目，绑定地址。可以win2003以前的系统关机时不保存arp表，每次重启后后得重绑一次。
或者你可以用antiarp之类的程序，帮你记录，检视arp消息，有人企图欺骗就能提醒你。

[ 本帖最后由 新饭 于 2007-8-3 10:08 编辑 ]

feyqw

顶LZ。我们学校就是这样的，同一时间还不止一个MAC地址在ARP欺骗，攻击猛烈啊。每次通知局域网的人杀毒，但没有人相应，所以一直都是活在ARP的阴影之下。
在网络上看了一下，也没有办法彻底地吧源头弄干净。只有用ANTIARP2暂时防护一下。

小木头

学习了，收藏了

hetven

点楼主,局域网的安全是应该提起足够的重视.对于ARP欺骗,不要说卡巴的防火墙,就连ZA,outpost这样的防火墙大亨都对内网中的ARP没有办法.对此,可以用专用的ARP防火墙,一般都可以管用.但要注意哦,其他人用PSP终结者等软件也会有类似ARP攻击的表现的哦,因为原理是一样的

jackond

对楼主的图不大明白,应该怎么修改??

feyqw

风云和AntiARP这些软件，是通过类似病毒木马的原理也去“攻击”网关，不断的高频率的向网关发送ARP包告诉网关自己所在计算机的IP-MAC对应 关系，虽然这种方法能在一定程度上缓解或解决问题，但反而会大大加重整个网络和网关设备的负载，导致整个网络的通讯质量下降
但不这样的话就不能上网了
顾了自己再说

ucfeg

都没有更好的办法吗?

xyy_xx

学习学习。。
但是没怎么看懂

浪客剑心

,学习了

lucky86400

现在好像还没有什么好的办法防止ARP攻击