查看: 1737|回复: 4
收起左侧

利用四种自制批处理文件防御ARP攻击

[复制链接]
yxwxqflbyg
发表于 2007-9-16 07:02:49 | 显示全部楼层 |阅读模式
通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。 本文介绍了四种利用自制批处理文件来防御ARP攻击的方法。
  一、把下面语句编成BAT处理文件就可以搞定
@echo off
::读取本机Mac地址
if exist ipconfig.txt del ipconfig.txt
ipconfig /all >ipconfig.txt
if exist phyaddr.txt del phyaddr.txt
find "Physical Address" ipconfig.txt >phyaddr.txt
for /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M
::读取本机ip地址
if exist IPAddr.txt del IPaddr.txt
find "IP Address" ipconfig.txt >IPAddr.txt
for /f "skip=2 tokens=15" %%I in (IPAddr.txt) do set IP=%%I
::绑定本机IP地址和MAC地址
arp -s %IP% %Mac%
::读取网关地址
if exist GateIP.txt del GateIP.txt
find "Default Gateway" ipconfig.txt >GateIP.txt
for /f "skip=2 tokens=13" %%G in (GateIP.txt) do set GateIP=%%G
::读取网关Mac地址
if exist GateMac.txt del GateMac.txt
arp -a %GateIP% >GateMac.txt
for /f "skip=3 tokens=2" %%H in (GateMac.txt) do set GateMac=%%H
::绑定网关Mac和IP
arp -s %GateIP% %GateMac%
arp -s 网关IP 网关MAC
exit
  这个批处理要查询本机的ARP 缓存表,看里面是不是有网关的IP和MAC,有则能成功
  绑定,但是没有的话就绑不定了!!!不过可以改进一下,达到双绑的目的,比如
  加上arp -s 网关IP 网关MAC一行就可以了。。。
  二、这个也不能实现真正意义的双绑,只能绑定本机IP和MAC

@echo off
for /f "delims=: tokens=2" %%a in (ipconfig /all^|find "Physical Address") do set local_mac=%%a
for /f "delims=: tokens=2" %%a in (ipconfig /all^|find "IP Address") do set local_ip=%%a
for /f "delims=: tokens=2" %%a in (ipconfig /all^|find "Default Gateway") do set gate_ip=%%a
fo* /* %%* in (getmac /nh /s %local_ip%) do set gate_mac=%%a
arp -s %local_ip% %local_mac%
arp -s %gate_ip% %gate_mac% (这个地方有问题,改进中……)
 经测试,此批处理不能绑定网关IP和MAC,只能绑定本机IP和MAC
  三、这个还不是很清楚,我要测试才行的,目前所知也能绑定本机IP和MAC

@ECHO OFF
SETLOCAL ENABLEDELAYEDEXPANSION
for /f "tokens=2 delims=[]=" %%i in (nbtstat -a %COMPUTERNAME%) do call set local=!local!%%i
for /f "tokens=3" %%i in (netstat -r^|find " 0.0.0.0") do set gm=%%i
for /f "tokens=1,2" %%i in (arp -a %gm%^|find /i /v "inter") do set gate=%%i %%j
arp -s %gate%
arp -s %local%
arp -s 网关IP 网关MAC
  这个批处理可以绑定网关IP和MAC,但是还是有缺陷,要依赖于本机上存在的ARP缓存!
  改进方法为在最后加一个arp -s 网关IP和MAC!

  四、原理和第一个一样,只是改进了一点点!
  这个P通过ping网关三次得到了网关的MAC其实以上的批都可以通过这个来搞定网关的IP和MAC,
  但是如果开机的时候正在发生ARP欺骗的话 这样你绑的IP和MAC就是错的,不能上网了。

@echo off
:::::::::::::清除所有的ARP缓存
arp -d
:::::::::::::读取本地连接配置
ipconfig /all>ipconfig.txt
:::::::::::::读取内网网关的IP
for /f "tokens=13" %%I in (find "Default Gateway" ipconfig.txt) do set GatewayIP=%%I
::::::::::::ING三次内网网关
ping %GatewayIP% -n 3
:::::::::::::读取与网关arp缓存
arp -a|find "%GatewayIP%">arp.txt
:::::::::::::读取网关MAC并绑定
for /f "tokens=1,2" %%I in (find "%GatewayIP%" arp.txt) do if %%I==%GatewayIP% arp -s %%I %%J
:::::::::::::读取本机的 IP+MAC
for /f "tokens=15" %%i in (find "IP Address" ipconfig.txt) do set ip=%%i
for /f "tokens=12" %%i in (find "Physical Address" ipconfig.txt) do set mac=%%i
:::::::::::::绑定本机的 IP+MAC
arp -s %ip% %mac%
:::::::::::::删除所有的临时文件
del ipconfig.txt
del arp.txt
exit
  不过这种情况很少,发过来试一下先吧!
  以上P可以配合路由上对客户机的IP和MAC进行绑定实现完全防ARP,只是单绑下面机和网关IP及MAC
  没有多大用处,关于路由上面的,因为大家用的路由不一样,所以这个就不写了

评分

参与人数 1经验 +3 收起 理由
YoYo + 3 感谢提供分享

查看全部评分

yuehong
发表于 2007-9-29 15:36:11 | 显示全部楼层
谢谢分享,试一下先
Giggs
发表于 2007-9-29 16:17:17 | 显示全部楼层
硬件不好搞任何绑定都不行的..对付ARP关键还是要把路由器弄好
kzy606727
发表于 2007-9-29 17:01:07 | 显示全部楼层
谢谢楼主。
ls2010
发表于 2007-9-30 10:42:56 | 显示全部楼层
最近ARP攻击的怎么这么多
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-26 09:46 , Processed in 0.124126 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表