有沒什么軟件可以讓使用ARP攻擊軟件的主機斷網？ _軟件

【有沒什么軟件可以讓使用ARP攻擊軟件的主機斷網？】

ARP病毒---導致網絡(ping)時斷時通---解決辦法【解決思路】 1、不要把你的網絡安全信任關系建立在IP基礎上或MAC基礎上，(rarp同樣存在欺騙的問題)，理想的關系應該建立在IP+MAC基礎上。2、設置靜態的MAC-->IP對應表，不要讓主機刷新你設定好的轉換表。3、除非很有必要，否則停止使用ARP，將ARP做為永久條目保存在對應表中。4、使用ARP服務器。通過該服務器查找自己的ARP轉換表來響應其他機器的ARP廣播。確保這臺ARP服務器不被黑。5、使用“proxy”代理IP的傳輸。6、使用硬件屏蔽主機。設置好你的路由，確保IP地址能到達合法的路徑。(靜態配置路由ARP條目)，注意，使用交換集線器和網橋無法阻止ARP欺騙。7、管理員定期用響應的IP包中獲得一個rarp請求，然后檢查ARP響應的真實性。8、管理員定期輪詢，檢查主機上的ARP緩存。9、使用防火墻連續監控網絡。注意有使用SNMP的情況下，ARP的欺騙有可能導致陷阱包丟失。【HiPER用戶的解決方案】建議用戶采用雙向綁定的方法解決并且防止ARP欺騙。1、在PC上綁定路由器的IP和MAC地址： 1)首先，獲得路由器的內網的MAC地址(例如HiPER網關地址192.168.16.254的MAC地址為0022aa0022aa局域網端口MAC地址>) 。2)編寫一個批處理文件rarp.bat內容如下： @echo off arp -d arp -s 192.168.16.254 00-22-aa-00-22-aa 將文件中的網關IP地址和MAC地址更改為您自己的網關IP地址和MAC地址即可。將這個批處理軟件拖到“windows--開始--程序--啟動”中。rp 顯示和修改“地址解析協議 (ARP)”緩存中的項目。ARP 緩存中包含一個或多個表，它們用于存儲 IP 地址及其經過解析的以太網或令牌環物理地址。計算機上安裝的每一個以太網或令牌環網絡適配器都有自己單獨的表。如果在沒有參數的情況下使用，則 arp 命令將顯示幫助信息。語法 arp[-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]] 參數 -a[ InetAddr] [ -N IfaceAddr] 顯示所有接口的當前 ARP 緩存表。要顯示特定 IP 地址的 ARP 緩存項，請使用帶有 InetAddr 參數的 arp -a，此處的 InetAddr 代表 IP 地址。如果未指定 InetAddr，則使用第一個適用的接口。要顯示特定接口的 ARP 緩存表，請將 -N IfaceAddr 參數與 -a 參數一起使用，此處的 IfaceAddr 代表指派給該接口的 IP 地址。-N 參數區分大小寫。-g[ InetAddr] [ -N IfaceAddr] 與 -a 相同。-d InetAddr [IfaceAddr] 刪除指定的 IP 地址項，此處的 InetAddr 代表 IP 地址。對于指定的接口，要刪除表中的某項，請使用 IfaceAddr 參數，此處的 IfaceAddr 代表指派給該接口的 IP 地址。要刪除所有項，請使用星號 (*) 通配符代替 InetAddr 。-s InetAddr EtherAddr [IfaceAddr] 向 ARP 緩存添加可將 IP 地址 InetAddr 解析成物理地址 EtherAddr 的靜態項。要向指定接口的表添加靜態 ARP 緩存項，請使用 IfaceAddr 參數，此處的 IfaceAddr 代表指派給該接口的 IP 地址。/? 在命令提示符下顯示幫助。注釋 ? InetAddr 和 IfaceAddr 的 IP 地址用帶圓點的十進制記數法表示。? EtherAddr 的物理地址由六個字節組成，這些字節用十六進制記數法表示并且用連字符隔開（比如，00-AA-00-4F-2A-9C）。按以下順序刪除病毒組件 1) 刪除 ”病毒組件釋放者” %windows%\SYSTEM32\LOADHW.EXE 2) 刪除 ”發ARP欺騙包的驅動程序” (兼 “病毒守護程序”) %windows%\System32\drivers\npf.sys a. 在設備管理器中, 單擊”查看”-->”顯示隱藏的設備” b. 在設備樹結構中,打開”非即插即用….” c. 找到” NetGroup Packet Filter Driver” ,若沒找到,請先刷新設備列表 d. 右鍵點擊” NetGroup Packet Filter Driver” 菜單,并選擇”卸載”. e. 重啟windows系統, f. 刪除%windows%\System32\drivers\npf.sys 3) 刪除 ”命令驅動程序發ARP欺騙包的控制者” %windows%\System32\msitinit.dll 2. 刪除以下”病毒的假驅動程序”的注冊表服務項: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf 三、定位ARP攻擊源頭和防御方法 1．定位ARP攻擊源頭主動定位方式：因為所有的ARP攻擊源都會有其特征——網卡會處于混雜模式，可以通過ARPKiller這樣的工具掃描網內有哪臺機器的網卡是處于混雜模式的，從而判斷這臺機器有可能就是“元兇” 。定位好機器后，再做病毒信息收集，提交給趨勢科技做分析處理。標注：網卡可以置于一種模式叫混雜模式（promiscuous），在這種模式下工作的網卡能夠收到一切通過它的數據，而不管實際上數據的目的地址是不是它。這實際就是Sniffer工作的基本原理：讓網卡接收一切它所能接收的數據。被動定位方式：在局域網發生ARP攻擊時，查看交換機的動態ARP表中的內容，確定攻擊源的MAC地址；也可以在局域居于網中部署Sniffer工具，定位ARP攻擊源的MAC 。也可以直接Ping網關IP，完成Ping后，用ARP –a查看網關IP對應的MAC地址，此MAC地址應該為欺騙的MAC 。使用NBTSCAN可以取到PC的真實IP地址、機器名和MAC地址，如果有”ARP攻擊”在做怪，可以找到裝有ARP攻擊的PC的IP、機器名和MAC地址。命令：“nbtscan -r 192.168.16.0/24”（搜索整個192.168.16.0/24網段, 即192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 網段，即192.168.16.25-192.168.16.137 。輸出結果第一列是IP地址，最后一列是MAC地址。NBTSCAN的使用范例：假設查找一臺MAC地址為“000d870d585f”的病毒主機。1）將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:下。2）在Windows開始—運行—打開，輸入cmd（windows98輸入“command”），在出現的DOS窗口中輸入：C: btscan -r 192.168.16.1/24（這里需要根據用戶實際網段輸入），回車。3）通過查詢IP--MAC對應表，查出“000d870d585f”的病毒主機的IP地址為“192.168.16.223” 。通過上述方法，我們就能夠快速的找到病毒源，確認其MAC——〉機器名和IP地址。

有沒什么軟件可以讓使用ARP攻擊軟件的主機斷網？

猜你喜歡