该补丁原理是实时绑定网关mac/ip,能彻底解决arp欺骗的问题。
云南博客6_�K!H�_-O�E
下载后请一定按照以下步骤操作完成时时绑定(以下步骤只适合2K/XP系统):云南博客(S#V�~�l/J�R)V*k
1:在命令行状态,ping 网关地址(内网),例如你的网关(内网)是192.168.0.1,那么在命令行状态下你输入ping 192.168.0.1,回车。
2:在命令行状态下,输入arp -a,
�j�R�b%l6N*u�]0C:\Documents and Settings\Administrator>arp -a
Interface: 192.168.0.119 --- 0x10003云南博客!a$f$f�A7~
Internet Address Physical Address Type
6{�r�Y"L'h$H-O�x0192.168.0.1 00-e0-2a-b0-75-0c dynamic云南博客�p-A�V�p�S
_
192.168.1.1 00-e0-2a-75-75-75 static云南博客 a�W�d�@1a�u4v-]
3。这时候记下你的网关地址所对应的Physical Address ,也就是MAC地址。
按照以下说明替换IP和MAc地址:
FL freeland=192.168.0.1 00-aa-bb-cc-dd-ee 1 freeland false云南博客:a�Y!l�o _�`�d�M
↓ ↓
�G/[�J#D�M�c�N8W�i�u0 替换为网关IP地址 替换为网关MAC值
例如你的网关是192.168.1.1 ,网关mac地址为00-e0-2a-75-75-75,那么你的A.bat内容应该是这样的
*s;T�@�D+o#C�S,j0FL freeland=192.168.1.1 00-e0-2a-75-75-75 3 freeland false
只要动态刷新ARP缓存表,就可以解决
4:如果以后更换网关网卡或者路由器,这时候网关的MAC地址就会改变,所以请重新检查mac地址并重新修改服务器共享盘内的A.bat的mac地址字符段(否则客户机会上不了网).
补丁下载 在 http://www.chinadforce.com/viewt ... page%3D3&page=1
有2个版本,for 2K和for XP的,大家可以有选择安装,for 2K是2000下用,for XP是xp下使用,2003版本的我现在正在做,请xian1010 朋友等待一段时间。云南博客�_
C.l�h�]�Z�W�b-f
另外:各种防火墙对对ARP攻击是没有效果的,也就是说你开着防火墙也没有用云南博客7w7T�q
e3X7Q"l
(注:我仅仅测试了毒霸,江名,瑞星和诺顿,天网,其他杀软防火墙没有试用,不知道效果如何)云南博客1s�A�I1m�R�m
听说zonealarm有效,没有测试,希望有安装的测试一下
答:xkdream 朋友的问题:你可以去下载一款辅助工具,比如一些局域网查看工具,捕获发进来的数据包分析一下,就可以知道具体是哪个IP在攻击你!!!!!!
在此推荐我个人使用的局域网查看工具,为绿色破解版,功能很不错,建议配合使用
主要功能:(1)搜索所有工作组。(2)搜索指定网段内的计算机,并显示每台计算机的计算机名,IP地址,工作组,MAC地址,用户。(3)搜索所有工作内或是选定的一个或几个工作组内的计算机,并显示每台计算机的计算机名,IP地址,工作组,MAC地址,用户。(4)将搜索出的计算机信息保存到指定的文本文件中。(5)搜索所有计算机的共享资源。(6)将指定共享资源映射成本地驱动器。(7)搜索所有共享资源内的共享文件。(8)搜索选定的一个或几个共享资源内的共享文件。(9)在搜索共享文件时,你可选择搜索你所需要的一种或几种文件类型的共享文件。(10)打开指定的计算机。(11)打开指定的共享目录(12)打开指定的共享文件。(13)发送消息,给选定的一台或几台计算机发消息,给指定工作组内的所有计算机发消息,给所有计算机发消息。(14)端口扫描,你也可以扫描出局域网内或指定网段内所有开放指定TCP端口的计算机,也可以扫描出指定计算机内活动的TCP端口。(15)ping指定的计算机,查看指定计算机的MAC地址,所在的工作组以及当前用户等
如果动手能力再强的,可以通过设置防火墙,使本机只响应网关来的MAC,这才是解决的根本办法云南博客�i*Y/f6q�C/R
国产的防火墙目前很少有这个功能,我个人使用的是Look'n'Stop,配合补丁使用,可安然无忧~
“Look'n'Stop防火墙”功能强大、设置复杂,如果对Look'n'Stop防火墙不熟悉的人安装完后产生了各种网络问题,最好还是上网查查资料,自己解决一些问题,这样不仅解决了问题又学到了知识。实在没办法就上论坛问问。
附送我个人使用Look'n'Stop防范arp心得:
�a�e�j:I%l0D0阻止网络执法官等arp控制
�n*}�s�]#^�`0 网络执法官是利用的ARp欺骗的来达到控制目的的。云南博客�@
h%a2J$X
ARP协议用来解析IP与MAC的对应关系,所以用下列方法可以实现抗拒网络执法官的控制。云南博客+g�q#o2B3w�r�z.r
如果你的机器不准备与局域网中的机器通讯,那么可以使用下述方法:云南博客�x�s�G)b�U4[�n�W!\'G
A.在“互联网过滤”里面有一条“ARP : Authorize all ARP packets”规则,在这个规则前面打上禁止标志;
"A�F�H%b!R0 B.但这个规则默认会把网关的信息也禁止了,处理的办法是把网关的MAC地址(通常网关是固定的)放在这条规则的“目标”区,在“以太网:地址”里选择“不等于”,并把网关的MAC地址填写在那时;把自己的MAC地址放在“来源”区,在“以太网:地址”里选择“不等于”。 云南博客2s�P�c-T�t�F�]�f
C.在最后一条“All other packet”里,修改这条规则的“目标”区,在“以太网:地址”里选择“不等于”,MAC地址里填FF:FF:FF:FF:FF:FF;把自己的MAC地址放在“来源”区,在“以太网:地址”里选择“不等于”。其它不改动。 云南博客�s�]3~�B+|�~3l
这样网络执法官就无能为力了。此方法适用于不与局域网中其它机器通讯,且网关地址是固定的情况下。
�I�Y O+d�B k#h0 如果你的机器需要与局域网中的机器通讯,仅需要摆脱网络执法官的控制,那么下述方法更简单实用(此方法与防火墙无关):云南博客�l2J
r�@#R�`�]�B�^
进入命令行状态,运行“ARP -s 网关IP 网关MAC”就可以了,想获得网关的MAC,只要Ping一下网关,然后用Arp -a命令查看,就可以得到网关的IP与MAC的对应。此方法应该更具通用性,而且当网关地址可变时也很好操作,重复一次“ARP -s 网关IP 网关MAC”就行了。此命令作用是建立静态的ARP解析表。
