哎呀呀,恶有恶报,被人用ARP欺骗包攻击了。
今天早上10点跑到网吧来上网,开机后什么都没开就直接装上文明4,开始玩了起来。
中午1点多,文明4又给跳出来了。这文明4真是烦,到某一个回合就会自动关闭程序,重新进游戏调入自动存档再打,又到了刚才跳出的地方,一个回合结束,提示按Enter键继续下一回合的时候,一按Enter键,又跳出来了。唉,没办法,打CS去。连进几个服务器,发现全是一边倒,某几个人杀人数N高,死亡数N少,唉,都是作弊的,不打了,泡泡堂去。
在泡泡堂里打了一会,正杀的开心,突然开始卡了,然后提示服务器断开,跳了出来。网吧的线路应该没问题,周围打各种网络游戏的都有,也没见有谁喊断线的。我郁闷了,今天怎么那么倒霉啊。想了想,莫非有人攻击我?要不为啥只我一个人掉呢。轻车熟路地找出IRIS安装程序,安装然后运行,点start capture,刷的一下,满屏幕都是ARP包啊:
赶紧看了下ARP表:
这张ARP表的图显示了攻击时和攻击后ARP表的区别。当时一看到这么熟悉的攻击,吓了一跳,原来网吧里还是有高人地,居然也会ARP攻击。192.168.0.1的MAC地址和192.168.0.52的地址一样,这下露了马脚,明显是52这个地址在攻击。网吧里192.168.0.1做了网关,所以IP地址对应机器号+1,赶紧回头看51号机。我正背后是54号,51号就在我右后方,离我不到2,3米的地方。当时第一个想到的不是在ARP表里将网关192.168.0.1设置static MAC地址来防止攻击,而是直接把截到的包一改,源MAC和目标MAC一对调,以1ms的速度往回发。他那边正在聊QQ,一看上不了网了就把停掉了攻击。所以上图中第二次查ARP表时已经正常了。
继续拿IRIS截包,发现他还开了扫描器:
可能是一个ARP自动攻击器,自动检查网络里存在的计算机进行攻击。也许是把攻击频率调低,为的是让某些人不能上网来提高自己的网速吧。
可惜啊可惜,可惜他也不过是个只会用傻瓜工具的菜鸟,程序也不咋地,居然还去连192.168.0.255,这分明是个广播地址嘛,简直菜鸟一个。接着喊了网管过来,小声说明了情况,图片给他一看,网管直接去前台重启了他的机器,这边的扫描嘎然而止,最后一个包停在了192.168.0.192。现在可以肯定是他了。网管也不好说什么,反正他不再攻击了也就算了。最后网管把IRIS要去,说这个软件不错。然后又让我把两幅截图传到网吧的服务器上。你问再然后?再然后呢,我就过来写这篇文章了,嘻嘻。
Update:今天又打开IRIS检查了一下,发现起码有3个IP正在扫描全网,而且方式通通都是arp request 192.168.0.1~255。看来这件事有可能是病毒程序所为。192.168.0.52又再扫描,回头看了下,他正在玩WOW,也许是用了什么不好的WOW插件或是外挂吧。
想了一想,不知道这个病毒会不会自动攻击别的机器并进行繁殖。如果要繁殖的话,ARP包肯定是不行的,至少要建立TCP连接,所以我想在ARP表中设置固定的MAC地址,起码我这边给他返回的IP包会不知所踪。
第一个想法是用bat文件把全网段的IP地址设置为某个MAC地址,只留网关的那个。bat文件如下:
arp -s 192.168.0.1 00-0e-a0-00-3b-1b for /L %%i in (2,1,10) do arp -s 192.168.0.%%i 00-11-22-33-44-55
设置后发现192.168.0.52对应的MAC地址并没有变,手工设置了几遍,发现其他的都能设置成功,只有那几个不停发送攻击包的机器,虽然类型已经变成static了,对应的MAC地址还是他本来的地址。我觉得,这应该是win2000的问题,即使你设置了static,当系统收到ARP request包的时候仍会更新ARP表,static状态好像只是用来为那些无法回应ARP包的设备而设置的。
没办法,防不住啊,又写了个bat,每隔1分钟自动记录下ARP表的内容。局域网中我只有访问网关和网吧的两台Web服务器,只要有其他的IP地址出现在ARP表中,显然就是有人在进行扫描。
:start echo %time%>>1.txt arp -a|find /v "192.168.0.1 "|find /v "192.168.0.239"|find /v "192.168.0.254"|find /v "192.168.2.200"|find /v "Interface"|find "192.168.">>1.txt ping -n 1 -w 60000 192.168.8.8 goto start
这个批处理文件里用到两个技巧,在这里写一下,方便有用的人查找:a)将arp命令的输出通过管道发给find命令进行过滤,最后输出到txt文件里。b)DOS下没有延时函数,标准C++里也没有,只有VC可以写个小延时程序进行延时。我用了ping命令,让他ping一次一个不存在的地址,然后设置超时时间来达到延时的目的。这个方法也不占CPU,只不过产生一些垃圾包而已。
不错
而是直接把截到的包一改,源MAC和目标MAC一对调,以1ms的速度往回发
这个如何做到?谢谢
我的网吧也有和你相同的地方,其实倒很多办法解决,不过我想问的就是那不同的地方了。
我的机器单独断网时候在CMD里面也能看到有ARP包的IP和MAC但是看不到有同样的MAC而且查过网关的MAC是正常的没有被改动过。
想请教如果你要遇到这问题时候会怎么处理。请多给些实际操作,本人没有什么书面知识和理解能力,有的只是操作、操作、在操作。
期待你的回复,
或者直接联系我,QQ:86980518,备注:给予知识
ARP卫士彻底解决任何ARP欺骗、攻击问题
通过底层核心驱动彻底解决任何ARP欺骗、攻击问题,无需安装其它任何第三方软件(如WinPcap),以服务及进程并存的形式随系统启动并运行,不占用计算机系统资源。无需对计算机进行IP地址及MAC地址绑定,从而避免了大量且无效的工作量。也不用担心计算机会在重启后新建ARP缓存列表,因为此软件是以服务与进程相结合的形式存在于计算机中,当计算机重启后软件的防护功能也会随操作系统自动启动并工作。
有安装测试的用户,一定要看详细的安装说明。
ARP卫士主要适用于网吧,具有局域网络的企业、大学等。
欢迎有实力、有经验、有信心、有热情的个人,团体,组织加入我们,ARP卫士的广阔市场前景会给您带来滚滚财源。
公司地址:哈尔滨市南岗区花园街368号华威大厦b座2101室
邮政编码:150001
联系电话:0451-53622666
公司传真:0451-87536311
公司网址:http://arp.enet100.com
电子邮箱:myapple800128@163.com
招商经理:王晶远
QQ:625627925
你好!能不能将你上述的软件"IRIS"发给我啊?我在网上搜的下载全不能正常使用.
一般arp -s这个命令就可以搞定了,网吧的管理员也是菜,哈哈交换机做下ACL就可以搞定了~~~
基本不去网吧,在学校抓包一般都用sniffer,有时也用科来的,呵呵你那工具看起来还不错~~~
for /L %%i in (2,1,10) do arp -s 192.168.0.%%i 00-11-22-33-44-55
这个语句中的00-11-22-33-44-55是一个虚构的mac地址,这样的话,你的机器能与192.168.0.2-192.168.0.10这些机器相互通信吗?
那只是个测试用的语句,目的是“用bat文件把全网段的IP地址设置为某个MAC地址,只留网关的那个”。也就是说,只和网关通信,不和其他局域网内的机器通信,以防止其他局域网内的机器发来Arp欺骗包。
但是,最终,看起来这种方式却行不通。
但是,有人(同一个局域网)用这些语句保持了通信,而且听说在使用这些语句之后,网络通信速度提高了许多,原来只有几十k,使用了for语句之后,提高到几十m.他的循环语句是从(0,1,254)。百思不得其解,希望高手指点迷津。
但是,以上的方法并非所有的局域网都适用,我试过了,有些局域网使用了这个批处理后,相互都不能通信了。这是可以理解的,不能理解是那些可以相互通信的。
我想说一下我现在所在的局域网问题:
我在本机用ARP -S ip mac
路由器帮定我的ip和MAC
看我收攻击的时候会出现 网络上没有可用的IP PING不通路由器 ARP表里面只有我绑定的路由器一个,MAC地址正确。 想问有没有什么解决的方法。
不用ARP防火墙
厉害,希望发IRIS给我哈,谢谢哦...
还有问下与局域网其他机子通信的方法?局域网内有台机子估计中毒了,老是发ARP欺骗攻击,虽然我已经用了防火墙,他对我攻击无用,我还是想叫他杀下毒
(不知道是谁的,因为不在同间房)
ARP联盟:www.arpun.com
学习ARP的一个好地方
Keine Zweifel ist es eine gute Seite!
Aucuns doutes c'est une bonne page..
Grand emplacement - le bon travail ! ! !
Well placed contents. I love it!
Luogo che grande avete ottenuto! Scommettevo che siete professionisti!
No doubts it's a good page!