写点什么

如何防止 Arp 攻击

作者:喀拉峻
  • 2022 年 2 月 25 日
  • 本文字数:1127 字

    阅读完需:约 4 分钟

首先需要查找网关的 IP 和 MAC 地址。

  查看的方法很多,最直接的在 cmd 里面执行 arp -a。但这是被 arp 攻击之前,被攻击成功后,192.168.0.1 对应的 mac 地址会变成攻击电脑的 Mac 地址。

  还有另一个方法,登录路由器查看。在浏览器输入"192.168.0.1"(这里是个人的网关),然后输入帐号密码,登录进去。一般在这里都可以找到一个 lan mac 地址,这个就是。

其次将本机的 arp 中的 192.168.0.1 对应的 mac 地址改成静态。

  在运行中输入:

cmd --> arp -a
复制代码

  


  可以看到这里的 192.168.1.1 后面的物理地址,而后面的类型“动态”代表动态缓存,即收到一个相关 ARP 包就会修改这项。如果是个非法的含有不正确的网关的 ARP 包,这个表就会自动更改。这样我们就不能找到正确的网关 MAC,就不能正常和其他主机通信。

——XP 的修改方法

arp -s 网关IP 网关MAC地址
复制代码

直接执行"arp -s 网关 IP 网关 MAC 地址",即可建立静态的缓存数据。

——win7 的修改方法

Win7 下不能运行 arp -s 进行静态 mac 绑定,会提示“ARP 项添加失败: 拒绝访问。”(英文版提示:The ARP entry addition failed:Access is denied. )。

这时候只能通过另一道命令来修改。步骤:

1. CMD 中输入:

netsh i i show in
复制代码



然后找到“本地连接”对应的 “Idx” (这里是“10”,下面 neighbors 后面的数字跟这里一致。)

2. 下面在 CMD 输入:

netsh -c "i i" add neighbors 10 "网关IP" "Mac地址"
复制代码

这里 10 是上面的 idx 号。完成这步,静态 mac 地址就完成了

最后,再 arp -a 看看是不是已经绑定好了?



小贴士:

在 Win7 上用 arp -d 并不能完全的删除绑定,必须使用 netsh -c "i i" delete neighbors IDX(IDX 改为相应的数字)才可删除 MAC 地址绑定。

另外,修改缓存是一次性的方法,电脑重启之后,静态会恢复成动态。可以写一个 dat 文件放在开机启动里面执行即可。

 

附——ARP 攻击原理

  ARP 攻击的原理其实就是攻击主机会向局域网电脑广播一个错误的 ARP 信息,一般而言,发送的 ARP 攻击包不外乎攻击者的 MAC 地址加上网关的 IP 地址,这样局域网电脑在受到这种 ARP 攻击报文时,会更新自己电脑的 ARP 表项,然后就认为攻击源主机的 MAC 地址就是网关的 MAC 地址,由于局域网通讯是通过 MAC 地址来进行传输的,因此受到 ARP 攻击的电脑就会将报文发送到发动 ARP 攻击的电脑上了,然后攻击源主机就会获取被攻击电脑的所有上网报文,然后再通过一定的技术手段解析出报文里面的具体信息,如密码、口令等;

  当然,大多数 ARP 攻击行为是为了控制电脑的数据包的发送进而控制电脑的上网速度,达到限制局域网电脑网速,然后独占上网流量的目的。

  此外,一些恶意的 ARP 攻击行为会伪造一个错误的 MAC 地址,然后广播给局域网所有的电脑,然后让局域网受到攻击的电脑将公网报文发送到一个不存在的 MAC 地址,从而达到使得整个局域网电脑无法上网的目的。

  如下图所示:



用户头像

喀拉峻

关注

左手Java右手Python,中间纹个C++ 2021.06.26 加入

还未添加个人简介

评论

发布
暂无评论
如何防止Arp攻击