arp是利用以太网(wǎng)协议的(de)先天漏洞从底层发起(qǐ)的正常协(xié)议的攻击,KillNet是一款比较简(jiǎn)单的局域网ARP攻击工具,本程序可以模拟局域网ARP攻击,可以伪装IP地址。如果在打开时,提示(shì)无法启动此程序,因为计算机中丢失WPCAP.DLL。尝试重新安装程序以解决此问题(tí)。请先安装WinPcap驱动包后(hòu),再打开此(cǐ)程序。使用(yòng)时需要选择正确的NIC。
KillNet 是使用WINPCAP的网络(luò)KILL软件,可以把选(xuǎn)中的机(jī)器(qì)从网络中隔离(lí)出来(lái),也就是(shì)让机器断网,是(shì)一款非ARP型(xíng)的断(duàn)网软件(jiàn)。arp是利(lì)用以(yǐ)太网协议的先天(tiān)漏洞从底层发起(qǐ)的正常协(xié)议的攻击,KillNet是(shì)一款(kuǎn)比较简单的局域网ARP攻击(jī)工具,本(běn)程序(xù)可(kě)以模拟局(jú)域网ARP攻击,可以伪装IP地址(zhǐ)。
我不推荐大家(jiā)使用(yòng)静态IP地(dì)址和MAC地址的绑定,这(zhè)会带来更多(duō)的管理负荷。你可以(yǐ)利用ISA Server强大的身(shēn)份验证功(gōng)能,结合IP地(dì)址来(lái)进行管理,这样(yàng)具有更(gèng)好的效果。也请不要在论坛问我(wǒ)ARP命令是如(rú)何使用的,Windows的帮助是最好的老师。
1 .检查(chá)本机的“ ARP 欺骗”木马(mǎ)染毒进(jìn)程同时按住键盘上的“ CTRL ”和(hé)“ ALT ”键再按“ DEL ”键,选(xuǎn)择(zé)“任务管(guǎn)理器”,点(diǎn)选“进(jìn)程”标签。察看其中是否有一(yī)个名为(wéi)“ MIR0.dat ”的(de)进程。如果有,则说明已经中(zhōng)毒。右键点(diǎn)击此进程(chéng)后选择“结束进程”。参见右图。
2 .检查网内感染“ ARP 欺骗”木马(mǎ)染毒(dú)的计算机(jī)在“开始” - “程序” - “附(fù)件”菜单下调出“命令提示符”。输(shū)入并执(zhí)行以下命令:ipconfig记录(lù)网关 IP 地址(zhǐ),即“ Default Gateway ”对应的(de)值,例如“ 59.66.36.1 ”。再输入并执行以下命令:arp –a在“ Internet Address ”下找到上步记录的网(wǎng)关 IP 地址,记录其对应的物理地址,即“ Physical Address ”值,例(lì)如“ 00-01-e8-1f-35-54 ”。在(zài)网络正常时这就是网关的正确物理地址,在网络受“ ARP 欺骗”木(mù)马(mǎ)影(yǐng)响而不正常时,它(tā)就是木马所在计算(suàn)机的网卡物理地址(zhǐ)。也可以扫描本子网内的全部 IP 地址,然后再查 ARP 表。如果有一个(gè) IP 对应(yīng)的物理地址与网关的相同(tóng),那么这个 IP 地址和物理地(dì)址就是(shì)中毒计(jì)算(suàn)机(jī)的 IP 地址和网卡物理地址。
3 .设置 ARP 表避免“ ARP 欺骗”木马影响的方法本方法可在一(yī)定程度上减(jiǎn)轻中木(mù)马的其(qí)它(tā)计算机对本机(jī)的影(yǐng)响。用上边介绍的方(fāng)法确(què)定正确的网关 IP 地址(zhǐ)和(hé)网关物理地(dì)址,然后在 “命令提示(shì)符(fú)”窗口中输入并(bìng)执行以下命令:arp –s 网关 IP 网关物理地址4.态ARP绑定网关
步(bù)骤(zhòu)一(yī): 在能(néng)正(zhèng)常上网时,进入MS-DOS窗口,输入命(mìng)令:arp -a,查看(kàn)网关的IP对应的正确MAC地址, 并将其记(jì)录下(xià)来。 注意:如果已经不能(néng)上网,则先(xiān)运行一次命令arp -d将arp缓存(cún)中的内(nèi)容删空,计算机可暂时恢复上网(wǎng)(攻击如果不(bú)停止的话)。一(yī)旦能上网就立即(jí)将网络断掉(禁用网(wǎng)卡或(huò)拔(bá)掉网(wǎng)线),再运(yùn)行arp -a。
步骤二: 如(rú)果计算机(jī)已经有网关(guān)的正确(què)MAC地(dì)址,在不(bú)能上网只需手工将网关IP和正确的MAC地址(zhǐ)绑定,即(jí)可确保计(jì)算机(jī)不再被欺骗攻击(jī)。 要想手工(gōng)绑(bǎng)定,可在MS-DOS窗口下运(yùn)行以下命令: arp -s 网关IP 网关MAC
例如:假设计算机所处网段的网(wǎng)关为192.168.1.1,本机地址(zhǐ)为(wéi)192.168.1.5,在计算机(jī)上运行arp -a后输出如(rú)下:
Cocuments and Settings>arp -a
Interface:192.168.1.5 --- 0x2
Internet Address 192.168.1.1
Physical Address Type 00-01-02-03-04-05
dynamic
其中,00-01-02-03-04-05就是(shì)网关192.168.1.1对应的MAC地址,类型是动(dòng)态(dynamic)的,因(yīn)此是可(kě)被改变(biàn)的。 被(bèi)攻击(jī)后,再用该命令查看,就会发(fā)现该(gāi)MAC已经被替换成(chéng)攻击机器的MAC。如果希望能找出攻(gōng)击机器,彻底(dǐ)根除攻击,可以在此时将该(gāi)MAC记录下来,为以后(hòu)查找该攻击的机器做准备。
4.手(shǒu)工绑定的命令为: arp -s 192.168.1.1 00-01-02-03-04-05 绑(bǎng)定完,可再(zài)用arp -a查(chá)看arp缓存: Cocuments and Settings>arp -a Interface: 192.168.1.5 --- 0x2 Internet Address Physical Address Type 192.168.1.1 00-01-02-03-04-05 static 这时,类型变为静态(static),就不会再受攻击(jī)影(yǐng)响了。 但是,需(xū)要说明的是,手工绑定在(zài)计算机关机重启后就会(huì)失效,需(xū)要再次重新(xīn)绑定(dìng)。所以(yǐ),要(yào)彻底根除攻(gōng)击,只有找出网段内(nèi)被病毒(dú)感染的计算机,把(bǎ)病毒杀掉,才算是真正解决(jué)问题。
5 .作批处理文件 在客(kè)户(hù)端做对网关的arp绑定,具体操作步骤如下:
步骤一: 查找(zhǎo)本网段的网关地址,比如192.168.1.1,以下以此网关为例。在正常上网时,“开始→运(yùn)行→cmd→确定”,输入:arp -a,点回车,查看网关对应的Physical Address。比如:网关192.168.1.1 对(duì)应00-01-02-03-04-05。
步骤二: 编写一个批处理(lǐ)文件rarp.bat,内容如下: @echo off arp -d arp -s 192.168.1.1 00-01-02-03-04-05 保(bǎo)存为:rarp.bat。
步骤三: 运行批(pī)处(chù)理文件将这个(gè)批处理文件(jiàn)拖到“Windows→开始→程序→启动(dòng)”中,如果(guǒ)需要(yào)立即生效,请(qǐng)运行此文件。