第一篇：防范局域網(wǎng)ARP欺騙,手動(dòng)查殺木馬,介紹和認(rèn)識IP地址

解決和防患局域網(wǎng)內(nèi)Arp欺騙

當(dāng)局域網(wǎng)種存再ARP欺騙包的話，總的來說有主要又這么兩種可能。

一、有人惡意破壞網(wǎng)絡(luò)。

這種事情，一般會(huì)出現(xiàn)在網(wǎng)吧，或是一些人為了找到更好的網(wǎng)吧上網(wǎng)座位，強(qiáng)行讓別人斷線。

又或是通過ARP欺騙偷取內(nèi)網(wǎng)帳號密碼。

二，病毒木馬

如：傳奇網(wǎng)吧殺手等，通過ARP欺騙網(wǎng)絡(luò)內(nèi)的機(jī)器，假冒網(wǎng)關(guān)。從而偷取對外連接傳奇服務(wù)器的密碼。

ARP欺騙的原理如下：

假設(shè)這樣一個(gè)網(wǎng)絡(luò)，一個(gè)交換機(jī)接了3臺(tái)機(jī)器

HostA HostB HostC 其中

A的地址為：IP：192.168.1.1 MAC: AA-AA-AA-AA-AA-AA－－－－－－－－－網(wǎng)關(guān)B的地址為：IP：192.168.1.2 MAC: BB-BB-BB-BB-BB-BB－－－－－－－－黑客C的地址為：IP：192.168.1.3 MAC: CC-CC-CC-CC-CC-CC－－－－－－－－－被欺騙者

正常情況下 C:arp-a

Interface: 192.168.1.3 on Interface 0x100000

3Internet Address Physical Address Type

192.168.1.1 BB-BB-BB-BB-BB-BBdynamic

現(xiàn)在假設(shè)HostB開始了罪惡的ARP欺騙：假冒A像c發(fā)送ARP欺騙包

B向C發(fā)送一個(gè)自己偽造的ARP欺騙包，而這個(gè)應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是192.168.1.1（網(wǎng)關(guān)的IP地址），MAC地址是BB-BB-BB-BB-BB-BB(A的MAC地址本來應(yīng)該是AA-AA-AA-AA-AA-AA，這里被偽造了）。當(dāng)C接收到B偽造的ARP應(yīng)答，就會(huì)更新

本地的ARP緩存（C可不知道被偽造了）。而且C不知道其實(shí)是從B發(fā)送過來的，這樣C就受到了B的欺騙了，凡是發(fā)往A的數(shù)據(jù)就會(huì)發(fā)往B，這時(shí)候那么是比較可怕的，你的上網(wǎng)數(shù)據(jù)都會(huì)先流向B,在通過B去上網(wǎng)，如果這時(shí)候B上裝了SNIFFER軟件，那么你的所有出去的密碼都將被截獲。

為了以后出現(xiàn)問題的時(shí)候好查找，我建議大家平時(shí)建立一個(gè)MAC和IP的對應(yīng)表，把局域網(wǎng)內(nèi)所有網(wǎng)卡的MAC地址和IP、地理位置統(tǒng)統(tǒng)裝入數(shù)據(jù)庫，以便當(dāng)以后發(fā)現(xiàn)ARP 欺騙時(shí)找出欺騙者的機(jī)器。

二、防范措施和解決方法。

方法一

通過arp –s 來綁定網(wǎng)關(guān)的MAC 地址和IP 地址。

這種方法對于XP 和2003系統(tǒng)是有用的，使用arp –s 來綁定的話。那么在ARP表中顯示的是一條靜態(tài)的記錄。

這樣就不會(huì)被動(dòng)態(tài)的ARP 欺騙包給欺騙，而修改。

那么在2000的系統(tǒng)上也是可以使用arp-s來進(jìn)行綁定得，在SP4的2000系統(tǒng)上需要下載2000 Rollup v2更新補(bǔ)丁包，ARP的補(bǔ)丁已經(jīng)包含在里面 了，大小應(yīng)該在38MB那樣。http://download.microsoft.com/download/7/e/9/7e969f31-e33d-45a2-9d1a-fecbcde29a0e/Windows2000-KB891861-v2-x86-CHS.EXE

并且裝好后，下面幾個(gè)文件不能小于下面的版本號。

DateTimeVersionSizeFile name

-------------------------

19-Jun-200320:055.0.2195.6602108,816Msafd.dll

02-Jun-200422:445.0.2195.6938318,832Tcpip.sys

19-Jun-200320:055.0.2195.660117,680Wshtcpip.dll

19-Jun-200320:055.0.2195.6687120,240Afd.sys

19-Jun-200320:055.0.2195.665516,240Tdi.sys

相關(guān)文章，大家可以看微軟的KB.http://support.microsoft.com/kb/842168

例：arp-s192.168.1.1 00-0B-AD-DD-22-35

方法二

有些木馬或是一些駭客總是使用本地網(wǎng)卡上的網(wǎng)關(guān)來做欺騙。網(wǎng)關(guān)是通往外網(wǎng)或是和不同網(wǎng)絡(luò)互聯(lián)的一個(gè)中間設(shè)備。

而通過添加路由表中的記錄，設(shè)置優(yōu)先級高于網(wǎng)關(guān)默認(rèn)路由，那么網(wǎng)關(guān)的路由在級別高的路由可用時(shí)將不會(huì)生效。

施行方法：1.先手動(dòng)修改客戶機(jī)的網(wǎng)關(guān)地址為任意ip地址，最好是同一網(wǎng)段中，沒使用的一個(gè)IP，以免被懷疑。

2.手動(dòng)添加或是通過批處理，或是腳本來添加永久對出口路由。

此中方法可以欺騙過大部份，菜鳥或是所謂的駭客和大部份ARP欺騙木馬。

缺點(diǎn)是： 如果以后網(wǎng)關(guān)以后網(wǎng)卡或是機(jī)器改變。那么以后還得重新修改已有得路由。route delete 0.0.0.0－－－－－刪除到默認(rèn)得路由

route add 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1－－－ 添加路由route add-p 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1------參數(shù)-p 就是添加永久的記錄。

route change－－修改路由

http:///dispbbs.asp?BoardID=33&ID=2631&replyID=6840&skin=1方法 三

1.如果你但前使用得交換機(jī)器有網(wǎng)卡和MAC地址綁定功能，那么將你所在得網(wǎng)得IP地址和MAC 地址進(jìn)行綁定。

但有時(shí)候，我們可能沒有這些設(shè)備那么要想做就很困難了。

另類方法思路－－如何全面解決讓ARP欺騙，ARP木馬無法在本機(jī)器安裝,運(yùn)行。

大部分監(jiān)控，arp 欺騙軟件，都會(huì)使用到一個(gè)winpcap驅(qū)動(dòng)。那么現(xiàn)在的思路就是讓其無法在本地計(jì)算機(jī)安裝。

這樣arp欺騙軟件就無法被使用了使用了，此方法可以用于任何程序的安裝。需要的條件：

1.所在的系統(tǒng)盤為NTFS 分區(qū)格式。

2.知道所要安裝的文件所要在系統(tǒng)中生成的文件。

3.使用注冊表和文件安裝監(jiān)視軟件來監(jiān)視安裝所生成的文件。

方法四：

利用些別人做好的ARP 監(jiān)控工具。

實(shí)驗(yàn)：

作業(yè)：

1.使用arp-s 來添加一條arp靜態(tài)記錄，使用arp-a 查看添加的記錄。使用arp-d 來刪除剛添加的那條記錄

2.使用route print 來查看現(xiàn)有的路由表，使用route add-p 來添加一條永久記錄，最后使用route delete來刪除剛建的那條記錄。

3.使用組策略禁止本地系統(tǒng)中的記事本程序。

4.利用注冊表和文件安裝監(jiān)視軟件，來查找組策略中設(shè)置后，對注冊表中鍵值的修改。并通過修改注冊表，禁止記事本軟件（notepad.exe）的執(zhí)行。

第二篇：介紹和認(rèn)識IP地址

一、什么是 IP 地址

為了使連入Internet的電腦主機(jī)相互通信，Internet中的每一臺(tái)主機(jī)都分配有一個(gè)唯一的32位地址，該地址稱為IP地址，也稱作網(wǎng)際地址。IP地址由4個(gè)數(shù)組成，每個(gè)數(shù)可取值0～255，各數(shù)之間用一個(gè)點(diǎn)號“.”分開，例如： 202.106.196.115 實(shí)際上，每個(gè)IP地址是由網(wǎng)絡(luò)號和主機(jī)號兩部分組成的。網(wǎng)絡(luò)號表明主機(jī)所聯(lián)接的網(wǎng)絡(luò)，主機(jī)號標(biāo)識了該網(wǎng)絡(luò)上特定的那臺(tái)主機(jī)。

例子：

真實(shí)的地址新街口100號 IP地址 192.168.0.1街道號表示法

門牌號表示法 新街口網(wǎng)絡(luò)號 192.168.0.0 100號主機(jī)號 0.1

網(wǎng)絡(luò)里所有主機(jī)街道里所有房屋

二、IP 地址的表示

1、有兩種表示方法：

①二進(jìn)制表示方法，如：

11000000 10101000 00000000 0000000

1②點(diǎn)分十進(jìn)制表示法，如：192.168.0.1

十進(jìn)制二進(jìn)制

000000000

100000001

200000010

300000011

400000100

500000101

600000110

700000111

800001000

三、網(wǎng)絡(luò) ID 和主機(jī) ID

①IP 地址由兩部分組成：網(wǎng)絡(luò) ID 和主機(jī) ID

如 192.168.0.1網(wǎng)絡(luò) ID主機(jī)ID

②網(wǎng)絡(luò) ID 表示方法：192.168.0.0

主機(jī) ID 表示方法：0.1

③網(wǎng)絡(luò) ID 的作用：標(biāo)識某個(gè)網(wǎng)段，在同一個(gè)網(wǎng)段的計(jì)算機(jī)，它們的網(wǎng)絡(luò) ID是一樣的。不

同的網(wǎng)段就不一樣了。

主機(jī) ID 的作用：標(biāo)識同一個(gè)網(wǎng)段內(nèi)的不同主機(jī)，在該網(wǎng)段內(nèi)主機(jī) ID 不可以重復(fù)。注意：在不同的網(wǎng)段內(nèi)可能有相同的主機(jī) ID，但是，網(wǎng)絡(luò) ID 和主機(jī) ID 組合后在整 個(gè)網(wǎng)絡(luò)應(yīng)當(dāng)是唯一的四.IP 地址分類

1.IP 地址根據(jù)網(wǎng)絡(luò)ID的范圍從大到小分為五類，分別是：A、B、C、D、E

地址類

A 類

B 類 第一個(gè)網(wǎng)絡(luò) ID 1.0.0.0 128.0.0.0 最后一個(gè)網(wǎng)絡(luò) ID 126.0.0.0 191.255.0.0 網(wǎng)絡(luò)數(shù)量 126 1638

4C 類 192.0.0.0 223.255.255.0 20971

52D 類224.0.0.0239.255.255.255多播地址

E 類:224.0.0.0239.255.255.255保留地址

2.各類地址都有了一個(gè)默認(rèn)的子網(wǎng)掩碼。

地址類 子網(wǎng)掩碼的位

A 類 11111111 00000000 00000000 00000000

B 類

C 類

3、規(guī)則：特殊IP地址

①不能將主機(jī)位中所有的位設(shè)成 1：

都設(shè)成 1 是為廣播而留的②不能將主機(jī)位中所有的位設(shè)成 0：

都設(shè)成 0 是為表示網(wǎng)絡(luò) ID 而留的③網(wǎng)絡(luò) ID 不能以 127 作為前 8 位位組的開頭：

127.x.y.z 保留為回送地址

五、子網(wǎng)和子網(wǎng)掩碼

1、什么是子網(wǎng)：用路由器分割開的網(wǎng)段叫子網(wǎng)。

2、為什么要將一個(gè)大的網(wǎng)絡(luò)分成子網(wǎng)：主要是為了讓網(wǎng)絡(luò)運(yùn)行的效率更高，避免網(wǎng)絡(luò)廣播太多，造成網(wǎng)絡(luò)癱瘓.3.什么是子網(wǎng)掩碼？

子網(wǎng)掩碼不能單獨(dú)存在，它必須結(jié)合IP地址一起使用。子網(wǎng)掩碼只有一個(gè)作用，就是將某個(gè)IP地址劃分成網(wǎng)絡(luò)地址和主機(jī)地址兩部分.默認(rèn)子網(wǎng)掩碼 255.0.0.0 255.255.0.0 255.255.255.0 11111111 11111111 00000000 00000000 11111111 11111111 11111111 00000000

4.子網(wǎng)掩碼的作用？

ID 哪部分是主機(jī) ID 子網(wǎng)掩碼的作用是用來確定哪部分是網(wǎng)絡(luò)

采用子網(wǎng)掩碼與 IP 地址作“與”運(yùn)算（0 與 0 為 0；0 與 1 為 0；1 與 確定網(wǎng)絡(luò) ID 的方法是：

0 為 0；1 與 1 為1）

例子：192.168.0.1/16 劃分子網(wǎng)后網(wǎng)絡(luò) ID 的計(jì)算：

地址：******0

1子網(wǎng)掩碼：******00

用點(diǎn)分十進(jìn)制表示法表示子網(wǎng)掩碼：255.255.255.0，這樣更直觀。

CIDR（Classless Inter-Domain Routing）

可以簡單的被看成一種先進(jìn)的子網(wǎng)掩碼的表示方法

如：192.168.0.1/24（/24 代表子網(wǎng)掩碼是24 個(gè)連續(xù)的 1）這樣可

5.什么是公用地址和專用地址?

1、公用地址：即由 ISP分配的 CIDR地址塊，對于直接連接到因特網(wǎng)的網(wǎng)絡(luò)，需要使用

ISP 分配的 IP 地址。

2、專用地址：不連接或間接連接到因特網(wǎng)（如用 NAT 或代理服務(wù)器）的網(wǎng)絡(luò)，推薦使用 專

用地址。

什么是非路由 IP 地址?

非路由 IP 地址是那些在 Internet 上不被分配的 IP 地址，因?yàn)樗鼈冊?Internet 上從來不被路由。最常使用的非路由 IP 地址包括：

網(wǎng)絡(luò) ID

10.0.0.0/8

172.16.0.0/1

2192.168.0.0/16 IP 地址范圍 10.0.0.1—10.255.255.254 172.16.0.1—172.31.255.254 192.168.0.1—192.168.255.2

54十、自動(dòng)專用 IP 尋址

當(dāng)配置計(jì)算機(jī)用 DHCP 動(dòng)態(tài)獲取 IP 地址，DHCP 服務(wù)器不能響應(yīng)客戶機(jī)的 要求，使用 APIPA 功能自行配置：169.254.0.0/16