ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。(其大部分网络限速软件都是利用这个原理实现限速功能。)
ARP攻击判断
如何判断网络里面发生了ARP攻击呢?
当网络处于正常的情况,在内网任意一台电脑的DOS界面运行 arp –a 这个命令,记录下网络处于正常情况下LAN的MAC地址,可以看到类似下图的信息:
可以看到,任意一台电脑arp –a 的回显信息中,都有一条对应网关路由器的IP地址和MAC地址的条目,可以看到其中的Physical Address就是网络处于正常情况下的LAN口MAC地址00-0a-eb-b9-5c-ce ,当发生ARP攻击的时候,这个Physical Address就变为另一个MAC地址了,而不是00-0a-eb-b9-5c-ce。
所以说,判断是否发生ARP攻击的办法就是:
1、 正常情况下,登录网关路由器管理界面并记录网关面向局域网接口(LAN口)的MAC地址,如果你登录不到路由器,那么cmd运行arp -a,查看网关的MAC地址。
2、发生异常情况时候,在内网发生故障的电脑(/或任意一台电脑)上运行 arp –a 命令,在回显的信息中查看对应网关IP的MAC地址,还是不是之前记录的网关的MAC地址?如果不是,则说明局域网发生了ARP攻击。
ARP防护解决办法(解决限速方法):
1、PC上绑定路由器的IP和MAC地址:
(1) XP命令:arp -s 路由器IP地址 路由器MAC地址
例:arp -s 192.168.1.1 00-0a-eb-b9-5c-ce (MAC地址必须是网络正常情况下的)
(2) Window7 命令:
1、使用 netsh i i show in
2、查看正在使用的网卡的 idx
3、使用命令(其中11为正在使用的网卡的idx)
注意空格键,每个符号后面都有空格
C:\Windows\system32>netsh -c “i i” add neighbors 13 “192.168.1.1” “00-0a-eb-b9-5c-ce“
4、使用 netsh i i reset 即可取消。需要重启才生效!
原创文章,作者:wwh,如若转载,请注明出处:https://www.wuwenhui.cn/2467.html
微信扫一扫 
支付宝扫一扫 
评论列表(4条)
arp防火墙有,地址绑定可以
@我的名字叫麒:这个不需要依靠ARP防火墙!
不错的软件 不过现在的ARP攻击应该会比较少了吧
@小语种外贸:对于租客还是多的,呵呵~