网吧实例:局域网解决ARP攻击的方法
2008-11-20 13:32:32 来源:WEB开发网切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。
【防范方法】
以下为网吧试验得出结论:
A、B、C、D四种类型客户机XP系统皆适合使用,2K系统ARP -S无效,可以使用虚拟网关!
A--代理服务器共享上网方式(采用双向绑定)
双向绑定分为两部分
1、网关(假设网关IP为192.168.0.1 ,MAC为00-01-02-01-02-01)上绑定下面所有客户机的IP+MAC
例:做一个批处理放在代理服务器的启动里面,大概内容如下
@echo off
有几台客户机就加几条相应IP和MAC绑定
arp -s 192.168.0.2 00-02-54-44-58-87
arp -s 192.168.0.3 65-5d-88-88-88-96
arp -s 192.168.0.4 55-54-df-dg-54-08
2、客户机(绑定网关的IP+MAC)
例:做一个批处理放在客户机的启动里面,大概内容如下
@echo off
arp -s 192.168.0.1 00-01-02-01-02-01
B--代理服务器共享上网方式(采用虚拟网关)
虚拟网关部分
客户机(假设客户机默认网关IP为192.168.0.1 ),后来因中了ARP欺骗,把代理服务器的IP更改为192.168.0.254,客户机本地连接里的网关依然保持为192.168.0.1
例:做一个批处理放在客户机的启动里面,大概内容如下444444444444444
@echo off
route delete 0.0.0.0
route add 0.0.0.0 mask 0.0.0.0 192.168.0.254 metric 1
route change 0.0.0.0 mask 0.0.0.0 192.168.0.254 metric 1
exit
C--路由器共享上网方式(采用双向绑定)PS:路由本身支持ARP协议,以下举某种路由的绑定方式
双向绑定分为两部分
1、网关(假设网关IP为192.168.0.1 ,MAC为00-01-02-01-02-01)上绑定下面所有客户机的IP+MAC
例:进入路由里面,进入调试模式,大概内容如下
arp 192.168.0.2 0002.5444.5887 arpa
arp 192.168.0.3 655d.8888.8896 arpa
arp 192.168.0.4 5554.dfdg.5408 arpa
有几台客户机就加几条相应IP和MAC绑定
2、客户机(绑定网关的IP+MAC)
例:做一个批处理放在客户机的启动里面,大概内容如下66666666666666666
@echo off
arp -s 192.168.0.1 00-01-02-01-02-01
D--路由器共享上网方式(采用虚拟网关)
虚拟网关部分
客户机(假设客户机默认网关IP为192.168.0.1 ),后来因中了ARP欺骗,把路由器的IP更改为192.168.0.254,客户机本地连接里的网关依然保持为192.168.0.1
例:做一个批处理放在客户机的启动里面,大概内容如下
@echo off
route delete 0.0.0.0
route add 0.0.0.0 mask 0.0.0.0 192.168.0.254 metric 1
route change 0.0.0.0 mask 0.0.0.0 192.168.0.254 metric 1
exit
更多精彩
赞助商链接