网络剪刀手

2024年3月9日发(作者：)

网络剪刀手----62dc39f4-7163-11ec-983f-7cb59b590d7d

请问别人改了我的ip后，网络剪刀手还能用吗？

奖励分数：25 |解决时间：2022-6-602:02 |提问者：王敏84126 |报告其他人总是在

做事情，而我什么都做不了。后来使用后效果不错，但是我的IP变了。更换后，网络剪

刀手无法使用。我该怎么解决呢。

最佳答案一般攻击者会使用如同“网络执法官”这类的软件，发送数据包改变arp缓

存中的网关ip对应的mac地址，导致找不到真正的网关而不能连如internet。原来解决

这种攻击的办法是修改自己的mac地址，使得攻击者暂时失去真正的目标，然后重新连入

网络，获取网关的正确mac地址，以便在以后被攻击后好恢复网络。

方法如下：进入虚拟DOS模式，ping自己的网关，然后使用arp-a命令查看缓存中网

关对应的MAC地址，然后记录。当网络因另一次攻击而无法访问时，可以在DOS下使用

arp-s网关IP网关MAC地址手动建立映射关系，以恢复与网关的通信。

但是这种方法在碰到恶意的连续攻击的情况下是很麻烦的，严整影响了正常使用，因

为你不得不常常去修改你的缓存。还好找到了colorsoft出的antiarpsniffer小东西，

使用起来很简单，直接把你记录到的网关正确mac填进去，在把自己的网卡mac填进去，

然后打开自动防护和防护地址冲突就可以了,他会自动过滤掉攻击的欺骗数据包，从而使

你网络更稳定。呵呵，再也不怕因为攻击而游戏掉线了。现在antiarpsniffer出到了2.0

版，但是感觉还是不够方便，不能自动获得当前本机的网卡mac,在受到连续攻击的时候不

停弹出受攻击的提示，十分碍眼。不过总体说来还是不错的好东东了

Arp-a查找网关的MAC地址

00-00-00-00-00-00-00

其中：192.168 x.x（网关IP）

00-00-00-00-00-00（网关mac）

我不会再查更多的帮助。这个系统也随之而来

arp攻击补丁防范网络剪刀

分类：电脑病毒

因为网络剪刀手等工具的原理就是利用了arp欺骗，所以，只要防止了arp欺骗也等

于防止了网络剪刀手。

解决方案：你应该在IP+MAC地址的基础上建立网络安全信任关系，设置静态MAC地

址->IP对应表，不要让主机刷新你设置的转换表。

先在网上找一些mac地址查找器，然后用编辑软件编辑一下编写成下面的批处理文件，

@埃科夫

arp-s192.168.5.1000:0a:eb:c1:9b:89

arp-s192。168.5.1100:05:5d:09:41:09

arp-s192.168.5.1252:54:ab:4f:24:9d

arp-s192。168.5.3400:e0:4c:82:06:60

arp-s192.168.5.3500:e0:4c:62:f4:7c

arp-s192。168.5.3602:e0:4c:a0:f6:a2

arp-s192.168.5.20100:10:5c:b9:ad:99

arp-s192。168.5.21500:0a:eb:10:de:74

arp-s192.168.5.22000:e0:4c:5b:cf:49

arp-s192。168.5.22100:11:d8:ae:8f:c5

arp-s192.168.5.22300:11:

2f:e4:32:eb

（将文件中的ip地址和mac地址更改为您自己的网络ip地址和mac地址即可），保

存下来，如果有人更新了你的arp，你就运行一下你的批处理文件就行了。

因为网络剪刀手和其他工具的原理是使用ARP欺骗，所以只要防止ARP欺骗，就相当

于防止网络剪刀手。

解决办法(一)：应该把你的网络安全信任关系建立在ip+mac地址基础上，设置静态

的mac-地址->ip对应表，不要让主机刷新你设定好的转换表。

具体步骤：编写一个批处理文件ARP bat的内容如下（假设192.168.1.2的MAC地址

为00-22-aa-00-22-aa）：

@echooff

arp-s192。168.1.200-22-aa-00-22-aa

arp-s192.168.1.25400-99-cc-00-99-cc

（所有IP地址和相应的MAC地址均以上述格式写入）。将文件中的IP地址和MAC地

址更改为您自己的网络IP地址和MAC地址。

将这个批处理软件拖到每一台主机的“windows--开始--程序--启动”中。这样每次

开机时，都会刷新arp表。

解决方案（二）：

下载防arp攻击补丁安装!

解决方案（三）

局域网arp攻击免疫器

这通常在2000、xP1和xp22022下使用，不会对系统或游戏产生任何影响。98真的没

有经过测试。

98下面，这个“局域网arp攻击免疫器”要解

压缩到c:windowssystem里面才有效,另外一个还是解压到system32drivers

里面就可以了。

我可以非常负责地告诉你！

用了以后网络执法官是不可以用了!

但是带有ARP病毒的插件仍然会下降！！

本人再次详细申明一下：这个东东可以在2000，xp，2021下面正常使用，不会对系

统.游戏有任何影响。对与98，需要使用dos命令来实现这几个文件的免修改属性。可以

屏蔽网络执法官.网络终结者之类的软件对网吧进行毁灭性打击。至于由于病毒造成的危

害，就无能为力了。没有一个东西是万能滴。。。

他的原则是不让WinPcap成功安装。上面的程序只是找到一个sys和DLL文件来替换

WinPcap安装文件，并且只读取这些文件。至于如何使用Win98，原理是一样的。首先安

装WinPcap，然后在其卸载程序中查看WinPcap在系统中写入的文件，然后找到一个sys

和DLL文件来替换三个键wpcap DLL、packet。dll、npf。Sys，Win98中可能有两个。这

种方法安全吗？我认为一般来说，首先，ARP病毒是无法预防的，而且很容易被破坏

1、arp攻击

针对ARP的攻击主要有两种，一种是dos攻击，另一种是欺骗攻击。

arp欺骗往往应用于一个内部网络，我们可以用它来扩大一个已经存在的网络安全漏

洞。

如果你能入侵子网中的一台机器，其他机器的安全也会受到ARP欺骗的威胁。

同样，利用apr的dos甚至能使整个子网瘫痪。

2.防止ARP攻击

防止arp攻击是比较困难的,修改协议也是不大可能。但是有一些工作是可以提高本

地网络的安全性。

首先，您应该知道，如果在ARP或iproute表中插入了不正确的记录，可以通过两种

方式将其删除。

a.使用arp–dhost_entry

b、 自动过期，由系统删除

局域终结者,网络执法官,网络剪刀手

1.将三个DLL文件复制到windowssystem32，NPF将文件系统复制到

windowssystem32drivers。

2。将这4个文件在安全属性里改成只读。也就是不允许任何人修改

1.建立DHCP服务器（建议在网关上构建，因为DHCP不占用太多CPU，ARP欺骗攻击

通常先攻击网关。我们只希望他先攻击网关，因为这里有一个监控程序。建议选择

192.168.10.2作为网关地址，并将192.168.10.1留空。如果犯罪程序让他攻击空地址）

此外，所有客户端的IP地址及其相关主机信息只能从网关获取。网关在这里打开DHCP服

务，但每个网卡都应该绑定一个固定的唯一IP地址。网络中机器的IP/MAC之间必须保持

一对一的对应关系。这样，尽管客户端通过DHCP获取地址，但每次启动时IP地址都是相

同的。

2.建立mac数据库，把网吧内所有网卡的mac地址记录下来，每个mac和ip、地理位

置统统装入数据库，以便及时查询备案。

3.网关机器关闭ARP动态刷新过程，并使用静态路由邮件。这样，即使嫌疑人使用

ARP欺骗攻击网关，网关也无法保证主机安全。

网关建立静态ip/mac捆绑的方法是：建立/etc/ethers文件，其中包含正确的

ip/mac对应关系，格式如下：

192.168.2.3208:00:4e:b0:24:47

然后再/etc/rc.d/最后添加：

Arp-f生效

4.网关监听网络安全。网关上面使用tcpdump程序截取每个arp程序包，弄一个脚本

分析软件分析这些arp协议。arp欺骗攻击的包一般有以下两个特点，满足之一可视为攻

击包报警：第一以太网数据包头的源地址、目标地址和arp数据包的协议地址不匹配。或

者，arp数据包的发送和目标地址不在自己网络网卡mac数据库内，或者与自己网络mac

数据库mac/ip不匹配。这些统统第一时间报警，查这些数据包（以太网数据包）的源地

址(也有可能伪造)，就大致知道那台机器在发起攻击了。