2024年3月27日发(作者:)
可以看出,由于ARP缓存的原因,计算机名和IP的对应关系已经混乱。修改B机器的计算
机名后,A机器并没有马上进行计算机名同步更新,也就是说在A机器上的ARP缓存中仍
然保留着student2与192.168.0.2的对应关系。虽然“ping -a 192.168.0.2”,可以解析出新的计
算机名student4,但“ping student2”时系统还是将它映射为以前的192.168.0.2,而不是更新后
的192.168.0.3。产生这个问题的罪魁祸首就是ARP缓存中的错误信息,我们只能通过重新
启动计算机A以清空ARP缓存或执行“arp –d”命令删除相应的ARP缓存内容来解决这个问
题
清空ARP缓存法:
2009-07-01 17:06
清空ARP缓存法:
很多读者可能都通过ARP指令法解决过ARP欺骗问题,该方法是针对ARP欺骗原
理进行解决的。一般来说ARP欺骗都是通过发送虚假的MAC地址与IP地址的对
应ARP数据包来迷惑网络设备,用假的错的MAC地址与IP地址对应关系取代正
确的。
对于一些初级的ARP欺骗,我们完全可以通过指令来清空本机的ARP缓存对应关
系,让网络设备从网络中重新获得正确的对应关系。解决方法如下。
第一步:通过任务栏的“开始”->“运行”,输入CMD后回车进入命令行模式。
网管论坛bbs_bitsCN_com
第二步:在命令行模式下输入arp -a命令来查看当前计算机储存在本地系统中
的ARP缓存信息。
第三步:使用arp -d命令将储存在本地计算机的ARP缓存信息清空删除,这样
错误的缓存信息也就被忽略了,本地计算机将重新从网络中获得正确的ARP信
息,从而可以正常上网。
这个方法虽然可以保证你的计算机从断网状态恢复到正常上网状态,但是如果网
络中仍然存在着ARP欺骗数据包的话,过不了多久你的计算机又无法上网了。因
此这个方法只能临时解决下问题,不能长时间彻底突破ARP欺骗,不过对于那些
通过ARP欺骗工具来实现攻击的手法来说,由于这种方法是手动攻击的,所以不
可能像ARP欺骗病毒那样每隔一段时间自动发送ARP欺骗数据包,因此清空ARP
缓存法可以解决ARP欺骗带来的问题。
指定ARP对应关系法:
正如前面所说,对于那种ARP欺骗病毒带来的ARP欺骗故障,我们使用上面介绍
的方法将无济于事,可能能够恢复正常的时间只有一分钟,之后又会因为ARP
缓存出错而无法正常上网。这时就需要我们强制ARP对应关系了。由于大部分
ARP欺骗都是针对网关MAC地址进行攻击的,让本地计算机上ARP缓存关系中网
关设备的信息出现紊乱,这样当机器要上网发送数据包给网关时就会因为地址错
误而失败,从而无法上网。
第一步:我们假设网关地址的MAC信息为11-11-11-11-11-11,对应的IP地址
为192.168.1.254。那么我们指定ARP对应关系就是针对这些地址而言。在要避
免被ARP欺骗的计算机上通过任务栏的“开始”->“运行”,输入CMD后回车进
入命令行模式。
第二步:通过arp -s命令来添加一条ARP地址对应关系,例如arp -s
192.168.1.254 11-11-11-11-11-11命令。这样我们就将网关地址的IP与正确
的MAC地址绑定了,本台计算机再也不会因为错误和虚假的ARP欺骗数据包而影
响正常网关地址信息了,网络连接也可以保证顺利完成了。(如图1)
第三步:之后我们再次通过ARP -A命令来查看本地计算机的ARP缓存信息表就
可以看到刚刚添加的静态对应信息了,在缓存表中的TYPE项中显示为static
表示该对应是添加的静态对应关系。(如图2)
通过添加静态ARP对应关系可以让计算机不再受到ARP欺骗数据包的任何骚扰,
因为不管是人工发起的攻击还是病毒自动发送欺骗数据包,当这些欺骗数据包到
达目标计算机时,由于我们系统中已经存在了网关地址的MAC信息,所以欺骗数
据包不会替代原有的静态ARP对应关系,自然不会出现无法连接网络的问题。不
过这种方法同样存在一个问题,那就是在我们添加静态ARP对应关系后,只要重
新启动计算机这个对应关系就会消失,因为每次重新启动计算机系统的ARP缓存
信息都会全部删除。不过如果我们动动脑子把这个ARP静态地址添加指令放到系
统的启动项中,让该程序随系统的启动而加载的话就可以实现即使重新启动计算
机也不会将ARP静态映射信息丢失了。
从路由下手对付ARP欺骗:
正如前面所说一般的ARP欺骗都是针对网关而言的,那么我们是否可以通过给本
地计算机添加路由来解决此问题呢?只要添加了路由,那么上网都通过此路由出
去即可,自然也不会被ARP欺骗数据包干扰了。
第一步:先手动修改客户机的网关地址为任意ip地址,最好是同一网段中没使
用的一个IP。
第二步:手动添加或是通过批处理,或是脚本来添加永久对出口路由。具体的命
令如下。(如图3)
网管bitscn_com
route delete 0.0.0.0
//删除到默认得路由
route add 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1
//添加路由
route add -p 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1
//参数-p 就是添加永久的记录。
route change
//修改路由
第三步:我们也可以把他放到开机脚本里或者系统的启动项,这样客户端每次启
动时自动运行,从而具备对ARP欺骗的先天免疫。
该方法对于网关的MAC地址固定的情况下比较合适,但是如果以后网关或者自己
计算机的地址信息出现了变化就需要重新修改已有的路由了。
域环境从程序入手:
大部分arp欺骗软件都会使用到一个叫做winpcap驱动。我们完全可以让其无法
在本地计算机安装来避免ARP欺骗问题的发生。不过需要我们将网络中设置为域
环境,然后禁止普通用户具备安装程序的权限即可,这样任何用户和计算机都无
法安装ARP欺骗软件来进行攻击了。不过如果我们的网络不是域环境,那么可以
根据下面三个步骤来解决。
网管联盟bitsCN_com
第一步:要求系统盘为NTFS分区格式。如果磁盘分区是FAT32或者其他格式的
话,我们可以通过命令来进行转换,方法是通过任务栏的“开始”->“运行”,
输入CMD后回车进入命令行模式。然后通过convert指令完成转换。例如我们要
把D盘从FAT32等其他格式转换成NTFS格式,那么可以执行convert d: /fs:ntfs
命令将该磁盘转换为NTFS格式。(如图4)
第二步:通过检测来查看所要安装的文件所要在系统中生成的文件有哪些。一般
都是对c:program files目录和system32以及system目录进行监控。
第三步:使用注册表和文件安装监视软件来监视安装所生成的文件。
第四步:然后通过管理工具来禁止这些文件的生成,从而保证ARP欺骗工具无法
安装和运行。
该方法只对ARP欺骗软件具备防范功能,如果是病毒恐怕就无能为力了,另外还
要求网络管理员清晰的知道欺骗软件程序的名称,这样才能成功完成监控工作。
对于ARP病毒等攻击手段效果不太显著。
总结:
ARP欺骗是最让网管员头疼的问题,本文介绍了四种解决该问题的方法,各个方
法针对的情况也不同。在实际工作中网管员可以根据自己的情况来选择方法,条
条道路通罗马,希望这些方法可以帮上网管的大忙。
发布评论