第一篇:防范局域网ARP欺骗,手动查杀木马,介绍和认识IP地址
解决和防患局域网内Arp欺骗
当局域网种存再ARP欺骗包的话,总的来说有主要又这么两种可能。
一、有人恶意破坏网络。
这种事情,一般会出现在网吧,或是一些人为了找到更好的网吧上网座位,强行让别人断线。
又或是通过ARP欺骗偷取内网帐号密码。
二,病毒木马
如:传奇网吧杀手等,通过ARP欺骗网络内的机器,假冒网关。从而偷取对外连接传奇服务器的密码。
ARP欺骗的原理如下:
假设这样一个网络,一个交换机接了3台机器
HostA HostB HostC 其中
A的地址为:IP:192.168.1.1 MAC: AA-AA-AA-AA-AA-AA---------网关B的地址为:IP:192.168.1.2 MAC: BB-BB-BB-BB-BB-BB--------黑客C的地址为:IP:192.168.1.3 MAC: CC-CC-CC-CC-CC-CC---------被欺骗者
正常情况下 C:arp-a
Interface: 192.168.1.3 on Interface 0x100000
3Internet Address Physical Address Type
192.168.1.1 BB-BB-BB-BB-BB-BBdynamic
现在假设HostB开始了罪恶的ARP欺骗:假冒A像c发送ARP欺骗包
B向C发送一个自己伪造的ARP欺骗包,而这个应答中的数据为发送方IP地址是192.168.1.1(网关的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(A的MAC地址本来应该是AA-AA-AA-AA-AA-AA,这里被伪造了)。当C接收到B伪造的ARP应答,就会更新
本地的ARP缓存(C可不知道被伪造了)。而且C不知道其实是从B发送过来的,这样C就受到了B的欺骗了,凡是发往A的数据就会发往B,这时候那么是比较可怕的,你的上网数据都会先流向B,在通过B去上网,如果这时候B上装了SNIFFER软件,那么你的所有出去的密码都将被截获。
为了以后出现问题的时候好查找,我建议大家平时建立一个MAC和IP的对应表,把局域网内所有网卡的MAC地址和IP、地理位置统统装入数据库,以便当以后发现ARP 欺骗时找出欺骗者的机器。
二、防范措施和解决方法。
方法一
通过arp –s 来绑定网关的MAC 地址和IP 地址。
这种方法对于XP 和2003系统是有用的,使用arp –s 来绑定的话。那么在ARP表中显示的是一条静态的记录。
这样就不会被动态的ARP 欺骗包给欺骗,而修改。
那么在2000的系统上也是可以使用arp-s来进行绑定得,在SP4的2000系统上需要下载2000 Rollup v2更新补丁包,ARP的补丁已经包含在里面 了,大小应该在38MB那样。http://download.microsoft.com/download/7/e/9/7e969f31-e33d-45a2-9d1a-fecbcde29a0e/Windows2000-KB891861-v2-x86-CHS.EXE
并且装好后,下面几个文件不能小于下面的版本号。
DateTimeVersionSizeFile name
-------------------------
19-Jun-200320:055.0.2195.6602108,816Msafd.dll
02-Jun-200422:445.0.2195.6938318,832Tcpip.sys
19-Jun-200320:055.0.2195.660117,680Wshtcpip.dll
19-Jun-200320:055.0.2195.6687120,240Afd.sys
19-Jun-200320:055.0.2195.665516,240Tdi.sys
相关文章,大家可以看微软的KB.http://support.microsoft.com/kb/842168
例:arp-s192.168.1.1 00-0B-AD-DD-22-35
方法二
有些木马或是一些骇客总是使用本地网卡上的网关来做欺骗。网关是通往外网或是和不同网络互联的一个中间设备。
而通过添加路由表中的记录,设置优先级高于网关默认路由,那么网关的路由在级别高的路由可用时将不会生效。
施行方法:1.先手动修改客户机的网关地址为任意ip地址,最好是同一网段中,没使用的一个IP,以免被怀疑。
2.手动添加或是通过批处理,或是脚本来添加永久对出口路由。
此中方法可以欺骗过大部份,菜鸟或是所谓的骇客和大部份ARP欺骗木马。
缺点是: 如果以后网关以后网卡或是机器改变。那么以后还得重新修改已有得路由。route delete 0.0.0.0-----删除到默认得路由
route add 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1--- 添加路由route add-p 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1------参数-p 就是添加永久的记录。
route change--修改路由
http:///dispbbs.asp?BoardID=33&ID=2631&replyID=6840&skin=1方法 三
1.如果你但前使用得交换机器有网卡和MAC地址绑定功能,那么将你所在得网得IP地址和MAC 地址进行绑定。
但有时候,我们可能没有这些设备那么要想做就很困难了。
另类方法思路--如何全面解决让ARP欺骗,ARP木马无法在本机器安装,运行。
大部分监控,arp 欺骗软件,都会使用到一个winpcap驱动。那么现在的思路就是让其无法在本地计算机安装。
这样arp欺骗软件就无法被使用了使用了,此方法可以用于任何程序的安装。需要的条件:
1.所在的系统盘为NTFS 分区格式。
2.知道所要安装的文件所要在系统中生成的文件。
3.使用注册表和文件安装监视软件来监视安装所生成的文件。
方法四:
利用些别人做好的ARP 监控工具。
实验:
作业:
1.使用arp-s 来添加一条arp静态记录,使用arp-a 查看添加的记录。使用arp-d 来删除刚添加的那条记录
2.使用route print 来查看现有的路由表,使用route add-p 来添加一条永久记录,最后使用route delete来删除刚建的那条记录。
3.使用组策略禁止本地系统中的记事本程序。
4.利用注册表和文件安装监视软件,来查找组策略中设置后,对注册表中键值的修改。并通过修改注册表,禁止记事本软件(notepad.exe)的执行。
第二篇:介绍和认识IP地址
一、什么是 IP 地址
为了使连入Internet的电脑主机相互通信,Internet中的每一台主机都分配有一个唯一的32位地址,该地址称为IP地址,也称作网际地址。IP地址由4个数组成,每个数可取值0~255,各数之间用一个点号“.”分开,例如: 202.106.196.115 实际上,每个IP地址是由网络号和主机号两部分组成的。网络号表明主机所联接的网络,主机号标识了该网络上特定的那台主机。
例子:
真实的地址新街口100号 IP地址 192.168.0.1街道号表示法
门牌号表示法 新街口网络号 192.168.0.0 100号主机号 0.1
网络里所有主机街道里所有房屋
二、IP 地址的表示
1、有两种表示方法:
①二进制表示方法,如:
11000000 10101000 00000000 0000000
1②点分十进制表示法,如:192.168.0.1
十进制二进制
000000000
100000001
200000010
300000011
400000100
500000101
600000110
700000111
800001000
三、网络 ID 和主机 ID
①IP 地址由两部分组成:网络 ID 和主机 ID
如 192.168.0.1网络 ID主机ID
②网络 ID 表示方法:192.168.0.0
主机 ID 表示方法:0.1
③网络 ID 的作用:标识某个网段,在同一个网段的计算机,它们的网络 ID是一样的。不
同的网段就不一样了。
主机 ID 的作用:标识同一个网段内的不同主机,在该网段内主机 ID 不可以重复。注意:在不同的网段内可能有相同的主机 ID,但是,网络 ID 和主机 ID 组合后在整 个网络应当是唯一的四.IP 地址分类
1.IP 地址根据网络ID的范围从大到小分为五类,分别是:A、B、C、D、E
地址类
A 类
B 类 第一个网络 ID 1.0.0.0 128.0.0.0 最后一个网络 ID 126.0.0.0 191.255.0.0 网络数量 126 1638
4C 类 192.0.0.0 223.255.255.0 20971
52D 类224.0.0.0239.255.255.255多播地址
E 类:224.0.0.0239.255.255.255保留地址
2.各类地址都有了一个默认的子网掩码。
地址类 子网掩码的位
A 类 11111111 00000000 00000000 00000000
B 类
C 类
3、规则:特殊IP地址
①不能将主机位中所有的位设成 1:
都设成 1 是为广播而留的②不能将主机位中所有的位设成 0:
都设成 0 是为表示网络 ID 而留的③网络 ID 不能以 127 作为前 8 位位组的开头:
127.x.y.z 保留为回送地址
五、子网和子网掩码
1、什么是子网:用路由器分割开的网段叫子网。
2、为什么要将一个大的网络分成子网:主要是为了让网络运行的效率更高,避免网络广播太多,造成网络瘫痪.3.什么是子网掩码?
子网掩码不能单独存在,它必须结合IP地址一起使用。子网掩码只有一个作用,就是将某个IP地址划分成网络地址和主机地址两部分.默认子网掩码 255.0.0.0 255.255.0.0 255.255.255.0 11111111 11111111 00000000 00000000 11111111 11111111 11111111 00000000
4.子网掩码的作用?
ID 哪部分是主机 ID 子网掩码的作用是用来确定哪部分是网络
采用子网掩码与 IP 地址作“与”运算(0 与 0 为 0;0 与 1 为 0;1 与 确定网络 ID 的方法是:
0 为 0;1 与 1 为1)
例子:192.168.0.1/16 划分子网后网络 ID 的计算:
地址:******0
1子网掩码:******00
用点分十进制表示法表示子网掩码:255.255.255.0,这样更直观。
CIDR(Classless Inter-Domain Routing)
可以简单的被看成一种先进的子网掩码的表示方法
如:192.168.0.1/24(/24 代表子网掩码是24 个连续的 1)这样可
5.什么是公用地址和专用地址?
1、公用地址:即由 ISP分配的 CIDR地址块,对于直接连接到因特网的网络,需要使用
ISP 分配的 IP 地址。
2、专用地址:不连接或间接连接到因特网(如用 NAT 或代理服务器)的网络,推荐使用 专
用地址。
什么是非路由 IP 地址?
非路由 IP 地址是那些在 Internet 上不被分配的 IP 地址,因为它们在 Internet 上从来不被路由。最常使用的非路由 IP 地址包括:
网络 ID
10.0.0.0/8
172.16.0.0/1
2192.168.0.0/16 IP 地址范围 10.0.0.1—10.255.255.254 172.16.0.1—172.31.255.254 192.168.0.1—192.168.255.2
54十、自动专用 IP 寻址
当配置计算机用 DHCP 动态获取 IP 地址,DHCP 服务器不能响应客户机的 要求,使用 APIPA 功能自行配置:169.254.0.0/16
点击咨询 