手工绑定的命令为MAC

           ARP（Address Resolution Protocol，地址解析协议）是一个位于 TCP/IP 协议栈中的低 层协议，负责将某个 IP 地址解析成对应的 MAC 地址。 什么是 ARP 欺骗? 从影响网络连接通畅的方式来看，

           ARP 欺骗分为二种， 一种是对路由器 ARP 表的欺骗； 另一种是对内网 PC 的网关欺骗。 第一种 ARP 欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网 MAC 地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果 路由器的所有数据只能发送给错误的 MAC 地址，造成正常 PC 无法收到信息。第二种 ARP 欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的 PC 向假网关发数据， 而不是通过正常的路由器途径上网。在 PC 看来，就是上不了网了，“网络掉线了”。 近期，一种新型的“ ARP 欺骗”木马病毒正在校园网中扩散，严重影响了校园网的正 常运行。感染此木马的计算机试图通过“ ARP 欺骗”手段截获所在网络内其它计算机的通信 信息，并因此造成网内其它计算机的通信故障。ARP 欺骗木马的中毒现象表现为：使用校 园网时会突然掉线， 过一段时间后又会恢复正常。 比如客户端状态频频变红， 用户频繁断网， IE 浏览器频繁出错，以及一些常用软件出现故障等。如果校园网是通过身份认证上网的， 会突然出现可认证，但不能上网的现象（无法 ping 通网关） ，重启机器或在 MS-DOS 窗口 下运行命令 arp -d 后，又可恢复上网。ARP 欺骗木马十分猖狂，危害也特别大，各大学校 园网、小区网、公司网和网吧等局域网都出现了不同程度的灾情，带来了网络大面积瘫痪的 严重后果。ARP 欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严 重的甚至可能带来整个网络的瘫痪。 该木马发作时除了会导致同一局域网内的其他用户上网 出现时断时续的现象外，还会窃取用户密码。如盗取 QQ 密码、盗取各种网络游戏密码和 账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户 造成了很大的不便和巨大的经济损失。

          如何检查和处理“ ARP 欺骗”木马的方法 1 ．检查本机的“ ARP 欺骗”木马染毒进程 同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键，选择“任务管理器”，点选“进程”标 签。察看其中是否有一个名为“ MIR0.dat ”的进程。如果有，则说明已经中毒。右键点击此 进程后选择“结束进程”。参见右图。 2 ．检查网内感染“ ARP 欺骗”木马染毒的计算机 在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令： ipconfig 记录网关 IP 地址，即“ Default Gateway ”对应的值，例如“ 59.66.36.1 ”。再输入并执行 以下命令： arp –a 在“ Internet Address ”下找到上步记录的网关 IP 地址，记录其对应的物理地址，即 “ Physical Address ”值，例如“ 00-01-e8-1f-35-54 ”。在网络正常时这就是网关的正确物 理地址，在网络受“ ARP 欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地 址。 也可以扫描本子网内的全部 IP 地址，然后再查 ARP 表。如果有一个 IP 对应的物理地址 与网关的相同，那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。 3 ．设置 ARP 表避免“ ARP 欺骗”木马影响的方法 本方法可在一定程度上减轻中木马的其它计算机对本机的影响。 用上边介绍的方法确定正确 的网关 IP 地址和网关物理地址，然后在 “命令提示符”窗口中输入并执行以下命令： arp –s 网关 IP 网关物理地址 4.态 ARP 绑定网关 步骤一： 在能正常上网时，进入 MS-DOS 窗口，输入命令：arp －a，查看网关的 IP 对应的正确 MAC 地址， 并将其记录下来。 注意：如果已经不能上网，则先运行一次命令 arp －d 将 arp 缓存中的内容删空，计算 机可暂时恢复上网（攻击如果不停止的话） 。一旦能上网就立即将网络断掉（禁用网卡或拔 掉网线） ，再运行 arp －a。 步骤二： 如果计算机已经有网关的正确 MAC 地址， 在不能上网只需手工将网关 IP 和正确的 MAC 地址绑定，即可确保计算机不再被欺骗攻击。 要想手工绑定，可在 MS-DOS 窗口下运行以下命令： arp －s 网关 IP 网关 MAC 例如：假设计算机所处网段的网关为192.168.1.1，本机地址为192.168.1.5，在计算机上 运行 arp －a 后输出如下： Cocuments and Settings>arp -a Interface:192.168.1.5 --- 0x2 Internet Address Physical Address Type 192.168.1.1 00-01-02-03-04-05 dynamic 其 中 ， 00-01-02-03-04-05 就 是 网 关 192.168.1.1 对 应 的 MAC 地 址 ， 类 型 是 动 态 （dynamic）的，因此是可被改变的。 被攻击后，再用该命令查看，就会发现该 MAC 已经被替换成攻击机器的 MAC。如果希 望能找出攻击机器，彻底根除攻击，可以在此时将该 MAC 记录下来，为以后查找该攻击的 机器做准备。

          最简单的办法手工绑定的命令为： arp －s 192.168.1.1 00-01-02-03-04-05 绑定完，可再用 arp －a 查看 arp 缓存： Cocuments and Settings>arp -a Interface: 192.168.1.5 --- 0x2 Internet Address Physical Address Type 192.168.1.1 00-01-02-03-04-05 static 这时，类型变为静态（static） ，就不会再受攻击影响了。 但是， 需要说明的是， 手工绑定在计算机关机重启后就会失效， 需要再次重新绑定。 所以， 要彻底根除攻击， 只有找出网段内被病毒感染的计算机， 把病毒杀掉， 才算是真正解决问题。 5 .作批处理文件 在客户端做对网关的 arp 绑定，具体操作步骤如下： 步骤一： 查找本网段的网关地址，比如192．168．1．1，以下以此网关为例。在正常上网时，“开 始→运行→cmd→确定”，输入：arp －a，点回车，查看网关对应的 Physical Address。 比如：网关192.168.1.1 对应00－01－02－03－04－05。 步骤二： 编写一个批处理文件 rarp.bat，内容如下： @echo off arp －d arp -s 192.168.1.1 00－01－02－03－04－05 保存为：rarp.bat。 步骤三： 运行批处理文件将这个批处理文件拖到“Windows→开始→程序→启动”中，如果需要立 即生效，请运行此文件。 注意：以上配置需要在网络正常时进行 6.使用安全工具软件 及时下载 Anti ARP Sniffer 软件保护本地计算机正常运行。具体使用方法可以在网上搜 索。 如果已有病毒计算机的 MAC 地址， 可使用 NBTSCAN 等软件找出网段内与该 MAC 地址 对应的 IP，即感染病毒的计算机的 IP 地址，然后报告单位的网络中心对其进行查封。 或者利用单位提供的集中网络防病毒系统来统一查杀木马。 另外还可以利用木马杀客等安 全工具进行查杀。 7.应急方案 网络管理管理人员利用上面介绍的 ARP 木马检测方法在局域网的交换机上查出受感染该 病毒的端口后，立即关闭中病毒的端口，通过端口查出相应的用户并通知其彻底查杀病毒。 而后，做好单机防范，在其彻底查杀病毒后再开放相应的交换机端口，重新开通上网。