內(nèi)網(wǎng)arp攻擊檢測(cè)工具是根據(jù)以太網(wǎng)協(xié)議發(fā)起的一款arp攻擊軟件，該軟件界面簡(jiǎn)潔安裝方法簡(jiǎn)單使用方便，可以幫助用戶模擬局域網(wǎng)arp攻擊，進(jìn)行ip偽裝，需要的朋友歡迎來(lái)綠色資源網(wǎng)下載！

使用說明

防止內(nèi)網(wǎng)ARP攻擊的方法

我不推薦大家使用靜態(tài)IP地址和mac地址的綁定，這會(huì)帶來(lái)更多的管理負(fù)荷。你可以利用ISA Server強(qiáng)大的身份驗(yàn)證功能，結(jié)合IP地址來(lái)進(jìn)行管理，這樣具有更好的效果。也請(qǐng)不要在論壇問我ARP命令是如何使用的，Windows的幫助是最好的老師。

1 ．檢查本機(jī)的“ ARP 欺騙”木馬染毒進(jìn)程同時(shí)按住鍵盤上的“ CTRL ”和“ ALT ”鍵再按“ DEL ”鍵，選擇“任務(wù)管理器”，點(diǎn)選“進(jìn)程”標(biāo)簽。察看其中是否有一個(gè)名為“ MIR0.dat ”的進(jìn)程。如果有，則說明已經(jīng)中毒。右鍵點(diǎn)擊此進(jìn)程后選擇“結(jié)束進(jìn)程”。參見右圖。

2 ．檢查網(wǎng)內(nèi)感染“ ARP 欺騙”木馬染毒的計(jì)算機(jī)在“開始” - “程序” - “附件”菜單下調(diào)出“命令提示符”。輸入并執(zhí)行以下命令：ipconfig記錄網(wǎng)關(guān) IP 地址，即“ Default Gateway ”對(duì)應(yīng)的值，例如“ 59.66.36.1 ”。再輸入并執(zhí)行以下命令：arp –a在“ Internet Address ”下找到上步記錄的網(wǎng)關(guān) IP 地址，記錄其對(duì)應(yīng)的物理地址，即“ Physical Address ”值，例如“ 00-01-e8-1f-35-54 ”。在網(wǎng)絡(luò)正常時(shí)這就是網(wǎng)關(guān)的正確物理地址，在網(wǎng)絡(luò)受“ ARP 欺騙”木馬影響而不正常時(shí)，它就是木馬所在計(jì)算機(jī)的網(wǎng)卡物理地址。也可以掃描本子網(wǎng)內(nèi)的全部 IP 地址，然后再查 ARP 表。如果有一個(gè) IP 對(duì)應(yīng)的物理地址與網(wǎng)關(guān)的相同，那么這個(gè) IP 地址和物理地址就是中毒計(jì)算機(jī)的 IP 地址和網(wǎng)卡物理地址。

3 ．設(shè)置 ARP 表避免“ ARP 欺騙”木馬影響的方法本方法可在一定程度上減輕中木馬的其它計(jì)算機(jī)對(duì)本機(jī)的影響。用上邊介紹的方法確定正確的網(wǎng)關(guān) IP 地址和網(wǎng)關(guān)物理地址，然后在 “命令提示符”窗口中輸入并執(zhí)行以下命令：arp –s 網(wǎng)關(guān) IP 網(wǎng)關(guān)物理地址4.態(tài)ARP綁定網(wǎng)關(guān)

步驟一：在能正常上網(wǎng)時(shí)，進(jìn)入MS-DOS窗口，輸入命令：arp －a，查看網(wǎng)關(guān)的IP對(duì)應(yīng)的正確MAC地址， 并將其記錄下來(lái)。   注意：如果已經(jīng)不能上網(wǎng)，則先運(yùn)行一次命令arp －d將arp緩存中的內(nèi)容刪空，計(jì)算機(jī)可暫時(shí)恢復(fù)上網(wǎng)（攻擊如果不停止的話）。一旦能上網(wǎng)就立即將網(wǎng)絡(luò)斷掉（禁用網(wǎng)卡或拔掉網(wǎng)線），再運(yùn)行arp －a。

步驟二：如果計(jì)算機(jī)已經(jīng)有網(wǎng)關(guān)的正確MAC地址，在不能上網(wǎng)只需手工將網(wǎng)關(guān)IP和正確的MAC地址綁定，即可確保計(jì)算機(jī)不再被欺騙攻擊。   要想手工綁定，可在MS-DOS窗口下運(yùn)行以下命令：   arp －s 網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC

例如：假設(shè)計(jì)算機(jī)所處網(wǎng)段的網(wǎng)關(guān)為192.168.1.1，本機(jī)地址為192.168.1.5，在計(jì)算機(jī)上運(yùn)行arp －a后輸出如下：

Cocuments and Settings>arp -a

Interface:192.168.1.5 --- 0x2

Internet Address   192.168.1.1

Physical Address Type     00-01-02-03-04-05

dynamic

其中，00-01-02-03-04-05就是網(wǎng)關(guān)192.168.1.1對(duì)應(yīng)的MAC地址，類型是動(dòng)態(tài)（dynamic）的，因此是可被改變的。   被攻擊后，再用該命令查看，就會(huì)發(fā)現(xiàn)該MAC已經(jīng)被替換成攻擊機(jī)器的MAC。如果希望能找出攻擊機(jī)器，徹底根除攻擊，可以在此時(shí)將該MAC記錄下來(lái)，為以后查找該攻擊的機(jī)器做準(zhǔn)備。

4.手工綁定的命令為：   arp －s 192.168.1.1   00-01-02-03-04-05   綁定完，可再用arp －a查看arp緩存：   Cocuments and Settings>arp -a   Interface: 192.168.1.5 --- 0x2   Internet Address Physical Address Type   192.168.1.1   00-01-02-03-04-05 static   這時(shí)，類型變?yōu)殪o態(tài)（static），就不會(huì)再受攻擊影響了。   但是，需要說明的是，手工綁定在計(jì)算機(jī)關(guān)機(jī)重啟后就會(huì)失效，需要再次重新綁定。所以，要徹底根除攻擊，只有找出網(wǎng)段內(nèi)被病毒感染的計(jì)算機(jī)，把病毒殺掉，才算是真正解決問題。

5 .作批處理文件   在客戶端做對(duì)網(wǎng)關(guān)的arp綁定，具體操作步驟如下：

步驟一：查找本網(wǎng)段的網(wǎng)關(guān)地址，比如192．168．1．1，以下以此網(wǎng)關(guān)為例。在正常上網(wǎng)時(shí)，“開始→運(yùn)行→cmd→確定”，輸入：arp －a，點(diǎn)回車，查看網(wǎng)關(guān)對(duì)應(yīng)的Physical Address。比如：網(wǎng)關(guān)192.168.1.1 對(duì)應(yīng)00－01－02－03－04－05。

步驟二：編寫一個(gè)批處理文件rarp.bat，內(nèi)容如下：   @echo off   arp －d   arp -s   192.168.1.1   00－01－02－03－04－05   保存為：rarp.bat。

步驟三：運(yùn)行批處理文件將這個(gè)批處理文件拖到“Windows→開始→程序→啟動(dòng)”中，如果需要立即生效，請(qǐng)運(yùn)行此文件。