静态绑定网关MAC防止ARP攻击的方法

sysdee 发表于 SYSTEM 分类,标签: 连接 安装 Internet 清除 bind-static-mac-address-for-arp
0
局域网中,如果遇到ARP攻击(通过欺骗网关的方法)可以让没有安装有效ARP防火墙的用户直接上不了网,在以前的XP中,有很多ARP防火墙都是可以成功阻止ARP攻击的,但现在的X64版本的WIN7,一些在XP下能够使用的防火墙无法兼容64位的系统,但是同样可以使用手工绑定网关与网关MAC的方法来防范局域网ARP攻击~ 

这里提供两个版本,一个是以前XP的手工绑定方法,一个是WIN7的手工绑定方法,具体如下:


XP的手工绑定方法:
在开始运行中输入cmd
在cmd命令行界面下直接使用

arp -s 网关的IP 网关的MAC

然后就可以使用
arp -a
查看到绑定的条目变成了静态。

至于如何获取网关的MAC
可以在没有ARP攻击的时候,去ping一下网关地址,比如网关地址是192.168.1.1

那么:
C:\>ping 192.168.1.1
正在 Ping 192.168.1.1 具有 32 字节的数据:
(ping不通也没有关系,有些网关防PING但是MAC条目仍然会出现)

然后使用:
C:\>arp -a
接口: 192.168.1.123 --- 0xb
   Internet 地址 物理地址 类型
   192.168.1.1 12-e6-b7-11-00 动态

就可以查看到
192.168.1.1对应的MAC项了(12-e6-b7-11-00),后面会显示动态,说明这是一个动态条目, 
而静态绑定的条目优先级高于动态,这样发往网关的数据就会直接通过这条静态绑定的条目发送,而不会发送给欺骗者的主机,或者一个根本不存在的MAC地址了。

下面是静态绑定操作:
C:\>arp -s 192.168.1.1 12-e6-b7-11-00

之后再使用:
C:\>arp -a
接口: 192.168.1.123 --- 0xb
   Internet 地址 物理地址 类型
   192.168.1.1 12-e6-b7-11-00 静态
此时就变成静态了。大家可以自己开个虚拟机,会发现,这时ARP的网关欺骗已经没有作用了~
tip:但是对于XP来说,这种绑定在下次启动后就会消失,需要重新绑定

另外下面是清除绑定的方法
C:\>arp -d
-------------------------------------

WIN7的手工绑定方法:

由于WIN7不允许使用arp -s命令来绑定(大家可以使用XP的方法试一下就知道了,这是WIN7的策略)


1)首先查看本地连接对应的Idx号(这里是11)你们的可能不一样。
C:\>netsh i i show in
Idx Met MTU 状态 名称
--- ---------- ---------- ------------ ---------------------------
   1 50 4294967295 connected Loopback Pseudo-Interface 1
   11 20 1500 connected 本地连接

2)静态绑定(对于如何获得网关IP和MAC上面已经说了)
C:\>netsh -c i i add neighbors 11 网关IP 网关mac

这条命令中的neighbors后面跟的就是上面查到的本地网卡的Idx号~
tip:输入这一条命令后大家使用arp -a可以发现网关条目变成了静态,与XP不同是,这种绑定在下一次启动仍然有效,也就是说,如果换了网关(比如换了路由了),那就需要使用如下命令清空这个静态绑定,然后重新绑定

x)清除静态绑定(这是一个重置操作.)
C:\>netsh i i reset

注释:
其实这个命令中的 i i 就是以下的简写形式~
netsh interface ipv4 show in
分别代表接口interface 和 ipv4
经过测试可以直接用两个隔开的 i i 来代替

发表我的评论