第一篇：防范局域網ARP欺騙,手動查殺木馬,介紹和認識IP地址

解決和防患局域網內Arp欺騙

當局域網種存再ARP欺騙包的話，總的來說有主要又這么兩種可能。

一、有人惡意破壞網絡。

這種事情，一般會出現在網吧，或是一些人為了找到更好的網吧上網座位，強行讓別人斷線。

又或是通過ARP欺騙偷取內網帳號密碼。

二，病毒木馬

如：傳奇網吧殺手等，通過ARP欺騙網絡內的機器，假冒網關。從而偷取對外連接傳奇服務器的密碼。

ARP欺騙的原理如下：

假設這樣一個網絡，一個交換機接了3臺機器

HostA HostB HostC 其中

A的地址為：IP：192.168.1.1 MAC: AA-AA-AA-AA-AA-AA－－－－－－－－－網關B的地址為：IP：192.168.1.2 MAC: BB-BB-BB-BB-BB-BB－－－－－－－－黑客C的地址為：IP：192.168.1.3 MAC: CC-CC-CC-CC-CC-CC－－－－－－－－－被欺騙者

正常情況下 C:arp-a

Interface: 192.168.1.3 on Interface 0x100000

3Internet Address Physical Address Type

192.168.1.1 BB-BB-BB-BB-BB-BBdynamic

現在假設HostB開始了罪惡的ARP欺騙：假冒A像c發送ARP欺騙包

B向C發送一個自己偽造的ARP欺騙包，而這個應答中的數據為發送方IP地址是192.168.1.1（網關的IP地址），MAC地址是BB-BB-BB-BB-BB-BB(A的MAC地址本來應該是AA-AA-AA-AA-AA-AA，這里被偽造了）。當C接收到B偽造的ARP應答，就會更新

本地的ARP緩存（C可不知道被偽造了）。而且C不知道其實是從B發送過來的，這樣C就受到了B的欺騙了，凡是發往A的數據就會發往B，這時候那么是比較可怕的，你的上網數據都會先流向B,在通過B去上網，如果這時候B上裝了SNIFFER軟件，那么你的所有出去的密碼都將被截獲。

為了以后出現問題的時候好查找，我建議大家平時建立一個MAC和IP的對應表，把局域網內所有網卡的MAC地址和IP、地理位置統統裝入數據庫，以便當以后發現ARP 欺騙時找出欺騙者的機器。

二、防范措施和解決方法。

方法一

通過arp –s 來綁定網關的MAC 地址和IP 地址。

這種方法對于XP 和2003系統是有用的，使用arp –s 來綁定的話。那么在ARP表中顯示的是一條靜態的記錄。

這樣就不會被動態的ARP 欺騙包給欺騙，而修改。

那么在2000的系統上也是可以使用arp-s來進行綁定得，在SP4的2000系統上需要下載2000 Rollup v2更新補丁包，ARP的補丁已經包含在里面 了，大小應該在38MB那樣。http://download.microsoft.com/download/7/e/9/7e969f31-e33d-45a2-9d1a-fecbcde29a0e/Windows2000-KB891861-v2-x86-CHS.EXE

并且裝好后，下面幾個文件不能小于下面的版本號。

DateTimeVersionSizeFile name

-------------------------

19-Jun-200320:055.0.2195.6602108,816Msafd.dll

02-Jun-200422:445.0.2195.6938318,832Tcpip.sys

19-Jun-200320:055.0.2195.660117,680Wshtcpip.dll

19-Jun-200320:055.0.2195.6687120,240Afd.sys

19-Jun-200320:055.0.2195.665516,240Tdi.sys

相關文章，大家可以看微軟的KB.http://support.microsoft.com/kb/842168

例：arp-s192.168.1.1 00-0B-AD-DD-22-35

方法二

有些木馬或是一些駭客總是使用本地網卡上的網關來做欺騙。網關是通往外網或是和不同網絡互聯的一個中間設備。

而通過添加路由表中的記錄，設置優先級高于網關默認路由，那么網關的路由在級別高的路由可用時將不會生效。

施行方法：1.先手動修改客戶機的網關地址為任意ip地址，最好是同一網段中，沒使用的一個IP，以免被懷疑。

2.手動添加或是通過批處理，或是腳本來添加永久對出口路由。

此中方法可以欺騙過大部份，菜鳥或是所謂的駭客和大部份ARP欺騙木馬。

缺點是： 如果以后網關以后網卡或是機器改變。那么以后還得重新修改已有得路由。route delete 0.0.0.0－－－－－刪除到默認得路由

route add 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1－－－ 添加路由route add-p 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1------參數-p 就是添加永久的記錄。

route change－－修改路由

http:///dispbbs.asp?BoardID=33&ID=2631&replyID=6840&skin=1方法 三

1.如果你但前使用得交換機器有網卡和MAC地址綁定功能，那么將你所在得網得IP地址和MAC 地址進行綁定。

但有時候，我們可能沒有這些設備那么要想做就很困難了。

另類方法思路－－如何全面解決讓ARP欺騙，ARP木馬無法在本機器安裝,運行。

大部分監控，arp 欺騙軟件，都會使用到一個winpcap驅動。那么現在的思路就是讓其無法在本地計算機安裝。

這樣arp欺騙軟件就無法被使用了使用了，此方法可以用于任何程序的安裝。需要的條件：

1.所在的系統盤為NTFS 分區格式。

2.知道所要安裝的文件所要在系統中生成的文件。

3.使用注冊表和文件安裝監視軟件來監視安裝所生成的文件。

方法四：

利用些別人做好的ARP 監控工具。

實驗：

作業：

1.使用arp-s 來添加一條arp靜態記錄，使用arp-a 查看添加的記錄。使用arp-d 來刪除剛添加的那條記錄

2.使用route print 來查看現有的路由表，使用route add-p 來添加一條永久記錄，最后使用route delete來刪除剛建的那條記錄。

3.使用組策略禁止本地系統中的記事本程序。

4.利用注冊表和文件安裝監視軟件，來查找組策略中設置后，對注冊表中鍵值的修改。并通過修改注冊表，禁止記事本軟件（notepad.exe）的執行。

第二篇：介紹和認識IP地址

一、什么是 IP 地址

為了使連入Internet的電腦主機相互通信，Internet中的每一臺主機都分配有一個唯一的32位地址，該地址稱為IP地址，也稱作網際地址。IP地址由4個數組成，每個數可取值0～255，各數之間用一個點號“.”分開，例如： 202.106.196.115 實際上，每個IP地址是由網絡號和主機號兩部分組成的。網絡號表明主機所聯接的網絡，主機號標識了該網絡上特定的那臺主機。

例子：

真實的地址新街口100號 IP地址 192.168.0.1街道號表示法

門牌號表示法 新街口網絡號 192.168.0.0 100號主機號 0.1

網絡里所有主機街道里所有房屋

二、IP 地址的表示

1、有兩種表示方法：

①二進制表示方法，如：

11000000 10101000 00000000 0000000

1②點分十進制表示法，如：192.168.0.1

十進制二進制

000000000

100000001

200000010

300000011

400000100

500000101

600000110

700000111

800001000

三、網絡 ID 和主機 ID

①IP 地址由兩部分組成：網絡 ID 和主機 ID

如 192.168.0.1網絡 ID主機ID

②網絡 ID 表示方法：192.168.0.0

主機 ID 表示方法：0.1

③網絡 ID 的作用：標識某個網段，在同一個網段的計算機，它們的網絡 ID是一樣的。不

同的網段就不一樣了。

主機 ID 的作用：標識同一個網段內的不同主機，在該網段內主機 ID 不可以重復。注意：在不同的網段內可能有相同的主機 ID，但是，網絡 ID 和主機 ID 組合后在整 個網絡應當是唯一的四.IP 地址分類

1.IP 地址根據網絡ID的范圍從大到小分為五類，分別是：A、B、C、D、E

地址類

A 類

B 類 第一個網絡 ID 1.0.0.0 128.0.0.0 最后一個網絡 ID 126.0.0.0 191.255.0.0 網絡數量 126 1638

4C 類 192.0.0.0 223.255.255.0 20971

52D 類224.0.0.0239.255.255.255多播地址

E 類:224.0.0.0239.255.255.255保留地址

2.各類地址都有了一個默認的子網掩碼。

地址類 子網掩碼的位

A 類 11111111 00000000 00000000 00000000

B 類

C 類

3、規則：特殊IP地址

①不能將主機位中所有的位設成 1：

都設成 1 是為廣播而留的②不能將主機位中所有的位設成 0：

都設成 0 是為表示網絡 ID 而留的③網絡 ID 不能以 127 作為前 8 位位組的開頭：

127.x.y.z 保留為回送地址

五、子網和子網掩碼

1、什么是子網：用路由器分割開的網段叫子網。

2、為什么要將一個大的網絡分成子網：主要是為了讓網絡運行的效率更高，避免網絡廣播太多，造成網絡癱瘓.3.什么是子網掩碼？

子網掩碼不能單獨存在，它必須結合IP地址一起使用。子網掩碼只有一個作用，就是將某個IP地址劃分成網絡地址和主機地址兩部分.默認子網掩碼 255.0.0.0 255.255.0.0 255.255.255.0 11111111 11111111 00000000 00000000 11111111 11111111 11111111 00000000

4.子網掩碼的作用？

ID 哪部分是主機 ID 子網掩碼的作用是用來確定哪部分是網絡

采用子網掩碼與 IP 地址作“與”運算（0 與 0 為 0；0 與 1 為 0；1 與 確定網絡 ID 的方法是：

0 為 0；1 與 1 為1）

例子：192.168.0.1/16 劃分子網后網絡 ID 的計算：

地址：******0

1子網掩碼：******00

用點分十進制表示法表示子網掩碼：255.255.255.0，這樣更直觀。

CIDR（Classless Inter-Domain Routing）

可以簡單的被看成一種先進的子網掩碼的表示方法

如：192.168.0.1/24（/24 代表子網掩碼是24 個連續的 1）這樣可

5.什么是公用地址和專用地址?

1、公用地址：即由 ISP分配的 CIDR地址塊，對于直接連接到因特網的網絡，需要使用

ISP 分配的 IP 地址。

2、專用地址：不連接或間接連接到因特網（如用 NAT 或代理服務器）的網絡，推薦使用 專

用地址。

什么是非路由 IP 地址?

非路由 IP 地址是那些在 Internet 上不被分配的 IP 地址，因為它們在 Internet 上從來不被路由。最常使用的非路由 IP 地址包括：

網絡 ID

10.0.0.0/8

172.16.0.0/1

2192.168.0.0/16 IP 地址范圍 10.0.0.1—10.255.255.254 172.16.0.1—172.31.255.254 192.168.0.1—192.168.255.2

54十、自動專用 IP 尋址

當配置計算機用 DHCP 動態獲取 IP 地址，DHCP 服務器不能響應客戶機的 要求，使用 APIPA 功能自行配置：169.254.0.0/16