虚拟网关解决ARP攻击WEB安全

2024-05-21

虚拟网关解决ARP攻击WEB安全（共7篇）

虚拟网关解决ARP攻击WEB安全篇1

今天VBS群里有人要了解ARP攻击，ARP攻击盛行于局域网，找了这个BAT，对付ARP攻击，

网上流行一个vbs的虚拟网关,也有斯普林的程式的,这个是批处理,加开机批处理,爽到不行了!

@echo off

FOR /F “usebackq eol=; tokens=2 delims=:” %%I in (`ipconfig /all^|find /i “IP Address”`) do set IP=%%I

FOR /F “usebackq eol=; tokens=2 delims=:” %%I in (`ipconfig /all^|find /i “Physical Address”`) do set MAC=%%I

’第一行是读取本机的IP地址，第二行是读取本机的MAC地址

Set /a a=%RANDOM%/128

Set /a b=%RANDOM%/128

Set IPhead=172.16

Set GatewayIP=%IPhead%.%a%.%b%

’这四行是生成一个172.16开头的随机网关IP地址

我自己的内网网段为172.16.0.0，所以设成这样

(若想生成192.168.1.X网段的IP,可改成如下

Set /a a=%RANDOM%/128

Set IPhead=192.168.1

Set GatewayIP=%IPhead%.%a%

若想限制生成的随机IP范围在192.168.1.100-192.168.1.255之间,可改成如下

:start

Set /a a=%RANDOM%/128

IF %a% LEQ 100 goto start

’这样就可以限制a比100大

’EQU - 等于，NEQ - 不等于，LSS - 小于，LEQ - 小于或等于，GTR - 大于，GEQ - 大于或等于

’要限制在其他范围的话，自己改一下代码吧

Set IPhead=192.168.1

Set GatewayIP=%IPhead%.%a%

Set GatewayMAC=00-0f-e2-3e-b6-66

’这里的是真实的网关MAC地址

arp -d

arp -s %IP% %MAC%“

’静态绑定本机IP和本机MAC地址

arp -s %GatewayIP% %GatewayMAC%”

’静态绑定随机生成的网关IP和真实的网关MAC地址

route delete 0.0.0.0

route add 0.0.0.0 mask 0.0.0.0 %GatewayIP% metric 1

’删除原先的默认路由，定义默认路由指向随机生成的网关IP

4.手动修改网内所有PC的网关地址为一个不存在的IP

如果更换了网关设备，你只需改动Server服务器中的脚本即可，不用到每台客户机去修改

原理简单分析：

PART I.ARP病毒攻击手段一是向网内其它PC谎称“网关IP地址对应的MAC地址是aa-bb-cc-dd-ee-ff”;

例：PC1骗PC2、PC3说“网关192.168.1.1的MAC地址为11-11-11-11-11-11”，192.168.1.1是PC1用IPCONFIG命令查看到的网关地址，PC2、PC3信以为真，在各自的ARP表中添加一个ARP条目“192.168.1.1 11-11-11-11-11-11”，但是PC2、PC3上网的网关地址并不是192.168.1.1，而是随机生成的那个IP地址，所以即使受骗了也不要紧，依然可以正常上网;

ARP病毒攻击手段二是向网关谎称“PC1的MAC地址是bb-cc-dd-ee-ff-gg”，“PC2的MAC地址是cc-dd-ee-ff-gg-hh”之类;

例：PC1骗网关地址192.168.1.1说“PC2的MAC地址为22-22-22-22-22-22”，但192.168.1.1是随便改的一个不存在的IP地址，所以不会有机器上当受骗

PART II.默认路由里指向的网关MAC地址正确，就确保了所有发向外网的数据包可以顺利发送到真实的网关;

总结：

理论上说，用上面的方法去绑定所有的客户机(注意要一台不漏喔)，不在路由上绑也是可以的;实践中还要等你测试过之后跟我说效果;

有条件的话，最好在路由或者交换机里面绑定所有客户机的IP和MAC，这样ARP欺骗应该就可以完美解决的了;

虚拟网关解决ARP攻击WEB安全篇2

ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下表所示。

主机 IP地址 MAC地址A 192.168.16.1 aa-aa-aa-aa-aa-aa B 192.168.16.2 bb-bb-bb-bb-bb-bb C 192.168.16.3 cc-cc-cc-cc-cc-cc D 192.168.16.4 dd-dd-dd-dd-dd-dd

我们以主机A（192.168.16.1）向主机B（192.168.16.2）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.16.2的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：

“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度，

从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗，A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候，把C的MAC地址骗为DD-DD-DD-DD-DD-DD，于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么，嗅探成功。

A对这个变化一点都没有意识到，但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。

做“man in the middle”，进行ARP重定向。打开D的IP转发功能，A发送过来的数据包，转发给C，好比一个路由器一样。不过，假如D发送ICMP重定向的话就中断了整个计划。

D直接进行整个包的修改转发，捕获到A发送给C的数据包，全部进行修改后再转发给C，而C接收到的数据包完全认为是从A发送来的。不过，C发送的数据包又直接传递给A，倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了，对于A和C之间的通讯就可以了如指掌了。

【故障现象】

当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。

切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以了。

由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。

【防范方法】

以下为网吧试验得出结论：

A、B、C、D四种类型客户机XP系统皆适合使用，2K系统ARP -S无效，可以使用虚拟网关!

A--代理服务器共享上网方式（采用双向绑定）

双向绑定分为两部分

1、网关(假设网关IP为192.168.0.1 ,MAC为00-01-02-01-02-01)上绑定下面所有客户机的IP+MAC

虚拟网关解决ARP攻击WEB安全篇3

“网管，怎么又掉线了?!”每每听到客户的责问，网管员头都大了。其实，此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首，是网吧老板和网管员的心腹大患。

从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。

第一种ARP欺骗的原理是――截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是――伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。

一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。有些网管员对此不甚了解，出现故障时，认为PC没有问题，交换机没掉线的“本事”，电信也不承认宽带故障。而且如果第一种ARP欺骗发生时，只要重启路由器，网络就能全面恢复，那问题一定是在路由器了。为此，宽带路由器背了不少“黑锅”。

作为网吧路由器的厂家，对防范ARP欺骗不得已做了不少份内、份外的工作。一、在宽带路由器中把所有PC的IP-MAC输入到一个静态表中，这叫路由器IP-MAC绑定。二、力劝网管员在内网所有PC上设置网关的静态ARP信息，这叫PC机IP-MAC绑定。一般厂家要求两个工作都要做，称其为IP-MAC双向绑定。

方法是有效的，但工作很繁琐，管理很麻烦，

每台PC绑定本来就费力，在路由器中添加、维护、管理那么长长的一串列表，更是苦不堪言。一旦将来扩容调整，或更换网卡，又很容易由于疏忽造成混乱。如果您有所担心，那么不妨选用欣向网吧路由IXP机种，它可以使您宽心一些。因为欣向路由器根本不需要IP-MAC绑定，没有那长长的一串地址表。对付ARP，您只要做PC的单向绑定就可以了。该路由能够有效拒绝ARP对网关的欺骗，它是先天免疫的!

欣向路由的ARP先天免疫取决于它的二个有力的技术措施。一是独特的NAT处理机制，二是网关的主动防范机制。

产品对NAT的处理不同于通用协议栈的方式，它在原有的网络协议基础上，进行了强化、保护和扩容。虽然NAT是标准的网络协议，但实现方法可以各显其能，保证殊途同归就行。ARP欺骗只对公开的、通用的系统起作用，它利用了通用系统工作方式上的漏洞，而对NAT实现机制却无能为力，因为NAT设计了强有力的保护字段。这就是欣向路由能够对ARP先天免疫的原理。

另外，为对抗假冒网关的ARP欺骗，产品设计了网关的ARP广播机制，它以一个可选定的频次，向内网宣布正确的网关地址，维护网关的正当权益。在暂时无法及时清除ARP病毒，网管员还没有做PC上的IP-MAC绑定时，它能在一定程度上维持网络的运行，避免灾难性后果，赢取系统修复的时间。这就是ARP主动防范机制。

不过，如果不在PC上绑定IP-MAC，虽然有主动防范机制，但网络依然在带病运行。因为这种ARP是内网的事情，是不通过路由器的。让路由器插手只能做到对抗，不能根绝。ARP太猖獗时，就会发生时断时续的故障，那是主动防范机制在与ARP欺骗进行拉锯式的斗争。为此，产品还专门提供了一个ARP欺骗侦测、定位、防范的工具软件，免费发放给所有的网吧，帮助网管员们发现ARP欺骗的存在，为清除ARP欺骗源提供工作辅佐，并加入了欣向主动防范机制，有效对付ARP欺骗。

虚拟网关解决ARP攻击WEB安全篇4

读者朋友们可能要说了：“我可以限制只允许某个特定的IP地址进行远程管理啊？”不错，这是一种办法，但是并不完美，因为有时服务器出紧急状况，但是管理员并不在公司，或者管理员需要在家中进行远程管理，而ADSL的IP地址是不固定的，而且段也是不固定的。比如我的IP一直是61.52.80.*，可是最近却变成了221.15.145.*。这样的情况下，限制只有固定的某个IP可以进行管理就有非常大的局限性。

从PcAnyWhere的11.0版开始，它就支持SecurID双重认证了。使用SecurID双重认证可以完全不用限制IP，对方即使知道PcAnyWhere的用户名和密码也无法进行连接。

小提示：本文讲述的是PcAnyWhere的SecurID 双重认证机制，如果你对PcAnyWhere不熟悉，可以去参考联机帮助或者其它基础教程。

首先，说明一下需要的软件，即Symantec PcAnyWhere和Symantec Packager。当然，两者都需要安装好，这样，我们的平台就搭建好了。此处需要注意一点，即需要先安装PcAnyWhere，其次再安装Symantec Packager，以避免不必要的麻烦。

启动PcAnyWhere的管理界面，来到左边的PcAnyWhere manager，最下面的图标，即Serial ID Sets就是我们今天的主角之一了，选择它，在右边的区域点右键，选择“new->item……”，则弹出Serial ID Set Properties窗口，可以在这里输入你想要设置的Serial ID，必须是数字，而且大于0，小于4294967296，否则将弹出如下窗口没有测试过这里一共可以加入多少个Serial ID，我最多加入过20个Serial ID。有一个要求是加入的Serial ID可以是介于0和4294967296之间的任意数字，但是不能相同。否则将产生错误最后点OK，我们的Serial ID文件就准备好了。在窗口的最上方能看到此Serial ID文件所在的目录，如果是默认安装，则此文件的路径是“C:Documents and SettingsAll UsersApplication DataSymantecPcAnyWhereSerial ID Sets”，也可以把它复制出来到一个容易找到的地方做备份，

然后我们请出今天的另外一名主角：Symantec Packager。

小知识：Symantec Packager是Symantec出品的一款可以自定义软件安装包的工具。使用 Symantec Packager可以创建、修改和创建自定义安装集（或安装包）并将其分发给你网络中的各用户，让管理员能够仅安装所需的元件，避免其它程序占用使用者的硬盘空间和避免安装一些不必要的功能。使用Symantec Packager可以通过创建只包含用户所需功能和设置的安装包来定制适合企业环境的安装。另外，Symantec Packager只适用于Windows NT/2000，但是，使用Symantec Packager创建的定制安装文件可以安装到任何Microsoft 32位平台上。

启动Symantec Packager可以看到一共有四个标签，也就是Symantec Packager的全部功能标签。如果按照正常的安装顺序（即先安装PcAnyWhere，再安装Symantec Packager）安装成功，启动后，显示当前系统中安装了Symantec PcAnyWhere。

今天我们只是用到其中的第二个标签，即Configure Profucts。打开第二个标签，可以看到Symantec已经给你准备好了6个内置类型，这里我们拿第一个，也就是PcAnyWhere的默认安装包进行讲解，其余的都大同小异，可以自己进行体会。

打开默认安装包之后，出现如下界面第一个标签Features包含了PcAnyWhere的各个功能选项，在这里可以对PcAnyWhere的各项功能进行取舍，如果你对PcAnyWhere不熟悉，还是不要做改动为好。

打开Configuration Files标签，可以对PcAnyWhere安装程序包中的文件进行逐一设定。也到了我们今天讲解的一个重点，即实现SecurID 双重认证的最关键一环。在窗口中选择“Host Security IDsFile (*.SID)”，使之高亮显示，然后点击“Add…”按钮，浏览你存放的SID文件的位置，点确定，此文件即被加入此安装包中。

此时，单击最下方的“Build”即可以生成具有双重认证功能的安装包。如果还想定制其它的选项，则可以按照自己的意愿选择，如Remote Files (*.CHF)是主控端连接被控端的配置文件，Host Files则是被控端主机的配置文件。如果有多台主机需要配置，而且配置完全相同，在这里完全可以将文件选择好，省去了重复劳动。

虚拟网关解决ARP攻击WEB安全篇5

ARP类型的攻击最早用于之用，网内中毒电脑可以伪装成路由器，盗取用户的密码，后来发展成内藏于软件，扰乱其他局域网用户正常的网络通信。

作为网管的你可能会有此经历――网络频繁掉线，速度变慢，你对此却无从下手。这可能就是网络遭受ARP攻击表现，下面介绍五种简单方法帮助你快速解决之。

第一、建立MAC数据库，把网吧内所有网卡的MAC地址记录下来，每个MAC和IP、地理位置统统装入数据库，以便及时查询备案。

第二、建立DHCP服务器(建议建在网关上，因为DHCP不占用多少CPU，而且ARP欺骗攻击一般总是先攻击网关，我们就是要让他先攻击网关，因为网关这里有监控程序的，网关地址建议选择192.168.10.2 ，把192.168.10.1留空，如果犯罪程序愚蠢的话让他去攻击空地址吧)，另外所有客户机的IP地址及其相关主机信息，只能由网关这里取得，网关这里开通DHCP服务，但是要给每个网卡，绑定固定唯一IP地址。一定要保持网内的机器IP/MAC一一对应的关系。这样客户机虽然是DHCP取地址，但每次开机的IP地址都是一样的。

第三、网关监听网络安全。网关上面使用TCPDUMP程序截取每个ARP程序包，弄一个脚本分析软件分析这些ARP协议。ARP欺骗攻击的包一般有以下两个特点，满足之一可视为攻击包报警：第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配。或者，ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内，或者与自己网络MAC数据库 MAC/IP 不匹配，

这些统统第一时间报警，查这些数据包(以太网数据包)的源地址(也有可能伪造)，就大致知道那台机器在发起攻击了。

第四、网关机器关闭ARP动态刷新的过程，使用静态路由，这样的话，即使犯罪嫌疑人使用ARP欺骗攻击网关的话，这样对网关也是没有用的，确保主机安全。

网关建立静态IP/MAC捆绑的方法是：建立/etc/ethers文件，其中包含正确的IP/MAC对应关系，格式如下：

192.168.2.32 08:00:4E:B0:24:47

然后再/etc/rc.d/rc.local

最后添加：arp -f

生效即可

第五、偷偷摸摸的走到那台机器，看看使用人是否故意，还是被任放了什么木马程序陷害的。如果后者，不声不响的找个借口支开他，拔掉网线(不关机,特别要看看Win98里的计划任务)，看看机器的当前使用记录和运行情况，确定是否是在攻击。