anti arp sniffer 关于ARP病毒的防御

关于ARP病毒的防御

工具：AntiArpSniffer ，ARP趋势专杀工具，nbtscan.rar1,arp病毒清除方法故障现象：机器以前可正常上网的，突然出现可认证，不能上网的现象（无法ping通网关），重启机器或在MSDOS窗口下运行命令ARP -d后，又可恢复上网一段时间。故障原因：这是APR病毒欺骗攻击造成的。　　引起问题的原因一般是由传奇外挂携带的ARP木马攻击。当在局域网内使用上述外挂时，外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上，向局域网内大量发送ARP包，从而致使同一网段地址内的其它机器误将其作为网关，这就是为什么掉线时内网是互通的，计算机却不能上网的原因。删除病毒组件:1) 删除 ”病毒组件释放者”%windows%\SYSTEM32\LOADHW.EXE2) 删除 ”发ARP欺骗包的驱动程序” (兼 “病毒守护程序”)%windows%\System32\drivers\npf.sysa. 在设备管理器中, 单击”查看”–>”显示隐藏的设备”b. 在设备树结构中,打开”非即插即用….”c. 找到” NetGroup Packet Filter Driver” ,若没找到,请先刷新设备列表d. 右键点击” NetGroup Packet Filter Driver” 菜单,并选择”卸载”.e. 重启windows系统,f. 删除%windows%\System32\drivers\npf.sys3) 删除 ”命令驱动程序发ARP欺骗包的控制者”%windows%\System32\msitinit.dll2. 删除以下”病毒的假驱动程序”的注册表服务项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf临时处理对策：　　步骤一. 在能上网时，进入MS-DOS窗口，输入命令：arp –a 查看网关IP对应的正确MAC地址，将其记录下来。注：如果已经不能上网，则先运行一次命令arp –d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话），一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp –a。步骤二. 如果已经有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令： arp –s 网关IP 网关MAC 例如：假设计算机所处网段的网关为218.197.192.254，本机地址为218.197.192.1在计算机上运行arp –a后输出如下： C:\Documents and Settings>arp -a Interface: 218.197.192.1 — 0x2 Internet Address Physical Address Type 218.197.192.254 00-01-02-03-04-05 dynamic 其中00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址，类型是动态（dynamic）的，因此是可被改变。被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC，如果大家希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找做准备。手工绑定的命令为： arp –s 218.197.192.254 00-01-02-03-04-05 绑定完，可再用arp –a查看arp缓存， C:\Documents and Settings>arp -a Interface: 218.197.192.1 — 0x2 Internet Address Physical Address Type 218.197.192.254 00-01-02-03-04-05 static 这时，类型变为静态（static），就不会再受攻击影响了。但是，需要说明的是，手工绑定在计算机关机重开机后就会失效，需要再绑定。所以，要彻底根除攻击，只有找出网段内被病毒感染的计算机，令其杀毒，方可解决。找出病毒计算机的方法：如果已有病毒计算机的MAC地址，可使用NBTSCAN软件找出网段内与该MAC地址对应的IP，即病毒计算机的IP地址，然后可报告校网络中心对其进行查封。 NBTSCAN的使用方法：下载nbtscan.rar到硬盘后解压，然后将cygwin1.dll和nbtscan.exe两文件拷贝到c:\windows\system32(或system)下，进入MSDOS窗口就可以输入命令： nbtscan -r 218.197.192.0/24 （假设本机所处的网段是218.197.192，掩码是255.255.255.0；实际使用该命令时，应将斜体字部分改为正确的网段）。注：使用nbtscan时，有时因为有些计算机安装防火墙软件，nbtscan的输出不全，但在计算机的arp缓存中却能有所反应，所以使用nbtscan时，还可同时查看arp缓存，就能得到比较完全的网段内计算机IP与MAC的对应关系。补充一下：（一）Anti ARP Sniffer 使用说明一、功能说明: 使用Anti ARP Sniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包。二、使用说明：1、ARP欺骗：填入网关IP地址，点击［获取网关mac地址］将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。注意：如出现ARP欺骗提示，这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包，如果您想追踪攻击来源请记住攻击者的MAC地址，利用MAC地址扫描器可以找出IP 对应的MAC地址。2、IP地址冲突首先点击“恢复默认”然后点击“防护地址冲突”。如频繁地出现IP地址冲突，这说明攻击者频繁发送ARP欺骗数据包，才会出现IP冲突的警告，利用Anti ARP Sniffer可以防止此类攻击。首先您需要知道冲突的MAC地址，Windows会记录这些错误。查看具体方法如下：右击[我的电脑]–>[管理]–>点击[事件查看器]–>点击[系统]–>查看来源为[TcpIP]—>双击事件可以看到显示地址发生冲突，并记录了该MAC地址，请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-)，输入完成之后点击[防护地址冲突]，为了使MAC地址生效请禁用本地网卡然后再启用网卡，在CMD命令行中输入Ipconfig /all，查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符。如果成功将不再会显示地址冲突。注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。（二） ARP专杀工具使用说明：运行TSC.exe文件，不要关让它一直运行完，然后查看report文档便可。2,Nbtscan.rar 【格式】：rar【大小】：398KB【出处】：酷客天堂【平台】：[Win9X/WinMe] [WinXP] [WinNT/Win2K/Win2003]【M D 5】：0c76e38dbbeca5814460ccc9d6ccc167nbtscan是一个扫描WINDOWS网络NetBIOS信息的小工具，2005年11月23日发布。NBTSCAN身材娇小，简单快速。但只能用于局域网，可以显示IP，主机名，用户名称和MAC地址等等。使用帮助：nbtscan.exe -v Usage:nbtscan [-v] [-d] [-e] [-l] [-t timeout] [-b bandwidth] [-r] [-q] [-s separator] [-m retransmits] (-f filename)|()-v verbose output. Print all names receivedfrom each host-d dump packets. Print whole packet contents.-e Format output in /etc/hosts format.-l Format output in lmhosts format.Cannot be used with -v, -s or -h options.-t timeout wait timeout milliseconds for response.Default 1000.-b bandwidth Output throttling. Slow down outputso that it uses no more that bandwidth bps.Useful on slow links, so that ougoing queriesdon’t get dropped.-r use local port 137 for scans. Win95 boxesrespond to this only.You need to be root to use this option on Unix.-q Suppress banners and error messages,-s separator Script-friendly output. Don’t printcolumn and record headers, separate fields with separator.-h Print human-readable names for services.Can only be used with -v option.-m retransmits Number of retransmits. Default 0.-f filename Take IP addresses to scan from file filename.-f – makes nbtscan take IP addresses from stdin.what to scan. Can either be single IPlike 192.168.1.1 orrange of addresses in one of two forms:xxx.xxx.xxx.xxx/xx or xxx.xxx.xxx.xxx-xxx.Examples:nbtscan -r 192.168.1.0/24Scans the whole C-class network.nbtscan 192.168.1.25-137Scans a range from 192.168.1.25 to 192.168.1.137nbtscan -v -s : 192.168.1.0/24Scans C-class network. Prints results in script-friendlyformat using colon as field separator.Produces output like that:192.168.0.1:NT_SERVER:00U192.168.0.1:MY_DOMAIN:00G192.168.0.1:ADMINISTRATOR:03U192.168.0.2:OTHER_BOX:00U…nbtscan -f iplistScans IP addresses specified in file iplist.

功能强大的网络抓包软件-sniffer使用教程

第1章 Sniffer软件简介

1.1 概述

Sniffer软件是NAI公司推出的功能强大的协议分析软件。本文针对用Sniffer Pro网络分析器进行故障解决。利用Sniffer Pro 网络分析器的强大功能和特征，解决网络问题，将介绍一套合理的故障解决方法。

与Netxray比较，Sniffer支持的协议更丰富，例如PPPOE协议等在Netxray并不支持，在Sniffer上能够进行快速解码分析。Netxray不能在Windows 2000和Windows XP上正常运行，Sniffer Pro 4.6可以运行在各种Windows平台上。

Sniffer软件比较大，运行时需要的计算机内存比较大，否则运行比较慢，这也是它与Netxray相比的一个缺点。

1.2 功能简介

下面列出了Sniffer软件的一些功能介绍，其功能的详细介绍可以参考Sniffer的在线帮助。

捕获网络流量进行详细分析

利用专家分析系统诊断问题

实时监控网络活动

收集网络利用率和错误等

在进行流量捕获之前首先选择网络适配器，确定从计算机的哪个网络适配器上接收数据。位置：File->select settings

选择网络适配器后才能正常工作。该软件安装在Windows 98操作系统上，Sniffer可以选择拨号适配器对窄带拨号进行操作。如果安装了EnterNet500等PPPOE软件还可以选择虚拟出的PPPOE网卡。对于安装在Windows 2000/XP上则无上述功能，这和操作系统有关。

本文将对报文的捕获几网络性能监视等功能进行详细的介绍。下图为在软件中快捷键的位置。

第2章报文捕获解析

2.1 捕获面板

报文捕获功能可以在报文捕获面板中进行完成，如下是捕获面板的功能图：图中显示的是处于开始状态的面板

2.2 捕获过程报文统计

在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率。

2.3 捕获报文查看

Sniffer软件提供了强大的分析能力和解码功能。如下图所示，对于捕获的报文提供了一个Expert专家分析系统进行分析，还有解码选项及图形和表格的统计信息。

专家分析

专家分分析系统提供了一个只能的分析平台，对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。

在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容，可以方便了解网络中高层协议出现故障的可能点。

对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看帮助来了解起产生的原因。

解码分析

下图是对捕获报文进行解码的显示，通常分为三部分，目前大部分此类软件结构都采用这种结构显示。对于解码主要要求分析人员对协议比较熟悉，这样才能看懂解析出来的报文。使用该软件是很简单的事情，要能够利用软件解码分析来解决问题关键是要对各种层次的协议了解的比较透彻。工具软件只是提供一个辅助的手段。因涉及的内容太多，这里不对协议进行过多讲解，请参阅其他相关资料。

对于MAC地址，Snffier软件进行了头部的替换，如00e0fc开头的就替换成Huawei，这样有利于了解网络上各种相关设备的制造厂商信息。

功能是按照过滤器设置的过滤规则进行数据的捕获或显示。在菜单上的位置分别为 Capture->Define Filter和Display->Define Filter。

过滤器可以根据物理地址或IP地址和协议选择进行组合筛选。

统计分析

对于Matrix，Host Table，Portocol Dist. Statistics等提供了丰富的按照地址，协议等内容做了丰富的组合统计，比较简单，可以通过操作很快掌握这里就不再详细介绍了。

2.4 设置捕获条件

基本捕获条件

基本的捕获条件有两种：

1、链路层捕获，按源MAC和目的MAC地址进行捕获，输入方式为十六进制连续输入，如：00E0FC123456。

2、IP层捕获，按源IP和目的IP进行捕获。输入方式为点间隔方式，如：10.107.1.1。如果选择IP层捕获条件则ARP等报文将被过滤掉。

高级捕获条件

在“Advance”页面下，你可以编辑你的协议捕获条件，如图：

高级捕获条件编辑图

在协议选择树中你可以选择你需要捕获的协议条件，如果什么都不选，则表示忽略该条件，捕获所有协议。

在捕获帧长度条件下，你可以捕获，等于、小于、大于某个值的报文。

在错误帧是否捕获栏，你可以选择当网络上有如下错误时是否捕获。

在保存过滤规则条件按钮“Profiles”，你可以将你当前设置的过滤规则，进行保存，在捕获主面板中，你可以选择你保存的捕获条件。

任意捕获条件

在Data Pattern下，你可以编辑任意捕获条件，如下图：

用这种方法可以实现复杂的报文过滤，但很多时候是得不偿失，有时截获的报文本就不多，还不如自己看看来得快。

第3章报文放送

3.1 编辑报文发送

Sniffer软件报文发送功能就比较弱，如下是发送的主面板图：

发送前，你需要先编辑报文发送的内容。点击发送报文编辑按钮。可得到如下的报文编辑窗口：

首先要指定数据帧发送的长度，然后从链路层开始，一个一个将报文填充完成，如果是NetXray支持可以解析的协议，从“Decode”页面中，可看见解析后的直观表示。

3.2 捕获编辑报文发送

将捕获到的报文直接转换成发送报文，然后修修改改可也。如下是一个捕获报文后的报文查看窗口：

选中某个捕获的报文，用鼠标右键激活菜单，选择“Send Current Packet”，这时你就会发现，该报文的内容已经被原封不动的送到“发送编辑窗口”中了。这时，你在修修改改，就比你全部填充报文省事多了。

发送模式有两种：连续发送和定量发送。可以设置发送间隔，如果为0，则以最快的速度进行发送。

第4章网络监视功能

网络监视功能能够时刻监视网络 统计，网络上资源的利用率，并能够监视网络流量的异常状况，这里只介绍一下Dashbord和ART，其他功能可以参看在线帮助，或直接使用即可，比较简单。

4.1 Dashbord

Dashbord可以监控网络的利用率，流量及错误报文等内容。通过应用软件可以清楚看到此功能。

4.2 Application Response Time (ART)

Application Response Time (ART) 是可以监视TCP/UDP应用层程序在客户端和服务器响应时间，如HTTP,FTP,DNS等应用。

对与TCP/UDP响应时间的计算方法如下

TCP For each socket, ART stores the sequence numbers for packets sent by the client and waits for the corresponding ACK packets from the server. It then measures the time difference between the packet with the stored sequence number and the packet with the ACK to arrive at the response time.

UDP For each socket, ART measures the time between packets going from a client to a server and the next packet going from the server to the client.

第5章数据报文解码详解

本章主要对： 数据报文分层、以太报文结构、IP协议、ARP协议、PPPOE协议、Radius协议等的解码分析做了简单的描述，目的在于介绍Sniffer软件在协议分析中的功能作用并通过解码分析对协议进一步了解。对其其他协议读者可以通过协议文档和Sniffer捕获的报文对比分析。

5.1 数据报文分层

如下图所示，对于四层网络结构，其不同层次完成不通功能。每一层次有众多协议组成。

如上图所示在Sniffer的解码表中分别对每一个层次协议进行解码分析。链路层对应“DLC”；网络层对应“IP”；传输层对应“UDP”；应用层对对应的是“NETB”等高层协议。Sniffer可以针对众多协议进行详细结构化解码分析。并利用树形结构良好的表现出来。

5.2 以太报文结构

EthernetII以太网帧结构

Ethernet_II以太网帧类型报文结构为：目的MAC地址（6bytes）＋源MAC地址＋（6bytes）上层协议类型（2bytes）＋数据字段（46-1500bytes)＋校验（4bytes）。

Sniffer会在捕获报文的时候自动记录捕获的时间，在解码显示时显示出来，在分析问题时提供了很好的时间记录。

源目的MAC地址在解码框中可以将前3字节代表厂商的字段翻译出来，方便定位问题，例如网络上2台设备IP地址设置冲突，可以通过解码翻译出厂商信息方便的将故障设备找到，如00e0fc为华为，010042为Cisco等等。如果需要查看详细的MAC地址用鼠标在解码框中点击此MAC地址，在下面的表格中会突出显示该地址的16进制编码。

IP网络来说Ethertype字段承载的时上层协议的类型主要包括0x800为IP协议，0x806为ARP协议。

IEEE802.3以太网报文结构

上图为IEEE802.3SNAP帧结构，与EthernetII不通点是目的和源地址后面的字段代表的不是上层协议类型而是报文长度。并多了LLC子层。

anti arp sniffer 关于ARP病毒的防御

分类：手机软件日期：2025-02-24 浏览：23 评论：0

关于ARP病毒的防御

功能强大的网络抓包软件-sniffer使用教程

相关推荐

anti arp sniffer 关于ARP病毒的防御

分类：手机软件 日期：2025-02-24 浏览：23 评论：0

关于ARP病毒的防御

功能强大的网络抓包软件-sniffer使用教程

相关推荐

分类：手机软件日期：2025-02-24 浏览：23 评论：0