ARP双向绑定_一直在学习_百度空间
一、 ARP双向绑定简单举例解释附ARP批处理
ARP双向绑定简单举例解释   
ARP欺骗的出现,才让大家对ARP这个词有了认识   
但什么是ARP呢?   
ARP土一点的说法就叫地址转换协议,就是把IP转成MAC的过程,实际上机子在通讯都是通过MAC在通讯的   

MAC:网卡物理地址   


假设有案例如下,某个公司,有三台电脑   
(分别称为   
A机192。168。1。2 MAC 00-01-01-01-01-02   
B机192。168。1。3 MAC 00-01-01-01-01-03   
C机192。168。1。4 MAC 00-01-01-01-01-04)   
一台代理服务器(网关):   
(以下简称代服,IP假设如192.168.1.1 MAC假设如下00-01-01-01-01-01)   

于某天发生频繁无法上网的问题,开始做出如下检测,安装网络执法官(内网IP,MAC监控防护,千万不要用来做坏事,会有报应的)发现有两条记录   
00-01-01-01-01-01 192。168。1。1   
00-01-01-01-01-03 192。168。1。1   

看到以上两条记录,大家能联想到什么吗?如果能理解这两条记录并知道其原由,那么你已具备检测ARP攻击的发源机子了!   
这两条记录意思是,{dy}条记录为真正的代服的IP和MAC的记录,而第二条呢?为什么B机的MAC却套在了路由的网关IP上来了呢,这就是ARP欺骗产生的典型的现象,有这样一个或多个的相同现象就毫无疑问地说,你中了ARP了!   

ARP的出现大家需要的不仅是认识还要知道防范的方法,在下知识浅薄,仅仅只会用一种方法来防ARP------ARP双向绑定:   

双向,这个词需要大家去小小理解一下,双向,两个方向或两个对方?   
代服也就是网关为其中一方,客户机和各种服务器为另外一方,这样两方的说法大家能理解吗?   
就比如(代服)住在一楼,(客户机)住在三楼,代服在去找客户机只要记得他在三楼就懂得怎么走了,而客户机要找代服只要知道他在一楼也是同样能找到   
这样的地址记法就等同于MAC地址绑定   

差不多就是那意思,那如何实现呢?   

以上ARP小解,以下开始进行ARP防范:   
1、在代理服务器上做一个批处理,或用一些专用的ARP扫描绑定工具   
@echo off   
arp -d   
arp -s 192.168.1.2 00-01-01-01-01-02   
arp -s 192.168.1.3 00-01-01-01-01-03   
arp -s 192.168.1.4 00-01-01-01-01-04   
exit   
另存为BAT文件,在代服上运行即可   

2、在客户机的启动里做一个批处理BAT文件,内容如下:   
@echo off   
arp -d   
arp -s 192.168.1.1 00-01-01-01-01-01   
exit   
有使用万象网管的朋友,可以在服务端做这个批文件,进万象服务端设置“会员上机执行以下程序”指向这个绑定网关的批处理,这样客户机便会开机就绑定网关了!   
这样ARP双向绑定完成了!   
用路由的朋友做法也差不多,在路由绑定所有客户机的IP和MAC,客户机绑定路由的IP和MAC即可~~  

二、

1.
@echo off
::::::::::::::::::::::::::::::::::::::::::::::::::::
::               本机以及网关IP和MAC地址绑定批处理程序                ::
::::::::::::::::::::::::::::::::::::::::::::::::::::
arp -d
:::::::::读取本机Mac地址
if exist ipconfig.txt del ipconfig.txt
ipconfig /all >ipconfig.txt
if exist phyaddr.txt del phyaddr.txt
find "Physical Address" ipconfig.txt >phyaddr.txt
for /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M
:::::::::读取本机ip地址
if exist IPAddr.txt del IPaddr.txt
find "IP Address" ipconfig.txt >IPAddr.txt
for /f "skip=2 tokens=15" %%I in (IPAddr.txt) do set IP=%%I
:::::::::绑定本机IP地址和MAC地址
arp -s %IP% %Mac%
:::::::::读取网关地址
if exist GateIP.txt del GateIP.txt
find "Default Gateway" ipconfig.txt >GateIP.txt
for /f "skip=2 tokens=13" %%G in (GateIP.txt) do set GateIP=%%G
:::::::::获取网关MAC地址
ping 192.168.0.1 -n 1
:::::::::读取网关Mac地址
if exist GateMac.txt del GateMac.txt
arp -a %GateIP% >GateMac.txt

for /f "skip=3 tokens=2" %%H in (GateMac.txt) do set GateMac=%%H
:::::::::绑定网关Mac和IP
arp -s %GateIP% %GateMac%
del GateIP.txt
del GateMac.txt
del IPAddr.txt
del ipconfig.txt
del phyaddr.txt
exit


2.
@echo OFF
if %~n0==arp exit
if %~n0==Arp exit
if %~n0==ARP exit
echo 正在获取本机信息.....
:IParp -d
FOR /f "skip=13 tokens=15 usebackq " %%i in (`ipconfig /all`) do Set IP=%%i && GOTO MAC
:MAC
echo IP:%IP%
FOR /f "skip=13 tokens=12 usebackq " %%i in (`ipconfig /all`) do Set MAC=%%i && GOTO GateIP
:GateIP
echo MAC:%MAC%
arp -s %IP% %MAC%
Set GateIP= IP地址Set GateMAC=**

arp -s %GateIP% %GateMAC%
echo 操作完成!!!
exit

3.
@echo off
arp.exe -d
arp.exe -s 192.168.1.1 00-22-aa-3e-93-2a
@echo on

用记事本,复制以下内容,另存为bat文件,名字随便起:

@echo off
ipconfig /all >ipconfig.txt
find "Physical Address" ipconfig.txt >UserMac.txt
for /f "skip=2 tokens=12" %%M in (UserMac.txt) do set Mac=%%M
find "IP Address" ipconfig.txt >UserIP.txt
for /f "skip=2 tokens=15" %%N in (UserIP.txt) do set ip=%%N
arp -d
arp -s %IP% %MAC%
del ipconfig.txt UserMac.txt UserIP.txt
@cls
@echo.
@echo IP
MAC地址已绑定,请按任意键结束...
pause >nul
exit
实现真正意义上的ARP双绑定
实现真正意义上的双绑:ARP双绑
最近掉线真的很多很多,网络上有一篇贴子,希望对大家有点作用。

1、掉线,大家不要急着去重启路由,找到原因才是关键。除去硬件本身原因,掉线大致有以下几种:

a、ARP欺骗,相信大家都非常讨厌。(路由不会死机)

b、局域网DDoS攻击,ICMP攻击,UDP洪水攻击(路由直接over了)

c、外线电信不稳。

就ARP,双绑暂时可以防的,不追求ARP什么什么的原理,研究那个东西让人伤脑筋,解决问题才是根本。

2、双绑:

有人说双绑还会掉外线,上不了网,首先我们应该搞好双绑的定义:

你本机的IP与mac是 static的吗?你本机上的网关ip与mac是static的吗?路由上的各个PC的IP与mac是static的吗?这才是双绑,不要把双绑理解为绑两个IP。

3、双绑操作方法:

网盟上有人发了一个双绑批处理,我建议大家分开用,因为这个批处理本身没问题,但在执行的时候,往往有时会让网关IP与MAC还是动态的(这是我亲手操作的出来的结果,不信的朋友可以让电脑自己执行那个批处理,不要手动点。)开始操作了:

1

@echo off
if exist ipconfig.txt del ipconfig.txt
ipconfig /all >ipconfig.txt
if exist phyaddr.txt del phyaddr.txt
find "Physical Address" ipconfig.txt >phyaddr.txt
for /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M

if exist IPAddr.txt del IPaddr.txt
find "IP Address" ipconfig.txt >IPAddr.txt
for /f "skip=2 tokens=15" %%I in (IPAddr.txt) do set IP=%%I

arp -s %IP% %Mac%


del ipaddr.txt
del ipconfig.txt
del phyaddr.txt


exit

这是1,另存为:1 .b a t

@echo off

arp -s 192.168.*.*(网关 IP) 00-00-00-00-00-00(网关 mac)

exit

这是2,另存为2.bat

好了,两个bat都写好了,现在是运用,我喜欢用注册表开机执行1.bat,喜欢用开机vbs执行2.bat,分开运行,保证你客户机这块的绑定{bfb}成功!

注册表这一块:

w i ndows Registry Editor Version 5.00

[H K E Y_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"a r p"="C: \1 . b a t"

VBS这一块:

W s c r i p t.sleep 1000
dim oshell
set oshell = CreateObject("WScript.Shell")
oshell.run ("\ \1 9 2.168.*.*\ v b s\2.b.at") ————————服务器共享那个2.bat

开机,运行后,得出结果应该是:

客户机操作完毕,可我们双绑并未完成,只是完成了单方,另一方,你的路由。

不带MAC地址绑定的路由,我无话可说,不过,ROS是肯定可以的,要学ROS网上很多,我也写过一篇ROS文章,大家不防搜索。

ROS做也不难:看两张图大家就明白了一切。

如果IP前面带D,请选择copy,做完之后,D就消失了,就代表你成功绑定了一台。继续。。。。

到这里,还是没有完成,我们应该做一条规则,只允许绑定过的机器上网:

强烈建议在interface----lan(内网网卡)里选择reply-only!

至此,绑定基本完成了。还会掉线的朋友,如果你机器能让病毒远程执行arp -d,那我无话可说了,{jd1}性的人品问题。

以上只是对arp欺骗造成和掉线处理方法,如果是利用流量攻击,建议大家打上SP2补丁(如果经常用P2P的朋友,就知道XPSP2的TCP连接数是多少)。甚至打全windows补丁。相信微软!



郑重声明:资讯 【ARP双向绑定_一直在学习_百度空间】由 发布,版权归原作者及其所在单位,其原创性以及文中陈述文字和内容未经(企业库qiyeku.com)证实,请读者仅作参考,并请自行核实相关内容。若本文有侵犯到您的版权, 请你提供相关证明及申请并与我们联系(qiyeku # qq.com)或【在线投诉】,我们审核后将会尽快处理。
—— 相关资讯 ——