ARP欺骗解决{zj2}办法(传说中的虚拟网关)详解



介于现在ARP欺骗病毒太多。所以写了这个。事先说明。我也上看了别人的教程做的。只不过我自己修改了下。说的简单点。

说明用到的网关是10.1.1.254 实际应用当中把他换成你自己的网关。




现在我们运行 CMD route print会出现：

===========================================================================

Active Routes:

Network Destination        Netmask            Gateway         Interface      Metric

0.0.0.0          0.0.0.0           10.1.1.254       10.1.1.11       20

10.1.1.0         255.255.255.0        10.1.1.11       10.1.1.11       20

10.1.1.11         255.255.255.255        127.0.0.1       127.0.0.1       20

1  0.255.255.255        255.255.255.255        10.1.1.11       10.1.1.11       20

127.0.0.0        255.0.0.0            127.0.0.1         127.0.0.1       1

224.0.0.0        240.0.0.0            10.1.1.11        10.1.1.11       20

255.255.255.255          255.255.255.255        10.1.1.11           10004       1

255.255.255.255          255.255.255.255        10.1.1.11       10.1.1.11       1

Default Gateway:          10.1.1.254

===========================================================================
Persistent Routes:
None


这样一个路由表，{zh1}一个Metric是这条路由表的优先等级（权限） 1{zd0} 10最小。

我们来看{dy}行  
Network Destination Netmask Gateway Interface Metric  
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.129 10  

Network Destination            Netmask          Gateway         Interface          Metric

0.0.0.0            0.0.0.0         10.1.1.254       10.1.1.11           20
目的地任何IP    任何IP         网关IP         本机IP         优先等级（10是最小）

这行的意思是

如果我要访问Internet的话，从本机(10.1.1.11)通过网关(10.1.1.254)到任何Internet的服务器。
下面几行路由表无关紧要。

简单的说。如果你要访问Internet先经过本机的路由表再到路由器（网关）再到你要访问的Internet服务器。

现在我们知道路由表的作用了。



还有ARP病毒是读取本机TCP/IP里的网关的。以后的ARP变种会不会读路由表那我不知道。



解决方法：（反欺骗ARP病毒）

{dy}步：

比如我现在网关是10.1.1.254，那我们现在要把网关IP换成10.1.1.1-10.1.1.254之间的任意一个。但不能和其他客户机冲突。{zh0}换个不用的IP，（其实这个方法网关IP随便你添什么，那怕123.123.123.123都没事，但为了能反欺骗ARP和避免被怀疑，我们{zh0}能用同网段的IP）我们现在换成10.1.1.200，上不了网了吧。现在我们CMD route print看下路由表。{dy}行的网关IP变成了你刚才设置的IP了。而且这个网关IP是上不了网的。



第二步：

我们仍旧在CMD下输入 route add -p 0.0.0.0 mask 0.0.0.0 XXX.XXX.XXX.XXX metric 1 (把xxx.xxx.xxx.xxx换成你真实的网关) 回车,我们加入一条静态的路由表优先权限是1（{zd0}的）。

在CMD下面输入route print 再查看一下路由表。最下面一行

Persistent Routes:

None

这个已经换成了

Persistent Routes:

Network Address Netmask Gateway Address Metric

0.0.0.0         0.0.0.0 xxx.xxx.xxx.xxx    1

一条静态路由已经添加了。

接下来。我们做个P处理，把下面的复制下来。保存为BAT。然后加在启动项里。每次开机都运行。你也可以加在注册表的RUN里面。

route add 0.0.0.0 mask 0.0.0.0 xxx.xxx.xxx.xxx metric 1 (把xxx.xxx.xxx.xxx换成你真实的网关)    



{dy}行的网关是我们在 本地连接 属性 tcp/ip 里设置的那个假的优先等级是10（最小的）。

第二行的网关是我们通过手工加上去的真网关优先等级是1（{zd0}的）。

如果我们要访问Internet的话。它优先读取优先等级是1的那个真网关。

而ARP读取的是读取本机TCP/IP里的网关的。以后的ARP变种会不会读路由表那我不知道。所以让他在冲突也只不过冲突假网关。

这样我们已经完成了。不管你网关IP设成多少都没事。记住虽然你加了静态的但开机启动的那个P处理一定要。不然还是上不了网。至少我这里是这样的。

这样做了以后。绑不绑定IP-MAC都无所谓。前段时间老掉线。这样做了后没掉过。要掉也是中ARP病毒那个机器掉。其他机器和网关没影响。