局域网ARP攻击本地防治方法
最近几天公司出现了ARP攻击,ARP欺骗的危害性大家可以自己网上自行了解,轻则无法上网,重则所有数据被监听。
由于种种原因,公司没有IP、Mac、人的对应表,导致查到了嫌疑机器却无法定位到人。
于是乎,IT小胖写了一个小型的防御工具(批处理程序),其实原理就是静态绑定正确的网关IP和MAC地址。
注:只要攻击源头没找到并清除ARP病毒,防火墙还是会继续报被攻击的,但这个工具能保证局域网内不能上网电脑的可以上网,且受到攻击的电脑不会被ARP欺骗监听到数据。
代码使用方法很简单,将”00-00-00-00-00-01″替换为攻击者的MAC地址,”00-00-00-00-00-00″替换为网关的真实MAC地址,并将文件保存为bat或cmd文件运行即可。
代码:
@echo off color 02 echo 作者:挨踢小胖 echo http://www.ITXiaoPang.com echo. echo 此程序只可用于本公司,如其他地方遇到ARP攻击需自行修改本程序中的正确MAC地址后方可使用。 echo. echo 如果使用彩影ARP防火墙或360防火墙等任何具有ARP防火墙功能的产品,请务必优先关闭其自动获取网关IP/MAC的功能!之后再运行本程序。 echo. echo 完成以上操作后,按任意键继续。 pause >nul cls echo 作者:挨踢小胖 echo http://www.ITXiaoPang.com echo. rem RouteMac 00-0f-e2-70-1e-15 rem 显示网卡Idx netsh i i show in echo 提示: echo 上方只显示本机已启用的网卡 echo 如果使用有线上网,则在下方输入"本地连接"的Idx echo 如果使用无线上网,则在下方输入"无线网络连接"的Idx echo. set /p Idx=请输入对应的Idx号: cls echo 作者:挨踢小胖 echo http://www.ITXiaoPang.com echo. rem 清除原有arp信息 arp -d netsh -c "i i" delete neighbors %Idx% rem 绑定感染者IP、Mac地址,这步可以省略 netsh -c "i i" add neighbors %Idx% "10.123.0.254" "00-00-00-00-00-01" rem 绑定正确的网关IP、Mac地址 netsh -c "i i" add neighbors %Idx% "10.123.0.1" "00-00-00-00-00-00" rem 显示绑定结果 arp -a echo 如果未报任何错误,则网关IP、Mac地址静态绑定完成。按任意键退出。 pause >nul
批处理运行效果如下:
您阅读此文共耗时分秒