局域网ARP攻击本地防治方法

时间: 2013-08-29 / 分类: 批处理, 系统防御 / 浏览次数: / 0个评论 发表评论

最近几天公司出现了ARP攻击,ARP欺骗的危害性大家可以自己网上自行了解,轻则无法上网,重则所有数据被监听。
由于种种原因,公司没有IP、Mac、人的对应表,导致查到了嫌疑机器却无法定位到人。

于是乎,IT小胖写了一个小型的防御工具(批处理程序),其实原理就是静态绑定正确的网关IP和MAC地址。
注:只要攻击源头没找到并清除ARP病毒,防火墙还是会继续报被攻击的,但这个工具能保证局域网内不能上网电脑的可以上网,且受到攻击的电脑不会被ARP欺骗监听到数据。

代码使用方法很简单,将”00-00-00-00-00-01″替换为攻击者的MAC地址,”00-00-00-00-00-00″替换为网关的真实MAC地址,并将文件保存为bat或cmd文件运行即可。

代码:


@echo off
 color 02
 echo 作者:挨踢小胖
 echo http://www.ITXiaoPang.com
 echo.
 echo 此程序只可用于本公司,如其他地方遇到ARP攻击需自行修改本程序中的正确MAC地址后方可使用。
 echo.
 echo 如果使用彩影ARP防火墙或360防火墙等任何具有ARP防火墙功能的产品,请务必优先关闭其自动获取网关IP/MAC的功能!之后再运行本程序。
 echo.
 echo 完成以上操作后,按任意键继续。
 pause >nul
 cls
 echo 作者:挨踢小胖
 echo http://www.ITXiaoPang.com
 echo.
 rem RouteMac 00-0f-e2-70-1e-15
 rem 显示网卡Idx
 netsh i i show in
 echo 提示:
 echo 上方只显示本机已启用的网卡
 echo 如果使用有线上网,则在下方输入"本地连接"的Idx
 echo 如果使用无线上网,则在下方输入"无线网络连接"的Idx
 echo.
 set /p Idx=请输入对应的Idx号:
 cls
 echo 作者:挨踢小胖
 echo http://www.ITXiaoPang.com
 echo.
 rem 清除原有arp信息
 arp -d
 netsh -c "i i" delete neighbors %Idx%
 rem 绑定感染者IP、Mac地址,这步可以省略
 netsh -c "i i" add neighbors %Idx% "10.123.0.254" "00-00-00-00-00-01"
 rem 绑定正确的网关IP、Mac地址
 netsh -c "i i" add neighbors %Idx% "10.123.0.1" "00-00-00-00-00-00"
 rem 显示绑定结果
 arp -a
 echo 如果未报任何错误,则网关IP、Mac地址静态绑定完成。按任意键退出。
 pause >nul

批处理运行效果如下:

StaticBindGatewayIpAndMac-Prompt

StaticBindGatewayIpAndMac-Prompt

StaticBindGatewayIpAndMac-Ethernet

StaticBindGatewayIpAndMac-Ethernet

StaticBindGatewayIpAndMac-Bind

StaticBindGatewayIpAndMac-Bind

您阅读此文共耗时

发表评论

你必须 登录后 才能留言!