校园网的ARP欺骗
老是有中毒的电脑骚扰我 烦死了arp -d
arp -s 网关IP 网关MAC
这招治标不治本啊 很久没见到摸摸哥了。。。。 你会不会批处理呀?
会的话,直接弄个批处理,然后开机进入系统自运行.
这样你就不用每次输入了.
当然要治本嘛,直接找到那个主机,干掉它,这样是最好的. [quote]当然要治本嘛,直接找到那个主机,干掉它,这样是最好的.[/quote]
:L :L 这样啊......我汗一下自己,汗一下师兄...... 看一下有没有帮助
ARP绑定进阶——以彼之道还施彼身
[table][tr][td]'此文为原创,欢迎转载,转载请保留如下信息
转自露宿者之家 作者:露宿者 QQ:185635232 MSN:yueshenghe26@hotmail.com
@echo off
FOR /F "usebackq eol=; tokens=2 delims=:" %%I in (`ipconfig /all^|find /i "IP Address"`) do set IP=%%I
FOR /F "usebackq eol=; tokens=2 delims=:" %%I in (`ipconfig /all^|find /i "Physical Address"`) do set MAC=%%I
'第一行是读取本机的IP地址,第二行是读取本机的MAC地址
Set /a a=%RANDOM%/128
Set /a b=%RANDOM%/128
Set IPhead=172.16
Set GatewayIP=%IPhead%.%a%.%b%
'这四行是生成一个172.16开头的随机网关IP地址
我自己的内网网段为172.16.0.0,所以设成这样
(若想生成192.168.1.X网段的IP,可改成如下
Set /a a=%RANDOM%/128
Set IPhead=192.168.1
Set GatewayIP=%IPhead%.%a%
若想限制生成的随机IP范围在192.168.1.100-192.168.1.255之间,可改成如下
:start
Set /a a=%RANDOM%/128
IF %a% LEQ 100 goto start
'这样就可以限制a比100大
'EQU - 等于,NEQ - 不等于,LSS - 小于,LEQ - 小于或等于,GTR - 大于,GEQ - 大于或等于
'要限制在其他范围的话,自己改一下代码吧
Set IPhead=192.168.1
Set GatewayIP=%IPhead%.%a%)
Set GatewayMAC=00-0f-e2-3e-b6-66
'这里的是真实的网关MAC地址
arp -d
arp -s %IP% %MAC%"
'静态绑定本机IP和本机MAC地址
arp -s %GatewayIP% %GatewayMAC%"
'静态绑定随机生成的网关IP和真实的网关MAC地址
route delete 0.0.0.0
route add 0.0.0.0 mask 0.0.0.0 %GatewayIP% metric 1
'删除原先的默认路由,定义默认路由指向随机生成的网关IP
1.把上面的内容保存为BAT脚本文件,这里我保存为709394.bat,并放在server服务器的“补丁更新”文件夹内,你要把补丁更新文件夹共享
2.在客户机上编写bangding.bat,放在system32文件夹内,内容如下,只要两行:
@echo off
\\server\补丁更新\709394.bat
'这个路径可根据实际情况去修改
3.把下面四行保存为“双击后删除.reg”,在客户机上双击后每次开机就会自动执行server机中的709394脚本中的绑定操作
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"709394"="c:\\WINDOWS\\system32\\bangding.bat"
4.手动修改网内所有PC的网关地址为一个不存在的IP,当然你也可以用脚本去做
这样的话,你只要维护Server服务器上的一份脚本就行了,
如果更换了网关设备,你只需改动Server服务器中的脚本即可,
不用到每台客户机去修改
原理简单分析:
PART I.ARP病毒攻击手段一是向网内其它PC谎称“网关IP地址对应的MAC地址是aa-bb-cc-dd-ee-ff”;
例:PC1骗PC2、PC3说“网关192.168.1.1的MAC地址为11-11-11-11-11-11”,192.168.1.1是PC1用IPCONFIG命令查看到的网关地址,PC2、PC3信以为真,在各自的ARP表中添加一个ARP条目“192.168.1.1 11-11-11-11-11-11”,但是PC2、PC3上网的网关地址并不是192.168.1.1,而是随机生成的那个IP地址,所以即使受骗了也不要紧,依然可以正常上网;
ARP病毒攻击手段二是向网关谎称“PC1的MAC地址是bb-cc-dd-ee-ff-gg”,“PC2的MAC地址是cc-dd-ee-ff-gg-hh”之类;
例:PC1骗网关地址192.168.1.1说“PC2的MAC地址为22-22-22-22-22-22”,但192.168.1.1是随便改的一个不存在的IP地址,所以不会有机器上当受骗
PART II.默认路由里指向的网关MAC地址正确,就确保了所有发向外网的数据包可以顺利发送到真实的网关;
总结:
理论上说,用上面的方法去绑定所有的客户机(注意要一台不漏喔),不在路由上绑也是可以的;实践中还要等你测试过之后跟我说效果;
有条件的话,最好在路由或者交换机里面绑定所有客户机的IP和MAC,这样ARP欺骗应该就可以完美解决的了;[/td][/tr][/table] 你还不如直接找到那部主机所连接的端口,然后到机房把它所连接的端口的TP拔掉好过.
简单,快捷.
哈哈 我上面写的那个是网吧应用方案,单机的话,可以简化一下,
忽略文中关于Server那里,每次开机直接运行脚本,将真实网关MAC绑定到虚拟网关即可 [quote]原帖由 [i]露宿者[/i] 于 2007-11-4 01:45 发表 [url=http://www.gdccbbs.com/redirect.php?goto=findpost&pid=129259&ptid=14088][img]http://www.gdccbbs.com/images/common/back.gif[/img][/url]
我上面写的那个是网吧应用方案,单机的话,可以简化一下,
忽略文中关于Server那里,每次开机直接运行脚本,将真实网关MAC绑定到虚拟网关即可 [/quote]
这个学习一下。单机的话容易解决。
单机的话,直接把你的部分代码或者直接就是1楼师弟的写入批处理,放到开机自动运行的那个批处理文件中。
开机自动运行。不用每次都手动按一次:loveliness: 批处理当然知道
批处理也是治标不治本
还有那些中毒的电脑 他们的主人根本就不知道有这回事 [quote]原帖由 [i]Pentium9[/i] 于 2007-11-4 16:19 发表 [url=http://www.gdccbbs.com/redirect.php?goto=findpost&pid=129433&ptid=14088][img]http://www.gdccbbs.com/images/common/back.gif[/img][/url]
批处理当然知道
批处理也是治标不治本
还有那些中毒的电脑 他们的主人根本就不知道有这回事 [/quote]
我谂我写嘅脚本的原理你没有看清楚
你用arp -d命令肯定冇用嘅 学习了~~~~~~~~~~ 360安全卫士有ARP防火墙
页:
[1]