反击ARP欺骗　我和网络执法官的战斗

• 关 键 词：
• tcp/ip协议
• windows
• sniffer
• 网络拓扑结构
• 校园网管理

那么，我们能不能避免ARP“欺骗”攻击呢？很遗憾的是：鉴于ARP协议的“自治”性，除非全部使用静态ARP，否则是不能的。

用什么办法对抗网络执法官呢？我们从查、躲、杀三个角度进行了试验。

1． 如何得知自己是否受到“ARP欺骗”的攻击呢？

您可以检测自己的网卡工作状态，如果只发数据而不能接收到数据的话，很可能就受到了攻击。您也可以在命令行状态下使用ARP -A命令，来查看本机的ARP缓存状态，正常情况下除了网关外不会有太多的记录，您需要查看网关的MAC地址是否和正常的一样。如果不同，那么或者网关换了网卡，或者您受到了“ARP欺骗”的攻击。

同样，如果没有记录或者有过多的ARP记录，您也可能受到了攻击（不同版本的网络执法官的攻击方式有所不同）。

2． 如何在局域网中查找该主机

因为该软件是基于Winpcap驱动的，其工作起来必然需要将该主机网卡工作于“混杂”模式下，原理类似于常见的嗅探软件，所以，反嗅探的软件可以对其进行查找。经常使用的有Antisniffer、ARPkiller等。利用反嗅探软件查找局域网内处于“混杂”模式的网卡，基本可以确定进行攻击的主机的IP地址。

注：被查找到的主机也可能没有使用“ARP欺骗”，而只进行了窃听。但总之处于“混杂”状态的主机肯定是不正常的。

同样的，您还可以安装网络执法官的检测版本来检测本网中运行该软件的主机。

3． 躲过“ARP欺骗”的攻击

如果您的网络里没有在网关绑定MAC地址和IP地址的话，您可以针对被攻击的类型不同选择不同的方式躲避攻击：

（1）产生IP地址冲突的攻击

如果产生地址冲突，您可以看见类似“系统检测到IP地址和硬件地址00-50-FC-1F-4C-9E发生冲突”的对话框。您可以将您的MAC地址设置为该硬件地址，就可以避免再次出现该对话框。

（2）断开被攻击机器与网关的联系和断开被攻击机器与所有其他主机的联系的攻击

您可以自行修改MAC地址，修改后，可以在短时间内避开被攻击，但是如果攻击者在网络执法官中设置了“发现用户上网即进行管理”后，不久会再次受到攻击。

总之，利用修改MAC地址来躲避并不是有效的办法。况且很多局域网中还进行的MAC地址和IP地址的绑定，就算避过了网络执法官的攻击，也同样不能正常上网。

4． “杀”实际上是一种“对攻”

因为ARP缓存具有一定的生命周期，所以网络执法官会在几秒内产生一个新的ARP数据包。首先我们可以利用静态ARP在本机注册网关正确的MAC地址，然后利用ARPkiller等软件不停地向网络中发布本机的正确IP和MAC数据，使得网关的ARP缓存中始终保持有关本机的正确数据，这样就可以保持和网关的通讯，也就可以正常上网了。甚至，我们同样可以发动“反击”，使得对方“掉网”。

【深 度 阅 读】 相 关 文 章

• 网络执法官轻松管理局域网
• 反击ARP欺骗 讲述我和网络执法官的战斗
• 教你用网络执法官监控管理网络
• 局域网中的包青天网络执法官应用