在PC端綁定路由器IP、MAC，簡單解決因ARP攻擊造成無法上網

admin

在PC端綁定路由器IP、MAC，簡單解決因ARP攻擊造成無法上網分類:
防毒防駭
— jj8113 @ 22:15:25


首先，讓我們簡述一下什麼是ARP病毒吧! 它的症狀大概就是會在短時間內斷線(全部斷線或部分斷線)，但卻又會在很短的時間內會自動恢復。這是因為MAC位址衝突所引起的，當中毒電腦的MAC映射到主機或路由器之類的NAT裝置，那麼整個網路都會斷線。但如果只映射到區網內的其它電腦，則只有這部分的電腦會出現問題而已。
ARP這種病毒是對內網的PC進行攻擊，使內網PC的ARP表格混亂。在區域網路中，透過ARP協定來完成IP位址轉換為第二層物理位址(即MAC位址)。ARP協定對網路安全具有重要的意義。透過偽造IP位址和MAC位址實現ARP欺騙，能夠在網路中產生大量的ARP通信量使網路阻塞。進行ARP重新導向和嗅探攻擊。用偽造原始MAC位址發送ARP回應封包，對ARP快取記憶體機制的攻擊。這些情況主要出現在學術網路、宿舍、網咖等公共場所，進而造成部分電腦或所有電腦暫時斷線或無法上網，在重新啟動電腦後即可解決，但維持不了多久又會出現這樣的問題。網路管理員可以對每台電腦下「arp –a」的命令以檢查本機的ARP表格，若發現路由器的IP和MAC被修改，這就是ARP病毒攻擊的典型症狀。
這種病毒的程式如
PWSteal.lemir
或其變種，屬於木馬、蠕蟲類病毒，Windows 全系列都將會受到影響(即便是 Windows 7 筆者也親身體驗過)，病毒攻擊的方式對影響網路連線暢通來看有兩種:
1.對路由器的ARP表格的欺騙，主要是先截獲閘道資料，再將一系列的錯誤的內網MAC資訊不停的發送給路由器，造成路由器發出的也是錯誤的MAC位址，造成正常PC無法收到資訊。
2.而第二種則是ARP攻擊主要是偽造閘道。它會先建立一個假閘道(通常是中ARP病毒的PC)，讓被它欺騙的PC向假閘道發資料，而不是透過正常的路由器途徑上網。在PC看來，就是上不了網了。也就是除了中ARP病毒本身的PC可以上網，而其它正常的PC反倒無法上網。
就這兩種情況而言，如果對ARP病毒攻擊進行防制的話我們必須得做路由器及客戶端雙方面的設定才保證問題能夠獲得最終解決。因此我們在選擇路由器的時候，最好先看看路由器是否帶有防制ARP病毒攻擊的功能，並設定完成後才能防止ARP病毒攻擊。(筆者因為僅有租用中華電信的合勤P880數據機，這台數據機的等級較差，因此手邊並沒有能夠防範ARP病毒攻擊功能的設備… 因此就僅介紹上述所說的第二種攻擊，也就是中毒電腦偽造成閘道。解決的方式，也就是在內網中其它的PC綁定原始閘道的IP及MAC位址):
輸入「ARP.EXE
-d」的目的是在於清空ARP表格。而「netsh i i show interface」命令則是檢視網路卡的Idx編號，最後則是「netsh -c "i i" add neighbors 3 "匣道IP位址" "匣道MAC位址" store=persistent」。Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1、Windows Server 2012 R2 可以永久綁定ARP表格，不會因為重開機而導致效果消失。然而 Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008 等較舊的作業系統則無法永久綁定ARP表格，重開機後需要再次綁定:




輸入「ARP.EXE
-a」即可看到我們在第一步綁定匣道IP位址、匣道MAC位址後已顯示為「靜態」，這就表示已完成綁定匣道的動作了:









綁定完成後別忘記去尋找中ARP病毒的那台PC，也就是假匣道。只要找到如下圖所示的MAC位址(實際位址並非如下圖，而是所有MAC位址都被欺騙)，即是中毒電腦: