內網arp攻擊檢測工具(KillNet)

內網arp攻（gōng）擊檢測工（gōng）具是根據以太網協議發起的一款arp攻擊軟件，該（gāi）軟件界麵簡潔安裝方法簡單使用方便，可以幫助（zhù）用戶模擬局域網arp攻擊，進（jìn）行ip偽裝，需（xū）要的朋友歡迎來綠色資源網下載！

使用說明

防（fáng）止內網ARP攻擊的方法

我不推薦大家使用靜態IP地（dì）址（zhǐ）和mac地址的綁定（dìng），這會帶來更多（duō）的管理負荷。你（nǐ）可以利用ISA Server強大的身（shēn）份驗證功能，結合IP地址（zhǐ）來進行管（guǎn）理，這（zhè）樣具有更（gèng）好（hǎo）的效果。也請（qǐng）不要在論壇問我ARP命令是如何使用的，Windows的（de）幫助是最好的老（lǎo）師。

1 ．檢查本機的“ ARP 欺騙”木馬染毒（dú）進程同時按住（zhù）鍵盤上的“ CTRL ”和（hé）“ ALT ”鍵（jiàn）再按“ DEL ”鍵，選擇“任（rèn）務管理器”，點選（xuǎn）“進程”標簽。察看其中是否有一（yī）個名為（wéi）“ MIR0.dat ”的進程（chéng）。如果有，則說明已經中毒。右鍵點擊此進程後選擇“結束進程”。參見右圖。

2 ．檢（jiǎn）查網內感染“ ARP 欺騙”木馬染（rǎn）毒的計算機在“開始” - “程序” - “附件”菜單（dān）下調出“命令提示符”。輸入並執行（háng）以下命令：ipconfig記（jì）錄網關 IP 地址，即“ Default Gateway ”對應的值，例如“ 59.66.36.1 ”。再輸入（rù）並執行以下命令：arp –a在“ Internet Address ”下找到上步記錄的網（wǎng）關 IP 地址，記錄其對應的物理地址，即“ Physical Address ”值，例如“ 00-01-e8-1f-35-54 ”。在網絡正常時這就是網關（guān）的正確物（wù）理地址，在網絡受“ ARP 欺騙”木馬影響而不正常時，它就是木馬所在計算機的網卡物理地址。也（yě）可以掃描本子網內的全部 IP 地址，然後再查 ARP 表（biǎo）。如果有一個（gè） IP 對（duì）應的物理地（dì）址與網關的相同，那麽這個 IP 地址（zhǐ）和物理地址就是中毒計（jì）算機的 IP 地址和網卡物理地址。

3 ．設置 ARP 表避免“ ARP 欺騙”木馬影響的方法本方法可（kě）在一定程度上減輕中木馬的其它計算（suàn）機對本機的影響（xiǎng）。用上邊介紹（shào）的方法（fǎ）確定正確的網關（guān） IP 地址和網關物（wù）理地址，然後在（zài） “命令提示符”窗口中輸入並執行以下命令：arp –s 網（wǎng）關 IP 網（wǎng）關物理地址4.態ARP綁定網關

步驟一（yī）：在能正常上網時，進入MS-DOS窗口，輸入（rù）命令：arp －a，查看網關（guān）的IP對（duì）應（yīng）的正確MAC地址， 並將其記錄下來。   注意：如果已經（jīng）不能上網，則先運行一次命令arp －d將arp緩存中的內容刪空，計算機可（kě）暫時恢複上網（攻擊如果不停止的話）。一旦能上網就立即將網絡斷掉（禁用網卡或拔掉網線），再運行arp －a。

步驟二（èr）：如果計算機已經有（yǒu）網關的正確MAC地址，在不能上網隻需手工將網關IP和正（zhèng）確的MAC地址綁定（dìng），即可（kě）確保計算機不（bú）再被欺騙攻（gōng）擊。   要想手工綁定，可在MS-DOS窗（chuāng）口下運行以下命令：   arp －s 網關IP 網關MAC

例如：假設計算機所處網段的網關為192.168.1.1，本機地址為192.168.1.5，在計算機上運行arp －a後輸（shū）出如下：

Cocuments and Settings>arp -a

Interface:192.168.1.5 --- 0x2

Internet Address   192.168.1.1

Physical Address Type     00-01-02-03-04-05

dynamic

其中，00-01-02-03-04-05就是網關192.168.1.1對（duì）應的MAC地址，類（lèi）型是動態（dynamic）的，因此是可被改變的。   被攻擊後，再用（yòng）該命令查（chá）看，就會（huì）發現該（gāi）MAC已經被替換成攻擊機器的MAC。如（rú）果希望能（néng）找出攻擊機器，徹底（dǐ）根除攻擊，可以在此時將該MAC記錄下來，為以後查找（zhǎo）該攻擊的機器做準（zhǔn）備。

4.手工（gōng）綁定的命令為：   arp －s 192.168.1.1   00-01-02-03-04-05   綁定完，可再用arp －a查看arp緩存：   Cocuments and Settings>arp -a   Interface: 192.168.1.5 --- 0x2   Internet Address Physical Address Type   192.168.1.1   00-01-02-03-04-05 static   這時，類型變為靜態（static），就不會再受攻擊影響了。   但（dàn）是，需要說明的是，手工綁定在計算機關機重（chóng）啟後就會失效，需要再次重新綁定。所以，要徹底（dǐ）根（gēn）除攻擊，隻有找出網段內被病毒（dú）感染的計算機，把病毒（dú）殺掉，才算是真正解決問題。

5 .作批（pī）處理文件（jiàn）   在客戶端做（zuò）對網關的arp綁定，具體操作步驟如下：

步驟一：查（chá）找本網段（duàn）的網關地址，比如192．168．1．1，以下以此網關為例。在正常上網（wǎng）時，“開始→運行→cmd→確定”，輸入：arp －a，點（diǎn）回車（chē），查看網關對應的Physical Address。比（bǐ）如：網關（guān）192.168.1.1 對應00－01－02－03－04－05。

步驟二：編（biān）寫一個批處理文件rarp.bat，內容如下：   @echo off   arp －d   arp -s   192.168.1.1   00－01－02－03－04－05   保存為：rarp.bat。

步驟（zhòu）三：運行批處理文件將這個批處理文件拖到“Windows→開始→程序→啟動”中，如（rú）果（guǒ）需要立即生效（xiào），請運行此文件。