似水年华 2007-11-10 08:10 PM
ARP的基本防护
是个BAT而已 原理是建立空文件.
设置文件权限为无法访问 WinPcap无法安装.
让一般的ARP病毒启动出错...
下面是BAT内容
=============================================
@echo off
@echo. >C:\WINDOWS\system32\packet.dll
@echo. >C:\WINDOWS\system32\pthreadVC.dll
@echo. >C:\WINDOWS\system32\wpcap.dll
@echo. >C:\WINDOWS\system32\drivers\npf.sys
@attrib +r +a +s +h C:\WINDOWS\system32\packet.dll
@attrib +r +a +s +h C:\WINDOWS\system32\pthreadVC.dll
@attrib +r +a +s +h C:\WINDOWS\system32\wpcap.dll
@attrib +r +a +s +h C:\WINDOWS\system32\drivers\npf.sys
@attrib +r +a +s +h c:\WINDOWS\system32\npptools.dll
@cacls C:\WINDOWS\system32\packet.dll /c /e /d everyone
@cacls C:\WINDOWS\system32\pthreadVC.dll /c /e /d everyone
@cacls C:\WINDOWS\system32\wpcap.dll /c /e /d everyone
@cacls C:\WINDOWS\system32\drivers\npf.sys /c /e /d everyone
@cacls c:\WINDOWS\system32\npptools.dll /c /e /d everyone
===============================================================
我网吧用可这后 ARP欺骗基本上很少了.有少数ARP病毒能针对这样的情况自释放所需要的文件,继续运行.
所以光一个BAT 这样做并不能完全防御ARP
所以双向绑定还是要做好的...
双向绑顶不知道?
简单来说 就是在路由上 把下面所有客户机 IP MAC关系 做好静态绑定
然后下面所有的 客户机 开机绑定好路由的IP MAC关系 就可以了
IP MAC关系表在客户机上重新启动就没有了的 所以 每次开机都要进行绑定...
DOS 命令是
=================================
ARP -D
ARP -S 192.168.1.1 00-00-00-00-00
=================================
命令解释 ARP -D 意思是删除机器上的所有IP MAC关系
ARP -S 192.168.1.1 00-00-00-00-00 意思就 绑定 IP 与 MAC关系 192.168.1.1 就是IP 00-00-00-00-00 就是MAC了
上面的命令只是演示.... 不要直接拿来用 出问题了 就不要赖我头上
如果不清楚自己路由的IP与MAC 可以先PING路由的IP
然后用ARP -A 就可以看的到了