对联式悲哀

自转，首发于日月光华BBS  Undergraduate版，文中关于网关IP以及网关MAC的具体数值仅适用于复旦。

============正文开始的分割线============

　　欢迎转载，但请保留以下信息
　　作者：MaaJiaa@日月光华　参考：日月光华BBS Virus版精华区

　　写在前面：ARP攻击只影响内网的通信，和拨号上网无关...
　　关于ARP攻击病毒的更多讨论，欢迎去Virus版~`


ARP欺骗攻击的原理

　　简单的说，就是攻击者骗你说他是网关，然后骗网关说他是你，这样欺骗之后，你发给网关的信息就发到他那里，而网关回给你的信息也会发到他那里。
　　于是攻击者就成了中转信息的桥梁，并且在中转过程中对将要传递的数据包进行拦截、监听、修改...
　　这是双向欺骗模式，另外还有单向欺骗模式，即只转发某一个方向的数据包。


受到ARP攻击后的症状

　1. 不能上内网
　　早期的利用ARP攻击的病毒写得比较滥，不知道我们的网关是254，所以经常造成上不了网。
　　如果你发现你经常无故上不了内网，拔掉网线重插 or 重起之后说不定又有好转，有可能就是受到了ARP攻击

　2. 上内网速度慢
　　后来病毒改进了，学会顺利实现双向欺骗。
　　这种情况下症状很隐蔽，因为此时你能正常上网。但是因为信息的传递要经过一个中转，所以速度会受到影响，并且数据包越多（上网的人多）速度受的影响可能越大。

　3. 打开网页速度无与伦比的慢 & 上学校主页等正常网页杀毒软件也不停的报警
　　病毒当然不会傻到默默无闻的当中转站，它要实现的目的是修改数据包，比较常见的是监听80端口的通信（IE浏览网页用），然后在里面添加木马下载的链接。病毒不会强悍到直接把木马发给你，只是悄悄地给你一个地址让浏览器在后台下载，而且这个地址通常来自外网。
　　这种情况下，对于能同时上内网和外网(setroute/代理)的人，网页打开的速度会稍微变慢，同时不管是10.60.130.4还是复旦邮箱还是别的网页，浏览的时候经常听到卡巴斯基杀猪一般的报警声。
　　对于只能上内网的人，因为浏览器会尝试反复下载链接中的木马，因此浏览内网网页的速度会变得其慢无比（当然木马是下不下来的）。
　　只能上外网的人则完全不受影响。
　　至于其他端口，如ftp、telnet上BBS受到的影响也不大。


应对ARP攻击

　　最根本解决ARP攻击的办法只有一个：抓包找出毒机令其杀毒。

　　暂时的应对方法：
　1. 保证你不被骗
　　也就是保证你发给网关的信息不经过毒机中转。
　　在运行对话框中输入cmd，然后输入以下内容再回车：
　　arp -s 网关ip 网关正确mac
　　其中南区学生宿舍的网关mac全都是00-0a-8b-24-34-0a
　　北区学生宿舍的网关mac全都是00-00-0c-07-ac-00（是这个吧？）
　　另外你也可以用arp -a命令查看，如果发现网关的mac不正确，所看到的那个假网关mac就是来自毒机。
　　P.S. 每次开机都要用arp -s命令重新绑定一遍。

　2. 保证网关不被骗
　　这个没办法，只能和病毒比谁最流氓。病毒会每隔一段时间就骗一次网关，你必须用更高的频率告诉网关你的真实地址。所谓的ARP防火墙干的事情就是这个。
　　因为你也要不停的给网关发信息和病毒PK，所以显然会加重网络担负，这也是现在不推荐使用各种ARP防火墙的原因。

　3. 虽然被骗但不至于受太大影响
　　之前说到，病毒会在你浏览网页时偷偷添加木马下载的链接，而实际上arp攻击病毒所造成的危害也主要来源于此。为此，在一时找不到毒机，又不想开ARP防火墙加重网络负担的情况下，还可以有退而求其次的办法，即通过hosts列表屏蔽木马下载的链接。
　　具体实现步骤：
　　当随便浏览内网的什么网页，杀毒软件都报毒的时候
　　查看网页源文件，最顶上的一行一般会是<script ...>，
　　其中通常会有这样的内容：SRC="http://www.xxx.xxx/xxx.js"
　　随后找到C:\Windows\system32\drivers\etc目录下的hosts文件
　　用记事本打开，然后在
　　127.0.0.1       localhost
　　的底下加入一行
　　127.0.0.1       www.xxx.xxx
　　保存，重起，OK。
　　这样做之后就算受到ARP攻击，也不会再去访问毒机添加的木马了。这种方法的好处在于，既能保证本机不中毒以及网速基本正常，同时又不至于影响整个局域网的通信。