ARP綁定網關及批處理

一.WINDOWS下綁定ARP綁定網關
步驟一：
在能正常上網時，進入MS-DOS窗口，輸入命令：arp －a，查看網關的IP對應的正確MAC地址， 并將其記錄下來。
注意：如果已經不能上網，則先運行一次命令arp －d將arp緩存中的內容刪空，計算機(電腦)可暫時恢復上網（攻擊如果不停止的話）。一旦能上網就立即將網絡斷掉（禁用網卡或拔掉網線），再運行arp －a。
步驟二：
步驟二：
如果計算機(電腦)已經有網關的正確MAC地址，在不能上網只需手工將網關IP和正確的MAC地址綁定，即可確保計算機(電腦)不再被欺騙攻擊。
要想手工綁定，可在MS-DOS窗口下運行以下命令：
arp －s 網關IP 網關MAC
例如：假設計算機(電腦)所處網段的網關為192.168.1.1，本機地址為192.168.1.5，在計算機(電腦)上運行arp －a后輸出如下：
Cocuments and Settings>arp -a
Interface:192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 dynamic
其中，00-01-02-03-04-05就是網關192.168.1.1對應的MAC地址，類型是動態（dynamic）的，因此是可被改變的。
被攻擊后，再用該命令查看，就會發現該MAC已經被替換成攻擊機器的MAC。如果希望能找出攻擊機器，徹底根除攻擊，可以在此時將該MAC記錄下來，為以后查找該攻擊的機器做準備。
手工綁定的命令為：
arp －s 192.168.1.1 00-01-02-03-04-05
綁定完，可再用arp －a查看arp緩存：
Cocuments and Settings>arp -a
Interface: 192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 static
這時，類型變為靜態（static），就不會再受攻擊影響了。
但是，需要說明的是，手工綁定在計算機(電腦)關機重啟后就會失效，需要再次重新綁定。所以，要徹底根除攻擊，只有找出網段內被病毒感染的計算機(電腦)，把病毒殺掉，才算是真正解決問題。 作批處理文件
在客戶端做對網關的arp綁定，具體操作步驟如下：
步驟一：
查找本網段的網關地址，比如192．168．1．1，以下以此網關為例。在正常上網時，“開始→運行→cmd→確定”，輸入：arp －a，點回車，查看網關對應的Physical Address。
比如：網關192.168.1.1 對應00－01－02－03－04－05。
步驟二：
編寫一個批處理文件rarp.bat，內容如下：
@echo off
arp －d
arp -s 192.168.1.1 00－01－02－03－04－05
保存為：rarp.bat。
步驟三：
運行批處理文件將這個批處理文件拖到“Windows→開始→程序→啟動”中，如果需要立即生效，請運行此文件。 二. Linux下綁定IP和MAC地址，防止ARP欺騙一、應用背景
由于最近網上新出現一種ARP欺騙病毒，主要表現為：
中病毒的機器不僅影響自身，同時也會影響同網段的其它機器，將其它機器的HTTP數據包里加入病毒代碼。代碼例子如：
<html><iframe src=http://www2.89382.cn/wm/css.htm width=0 height=0></iframe>
這種病毒危害非常大！即使你機器的安全性做得很好，可是沒辦法保證同網段的其它機器安全沒有問題！
解決辦法：在網關和本機上雙向綁定IP和MAC地址，以防止ARP欺騙。

二、約定
1、網關上已經對下面所帶的機器作了綁定。網關IP：192.168.1.1　MAC：00:02:B3:38:08:62
2、要進行綁定的Linux主機IP：192.168.1.2　MAC：00:04:61:9A:8D:B2

三、綁定步驟
1、先使用arp和arp -a查看一下當前ARP緩存列表
[root@ftpsvr ~]# arp
Address                  HWtype  HWaddress           Flags Mask            Iface
192.168.1.234            ether   00:04:61:AE:11:2B   C                     eth0
192.168.1.145            ether   00:13:20:E9:11:04   C                     eth0
192.168.1.1              ether   00:02:B3:38:08:62   C                     eth0

說明：
Address：主機的IP地址
Hwtype：主機的硬件類型
Hwaddress：主機的硬件地址
Flags Mask：記錄標志，"C"表示arp高速緩存中的條目，"M"表示靜態的arp條目。

[root@ftpsvr ~]# arp -a
? (192.168.1.234) at 00:04:61:AE:11:2B [ether] on eth0
? (192.168.1.1) at 00:16:76:22:23:86 [ether] on eth0

2、新建一個靜態的mac-->ip對應表文件：ip-mac，將要綁定的IP和MAC地下寫入此文件，格式為 ip mac。
[root@ftpsvr ~]# echo '192.168.1.1 00:02:B3:38:08:62 ' > /etc/ip-mac
[root@ftpsvr ~]# more /etc/ip-mac
192.168.1.1 00:02:B3:38:08:62

3、設置開機自動綁定
[root@ftpsvr ~]# echo 'arp -f /etc/ip-mac ' >> /etc/rc.d/rc.local

4、手動執行一下綁定
[root@ftpsvr ~]# arp -f /etc/ip-mac

5、確認綁定是否成功
[root@ftpsvr ~]# arp
Address                  HWtype  HWaddress           Flags Mask            Iface
192.168.0.205            ether   00:02:B3:A7:85:48   C                     eth0
192.168.1.234            ether   00:04:61:AE:11:2B   C                     eth0
192.168.1.1              ether   00:02:B3:38:08:62   CM                    eth0

[root@ftpsvr ~]# arp -a
? (192.168.0.205) at 00:02:B3:A7:85:48 [ether] on eth0
? (192.168.1.234) at 00:04:61:AE:11:2B [ether] on eth0
? (192.168.1.1) at 00:02:B3:38:08:62 [ether] PERM on eth0

從綁定前后的ARP緩存列表中，可以看到網關（192.168.1.1）的記錄標志已經改變，說明綁定成功。

四、添加信任的Windows主機（192.168.1.10）
1、Linux主機（192.168.1.2）上操作
[root@ftpsvr ~]# echo '192.168.1.10 00:04:61:AE:09:14' >> /etc/ip-mac

[root@ftpsvr ~]# arp -f /etc/ip-mac

2、Windows主機（192.168.1.10）上操作
1）清除ARP緩存
C:Documents and SettingsAdministrator>arp -d

2）綁定Linux主機的IP和MAC地址
C:Documents and SettingsAdministrator>arp -s 192.168.1.2 00-04-61-9A-8D-B2

你可以將上面2個步驟寫在一個BAT（批處理）文件中，這樣做的好處是，今后如果要增加其它機器的綁定，只需維護這個文件就可以了。例：
@echo off  
arp -d  
arp -s 192.168.1.2 00-04-61-9A-8D-B2
exit

注意：Linux和Widows上的MAC地址格式不同。Linux表示為：AA:AA:AA:AA:AA:AA，Windows表示為：AA-AA-AA-AA-AA-AA