¿Existe alguna forma de eliminar por completo los ataques arp? !

¡Éste es el principio que utilizan los agentes del orden en Internet!

En Network Law Enforcement Officer, si desea restringir el acceso a Internet de una determinada máquina, simplemente haga clic en "Permisos" en el menú "Tarjeta de red", seleccione el número de tarjeta de red especificado o haga clic en la fila de la tarjeta de red en la lista de usuarios y luego seleccione "Permisos" en el menú contextual y podrá restringir los permisos del usuario en el cuadro de diálogo emergente. Para las tarjetas de red no registradas, puede limitar su acceso en línea de esta manera: siempre que todos los usuarios conocidos estén configurados (registrados), cambie los permisos predeterminados de la tarjeta de red para prohibir el acceso en línea para evitar que todas las tarjetas de red desconocidas se conecten. Con estas dos funciones, se puede restringir el acceso de los usuarios a Internet. El principio es enviar a la computadora atacada una MAC falsa correspondiente a la dirección IP de la puerta de enlace mediante suplantación de ARP, de modo que no pueda encontrar la dirección MAC real de la puerta de enlace, de modo que se le pueda prohibir el acceso a Internet.

3. Modifique la dirección MAC para romper el bloqueo de los agentes encargados de hacer cumplir la ley en la red.

Con base en el análisis anterior, no nos resulta difícil concluir que siempre y cuando la MAC sea válida. Si se modifica la dirección, el escaneo de los agentes de la ley de la red puede ser engañado, logrando así el propósito de romper el bloqueo. A continuación se explica cómo modificar la dirección MAC de la tarjeta de red:

Ingrese regedit en "Ejecutar" en el menú "Inicio", abra el editor de registro y expanda el registro a: HKEY_LOCAL_

MACHINE/ System/CurrentControl

Set/Control/Class/{4D36E972-E325-11CE-BFC1-08002BE103

18} subclave, 0000, 0001, 0002 y otras ramas bajo la subclave Busque DriverDesc (si tiene más de una tarjeta de red, hay 0001, 0002... La información sobre su tarjeta de red se guarda aquí y el contenido de DriverDesc es la descripción de la información de la tarjeta de red. Por ejemplo, mi tarjeta de red es un controlador Ethernet basado en Intel 210

41), aquí se supone que su tarjeta de red está en la subclave 0000.

Agregue una cadena bajo la subclave 0000 y asígnele el nombre "NetworkAddress". El valor de la clave es la dirección MAC modificada, que debe tener 12 números hexadecimales consecutivos. Luego cree una nueva subclave denominada NetworkAddress en NDI/params bajo la subclave "0000" y agregue una cadena llamada "default" bajo la subclave. El valor de la clave es la dirección MAC modificada.

Continúe creando una cadena denominada "ParamDesc" bajo la subclave de NetworkAddress, que se utiliza para especificar la descripción de la

dirección de red, y su valor puede ser "Dirección MAC". De esta manera, después de abrir las "Propiedades" de Network Neighborhood, haga doble clic en la tarjeta de red correspondiente, encontrará una configuración "Avanzada", debajo de la cual hay una opción para Dirección MAC, que es el nuevo elemento "NetworkAddress" que agregado al registro En el futuro, simplemente modifique la dirección MAC.

Cierra el registro y reinicia. La dirección de tu tarjeta de red ha sido cambiada. Abra las propiedades de Network Neighborhood, haga doble clic en el elemento de la tarjeta de red correspondiente y encontrará un elemento de configuración avanzada para la dirección MAC, que se puede utilizar para modificar directamente la dirección MAC.

La dirección MAC también se denomina dirección física, dirección de hardware o dirección de enlace y está escrita dentro del hardware cuando la produce el fabricante del equipo de red. Esta dirección no tiene nada que ver con la red, es decir, no importa dónde esté conectado a la red el hardware con esta dirección (como tarjeta de red, concentrador, enrutador, etc.), tendrá la misma dirección MAC. La dirección generalmente no se puede cambiar y el propio usuario no puede cambiarla. La dirección MAC generalmente se expresa como 12 números hexadecimales y cada dos números hexadecimales están separados por dos puntos. Por ejemplo: 08:00:20:0A:8C:6D es una dirección MAC, de la cual los primeros 6 dígitos hexadecimales son el número del sistema. , 08:00:20 representa el número del fabricante del hardware de red, asignado por IEEE, y el siguiente número hexadecimal de 3 dígitos 0A:8C:6D representa la serie de un determinado producto de red (como una tarjeta de red) fabricado por el número del fabricante. Cada fabricante de redes debe asegurarse de que cada dispositivo Ethernet que fabrica tenga los mismos primeros tres bytes y los últimos tres bytes diferentes.

Esto garantiza que cada dispositivo Ethernet del mundo tenga una dirección MAC única.

Además, el principio del agente de aplicación de la ley de la red es utilizar la suplantación de identidad ARP para enviar la dirección MAC correspondiente a la dirección IP de la puerta de enlace falsa a una determinada computadora, de modo que no pueda encontrar la dirección MAC real de la puerta de entrada. Por lo tanto, siempre que modifiquemos el mapeo de IP a MAC, podemos invalidar la suplantación de ARP del Network Law Enforcement Officer y superar sus limitaciones. Puede hacer ping a la puerta de enlace con anticipación, luego usar el comando ARP -a para obtener la dirección MAC de la puerta de enlace y, finalmente, usar el comando de dirección MAC de la tarjeta de red IP ARP -s para asignar la dirección IP de la puerta de enlace a su dirección MAC.

4. Encuentre a la otra parte que le impide acceder a Internet

Después de desbloquear al agente de la ley de la red, podemos usar el "Sniffer Killer" de Arpkiller para escanear todo el segmento de IP de la LAN. y luego encontrar la dirección. Las computadoras en modo "promiscuo" pueden descubrirse entre sí. El método específico es: ejecutar Arpkiller (Figura 2), luego hacer clic en "Herramienta de monitoreo Sniffer", ingresar la IP inicial y final de la detección en la ventana "Sniffer Killer" que aparece (Figura 3) y hacer clic en "Iniciar detección". .

Una vez completada la detección, si la IP correspondiente es un ícono de sombrero verde, significa que la IP está en modo normal. Si es un ícono de sombrero rojo, significa que la tarjeta de red está en modo promiscuo. modo. Eso es a lo que nos dirigimos, este tipo que usa Cyber ​​​​Enforcement para causar problemas.

También estoy en modo mixto al escanear, ¡así que no puedo contarme entre ellos!

Después de encontrar a la otra parte, depende de usted cómo tratar con ella. Por ejemplo, ¡puede utilizar el Oficial de aplicación de la ley de Internet para bloquear a la otra parte!

Referencia:/new/Publicforum/Content.asp?idWriter=0&Key=0&strItem=it&idArticle=277484&flag=1