简单来谈下防ARP攻击心得

其实Arp就是通过抓取数据包并把自己的马插入到这些数据包中才造成的我们现在普遍碰到的Arp挂马现象,这些都是我自己的理解,如有不对之处希望高手可以指出来,不要给予嘲笑，谢谢！

记住中了arp的主要现象是：一个网段的所有包含网站的服务器都被挂了同一个马，而且网页里已经仔细查过没有任何挂马迹象！

MAC绑定虽然是老办法但是是有效果的,但是顶不住一直在持续的攻击,所以我们必需找到源头,其实查找源头现在已经很EASY了,一会儿发个小软件的下载地址大家下来使用就可以了,里面有使用说明!

用MacScan.exe--MAC地址扫描器此软件可以直接查到一直在发数据的毒源，找到后你可以采取两种简单有效的解决办法来处理！
第一，直接断那台机器的网线，很有效，呵呵！
第二，进入那台服务器查根源，查找办法我简单说一下！
a)查C盘下所有的bat文件，我上次整个网段中马目录是在C:\windows\Config下,具体文件很好认如"1.bat","1.vbs","job.txt"等
b)查找非法进程，这个相信大家都会，不会的可以找我帮你查！
c)处理查到的毒源即可！处理假如你不知道怎么处理，那我再简单来说下我一般的处理措施！
1)备份病毒资料，这些资料都是兄弟们聪明的结晶不能浪费，一定要备份下来以后可以研究或者学习；
2)停止正在攻击的程序并删除，然后处理一下黑客进来时的漏洞把服务器安全再加强一下！

MAC绑定和扫描的小软件下载地址是http://a.thec.cn/fhcmail/macbind.zip

使用方法我再贴一下给那些不喜欢看说明的兄弟使用！
=====================================================
IP-MAC地址绑定工具

1、有效防止黑客和病毒的arp欺骗攻击，拒绝断网提高网络稳定性。通过扫描发现内网电脑的IP和MAC地址，并自动生成arp绑定脚本，只需拷贝到各台电脑上做成启动脚本就可实现IP、MAC地址静态绑定。同时提供全能绑定程序，可对windows 98以上所有操作系统做IP、MAC地址绑定。

2、文件列表
MacScan.exe--MAC地址扫描器
BindArp.exe--ARP绑定程序
ReadMe.txt--使用说明文件

3、使用方法
第一步、扫描地址
打开MacScan.exe，输入要扫描的内网IP范围，点击<开始扫描>按钮。程序自动对该IP范围内的电脑进行扫描，并将扫描到的IP和MAC地址信息显示在界面上。同时在程序目录下生成ArpList.ini文件、BindArp.bat和BindDhcp.bat文件。

第二步、绑定地址
用户可以用两种不同的办法绑定IP和MAC地址。
(1)将BindArp.exe和ArpList.ini拷贝到各台电脑上，并将BindArp.exe放到启动菜单中自动运行绑定IP和MAC地址。该程序适合windows 98以上所有操作系统。（假如想让BindArp.exe程序隐藏运行，请打开ArpList.ini，在第一行增加："TrayIcon=False"。）
(2)将BindArp.bat拷贝到各台电脑上，并做成启动脚本自动运行绑定IP和MAC地址。该脚本仅适合windows xp以上操作系统。

4、DHCP服务器绑定
假如用户采用DHCP服务器自动分配IP地址，并想在DHCP服务器中实现IP和MAC地址的绑定。请将BindDhcp.bat拷贝到DHCP服务器上，然后运行该批处理文件，即可实现在DHCP服务器上为指定的MAC地址分配固定的IP地址。建议用户在运行批处理文件之前，首先备份DHCP服务器配置。