<![CDATA[沧海一粟]]> http://www.dzhope.com/index.php zh-cn http://www.dzhope.com/post/436/ <![CDATA[织梦(Dedecms)任意代码执行漏洞]]> jed <jed521@163.com> Mon, 26 May 2008 00:24:47 +0000 http://www.dzhope.com/post/436/
织梦网任意代码执行漏洞

放在vip区里了。具体情况还不清楚。自称是首发.有VIP的朋友可以下来看看.
用dedecms 朋友还是小心点吧。

漏洞页面是    \include\inc_bookfunctions.php
触发页面是 member/story_add_content_action.php

xinca的漏洞公告如下:

嘿嘿。。说实话,利用方法特别简单。反正闲着也是闲着,我就拿其中一个小站给大家演示下利用过程吧。


演示地址:http://www.guo3.com/   (技术交流 站长不要找我啊)



首先注册个账号,然后登陆。
点击在新窗口中浏览此图片


接着就是打开下面的地址:

http://www.guo3.com/member/story_add_content_action.php?chapterid=1&arcID=1&body=?>后面加上一句话代码。当你看到成功的提示就表示成功了。
点击在新窗口中浏览此图片


然后打开http://www.guo3.com/data/textdata/1/bk1.php就是我们生成的后门。如果一次没成功想再重来一遍的话,下次生成的文件就变成bk2.php。以此类推。这里我试了9次,嘿嘿。。。
点击在新窗口中浏览此图片


方法既然已经出来了,大家就赶快动手去玩吧。


Tags - , , ]]> http://www.dzhope.com/post/395/ <![CDATA[开机就显示:DISK BOOT FAILURE INSERT SYSTEM ]]> jed <jed521@163.com> Sat, 12 Apr 2008 23:39:30 +0000 http://www.dzhope.com/post/395/
  也可以查看下BIOS的Advanced BIOS Features菜单中First Boot Device 是否为HDD-0

  屏幕上出现:Disk Boot Failure,Insert System Disk And Press Enter。

  故障诊断:

  ● 具体的操作是进入CMOS设置后,选择“IDE HDD Auto Detection”项目,看是否可以检测 到硬盘的存在。
    
  若没有检测到硬盘。首先要考虑的就是硬盘了,可以通过听硬盘的运转声音或者把硬盘接到其它的电脑上来判断硬盘是否有问题。如果硬盘有问题,硬盘上高价值的数据可以找专门的数据  恢复公司来恢复;如果可以正确地检测到硬盘的话,请先确认一下检测到的硬盘的容量和其他的参数是否和实际的硬盘参数相同。是相同的,说明系统应该是正常的,可能只是CMOS中的 硬盘参数的设置信息丢失了而已。不同,说明系统一定出现故障了,有可能是主板的故障,也有可能是硬盘数据线故障。
                  
    
  2.原因:

  (1)硬盘,光驱连在同一条数据线上,且跳线都设成主盘(或都设成从盘)
  (2)CMOS硬盘参数设成NONE
  (3)主引导扇区结束标志55AAH错误

  处理:
  (1)将光驱跳线设成从盘(或硬盘跳线设成主盘)
  (2)重设CMOS
  (3)用NDD的“诊断磁盘”修复


该文章转载自宋氏电脑 技术无忧:http://www.pc51.net/weixiujishu/1000side-yj/computer/2007-04-17/7788.html
Tags - ]]> http://www.dzhope.com/post/394/ <![CDATA[当电脑启动到Verifying DMI Pool Data时停住的分析及其解决方法]]> jed <jed521@163.com> Sat, 12 Apr 2008 23:28:56 +0000 http://www.dzhope.com/post/394/
DMI是英文单词Desktop Management Interface的缩写,也就是桌面管理界面,它含有关于系统硬件的配置信息。计算机每次启动时都对DMI数据进行校验,如果该数据出错或硬件有所变动,就会对机器进行检测,并把测试的数据写入BIOS芯片保存。所以如果我们在BIOS设置中禁止了BIOS芯片的刷新功能或者在主板使用跳线禁止了BIOS芯片的刷新功能,那这台机器的DMI数据将不能被更新。如果你更换了硬件配置,那么在进行WINDOWS系统时,机器仍旧按老系统的配置进行工作。这样就不能充分发挥新添加硬件的性能,有时还会出现这样或那样的故障。

如果我们在启动计算机时看到上述这个信息后,系统长时间停止不前或处于死机状态,对于机器此类故障一般很难处理。因为不能像进入系统后出现的故障,我们可以检查系统日志之类的文件进行分析。不过,根据PC机启动的过程原理分析,出现这条信息时一般有以下的可能情况:

1.硬件改变

当主机的硬件配置有所变化,但是我们使用的是POST功能时,此时系统不能识别新添加的硬件,将会按老的配置进行工作,此时就会出现开机后能够加电,但是没有正常启动时“嘀”的一声,同时显示器也没有图像显示,只有风扇转动的声音。

还有一个原因是新添加的硬件的兼容性不好,导致上述的情况出现。

2.BIOS设置改变

当BIOS设置错误时,比如内存的读写参数设置有误,硬盘的模式设置有误,板载声卡与集成声卡的设置有误等情况,都会造成不能正常启动。

3.硬盘线连接错误

这类情况有硬盘的数据线接触不良,数据线质量低劣造成数据数输时错误太多,数据线插接有误(接主板端与接硬盘端倒个儿),主从硬盘跳线有误,硬盘容量或模式设置有误等。

4.硬盘主引导区内容被破坏

当硬盘的主引导区内容被其他程序改写或被病毒破坏掉,也可能时硬盘分区表被清除或人为的设置成逻辑锁状态时,就会到此时死机。

对于硬盘的主引导区的引导程序被破坏,我们可以使用Fdisk/MBR命令进行修复,或者使用KV3000的磁盘编辑功能查找0道0面的其他62个扇区是否有备份的主引导区程序,将其还原至0道0面0区即可。

对于分区表被破坏的就比较麻烦。如果只是分区表没有“80”标志或者多个“80”标志,或者没有”55AA”标志的,我们只要使用KV3000的磁盘编辑功能进行手动修复就可以了。如果是逻辑锁,就需要制作特殊的磁盘进行解锁。如果分区表被完全破坏或者被加密,那我们就只能重新分区了。

5.硬盘有故障

现在硬盘的容量越来越大,速度越来越快,不过硬盘的质量好像也越来越差了。到目前市场上还有94,95年份生产的几百M的二手硬盘在卖呢。可现在呢,刚买的新硬盘,没几天就会坏道成片或者莫名妙的丢失数据,再不就是“咣咣”的提意见罢工不干了。当硬盘硬件出现故障时,也会出现上述的情况,此类问题硬盘在CMOS里能够认到硬盘,认盘很顺利,但就是进不了系统,无法正常分区和格式化。

6.主板有问题

与主板有关的也主要是主板的硬盘控制器的问题,造成数据传输不稳定,错误率太高。

7.超频造成的损坏

如果我们超频过头时,也会出现开机后到硬盘这儿就死机。这时我们最好住开机自检时显示的CPU的频率是多少,再打开机箱检查实际CPU的频率是多少,二者是否相同。特别对于PIV以后的CPU,其集成度极高,如果我们超频使用,极有可能造成CPU内部的电子在短时间内过度衰减,导致CPU短时间内报废。

解决的方法:

1.恢复硬件改变前的状态,检查系统是否能够正常启动。

2.检查所有连接线或扩展卡是否正确连接。

3.试着重新配置在BIOS中“PNP/PCI configuration”“Reset Configuration Data”也可以使用“Force Update ESCD”之类的BIOS选项设置为“Enabled”,然后存盘退出。如果能够不能启动,再试着设置为“Disabled”试一试。

4.查阅主板手册关于CMOS跳线的的信息并清除CMOS。请注意:在清除CMOS设置时必须拔掉主机电源线或者把主机电源的开关设置为off或0。

5.断开硬盘连接线,包括光驱或其他IDE设备,再进入BIOS设置选择启动顺序为软盘启动后按F10存储退出,然后在软驱中放入一张可启动的系统盘,检查系统是否能够正常启动。

6.在完成清除CMOS设置后,把CMOS设置中的“PNP/PCI configuration”选项设置为“Enabled”,再次重新启动电脑来更新设置DMI数据,也叫做强制更新ESCD数据。

7.如果主机能够通过软盘启动,但是不能通过硬盘启动,这种情况有可能是硬盘的主引导区的数据被破坏,这时可以通过分区软件来修复主引导区的程序代码,如用软盘启动电脑后,使用FDISK/MBR命令来修复主引导区。也可以到相应硬盘生产商的网站下载特殊的硬盘分析工具程序,来检查自己的硬盘的具体故障。

8.如果经过上述设置后还不能排除故障,这时应考虑是主板或硬盘的IDE接口的问题,可以通过替换法解决。
Tags - ]]> http://www.dzhope.com/post/235/ <![CDATA[去除QQ点歌尾巴的木马]]> jed <jed521@163.com> Mon, 11 Dec 2006 00:52:07 +0000 http://www.dzhope.com/post/235/
中木马现象:



技术支持 00:34:33
刚刚给你点了一首好听的歌放在我的信箱里,你用首机打 l25加9Ο658884  就可以听了。记得去听,别辜负我一番心意哦!  听完了也点首给我听啊!  呵呵



下载专杀工具:

点击这里下载文件



Tags - ]]> http://www.dzhope.com/post/233/ <![CDATA[卡巴斯基6最近大面积崩溃(解决方案)]]> jed <jed521@163.com> Thu, 07 Dec 2006 01:41:15 +0000 http://www.dzhope.com/post/233/
解决办法一:到设置---服务 关闭自我保护...
解决办法二:导致卡巴斯基6.0莫名退出的原因原来是c:\windows\system32\drwtsn32.exe(华生医生)程序,它企图对卡巴有两个攻击动作被截它靠敏锐捕捉到了。
1。drwstsn32.exe 它企图写入卡巴的memory
2。drwstsn32.exe 它企图jnjects own code into卡巴导致卡巴服务被中止退出。

Dr. Watson (华生医生)是每当发生系统错误时对系统拍取快照的诊断工具。该工具可截获软件错误,识别发生错误的软件并提供详细的原因说明。Dr. Watson (华生医生)可以经常诊断问题并提供建议性的操作过程。您与 Microsoft公司技术支持联系时,Dr. Watson (华生医生)是可帮助您评估问题的工具。

华生医生,是自带的查错软件,可以说是完全没有必要的东东.
现在几乎每个人另都装杀毒软件的.而且华生只查不杀,只写日志报告.有耗资源.

建议大家关掉它:
(1)开始→运行“regedit”,然后在注册表:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug],中将“auto”的值改为0即可。
(2)运行"中输入"drwtsn32"命令,或者"开始"->"程序"->"附件"->"系统工具"->"系统信息"->"工具"->"Dr Watson",调出系统里的华医生Dr.Watson ,只保留"转储全部线程上下文"选项,否则一旦程序出错,硬盘会读很久,并占用大量空间。如以前有此情况,请查找user.dmp文件,删除了它。这样就可以停用华医生了。
以上方法是常规的,应该都有效的,再不行的话 进安全模式删了它
 
 但是,最近有网友向我反映卡巴6频繁崩溃,按理说卡巴以前经常出现应用程序错误,按我以前介绍的方法应该能解决,虽然偶而出现问题,但多少也算正常,昨天我的朋友也向我说这个问题了,跑去看了一下,这次有点怪异,报错后还出现程序断开链接,同时POPO上也有朋友向我反映此问题。
     通过分析发现,卡巴的错误就是升级文件引起,卡巴新版升级是由一个名为updcfg.xml的文件进行控制,该文件记录软件版本升级信息,库校验等。
     目前官方证明问题所在,并给出解释,如果你正在使用卡巴6 ,请关闭自我保护功能,然后删除:C:/Documents and Settings/All Users/Application Data/Kaspersky Lab/AVP6/Data/updcfg.xml文件,重新升级即可。



Tags - ]]> http://www.dzhope.com/post/199/ <![CDATA[通过MAC地址查IP 地址]]> jed <jed521@163.com> Tue, 14 Nov 2006 00:27:52 +0000 http://www.dzhope.com/post/199/
方法一:用ARP -A 查询
这种方法只能查到与本机通讯过(20分钟内)的主机MAC地址和IP地址。可在远程主机所属网段中的任一台主机上运行此命令,这样可查出IP欺骗类病毒的主机。

方法二:用专用软件查,如nbtscan
命令方式是:nbtscan -r 网络号/掩码位,这种方法可查询某网段的所有IP与MAC对应关系,但装有防火墙的主机则禁止查询。

方法三: 如果所连交换机有网管功能,可用ARP SHOW 命令显示交换机的arp缓存信息,这种方式基本可查询所有的IP 与MAC地址,但只有网管才有这个权限。

方法四:用sniffer类的嗅探软件抓包分析,packet中一般都含用IP地址与MAC地址。

方法五:用solarwinds类软件中的MAC ADDRESS DISCOVERY查询,但这个工具好象不能跨网段查询。


Tags - ]]> http://www.dzhope.com/post/183/ <![CDATA[最强的杀毒组合]]> jed <jed521@163.com> Tue, 07 Nov 2006 08:48:12 +0000 http://www.dzhope.com/post/183/
卡巴斯基被誉为世界最好的杀毒软件. 杀毒能力排第一名! 但任何软件都不能100%堵住病毒,所以加装:Ewido Security Suite Plus(最好的防杀木马软件) v3.5 完美注册汉 (已经试验无冲突,各管一方,互补互助)

卡巴斯基中文单机版(Kaspersky Anti-Virus Personal)
卡巴斯基是世界最好的杀毒软件.杀毒能力排第一名!
下载http://www.ayxz.com/soft/853.htm

软件名称: Ewido Security Suite Plus(最好的防杀木马软件) - 6646
下载介绍:许多的反木马程序中,Ewido 是最好的。国内的木马x星等和它比简直是小儿科了。最近在http://www.anti-trojan-software-reviews.com/上的测试里表明,它可以有效地检测出多形态和进程注入式木马,这些甚至完全不能被像诺顿和AVG等杀毒软件所查杀。和kaspersky结合使用加上ZoneAlarm防火墙,可以使得系统坚若磐石。
每周定期扫描。我猜你可能在你会为所得到的结果感到惊讶。
注册码:
8AFE-4C38-AFE4-C4C0
3371-2A43-3712-A4DA
3AFE-EB13-AFEE-B41C

下载:http://www.52z.com/soft/6646.Html


再装个防火墙就能堵住源头了.
防火墙就用ZoneAlarm:

ZoneAlarmPro v5.5.114 Oem豪华中文零售版:http://www.orsoon.com/Software/Catalog183/2772.html
序列号:LMLTK-XT5RC-XHVML-ROE4W (我建议装这个版本)

对于个别顽固病毒,推见一个小工具,安装后,点击要删除的文件右键,有个“unlocker”,进去解锁,就能删除!

下载地址:http://www.orsoon.com/Software/catalog240/3449.html

具体情况我不多说,疗效好才是真的好!
]]> http://www.dzhope.com/post/113/ <![CDATA[IE浏览器不能上网的处理办法]]> jed <jed521@163.com> Thu, 12 Oct 2006 00:24:37 +0000 http://www.dzhope.com/post/113/
先关闭与网络有关的所有程序,然后点击开始菜单->运行  

输入: regsvr32 urlmon.dll

打开IE输入一个常用的网站看看能不能访问,如果能就OK了,如果还不行,把下面命令保存为 run.bat

regsvr32 Urlmon.dll
regsvr32 Shdocvw.dll
regsvr32 Msjava.dll
regsvr32 Actxprxy.dll
regsvr32 Oleaut32.dll
regsvr32 Mshtml.dll
regsvr32 Browseui.dll
regsvr32 Shell32.dll

然后运行 run.bat 这个文件

这样应该就OK的了
]]> http://www.dzhope.com/post/21/ <![CDATA[ARP病毒入侵原理和解决方案]]> jed <jed521@163.com> Mon, 04 Sep 2006 02:15:14 +0000 http://www.dzhope.com/post/21/
   在这里我在网上到的相关资料,网络高手的研究一下~~

   解决ARP攻击的方法

   【故障原因】

  局域网内有人使用ARP欺骗的木马程序(比如:传奇盗号的软件,某些传奇外挂中也被恶意加载了此程序)。

  【故障原理】

  要了解故障原理,我们先来了解一下ARP协议。

  在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。

  ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。

  每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如下表所示。  

  主机 IP地址 MAC地址

  A 192.168.16.1 aa-aa-aa-aa-aa-aa

  B 192.168.16.2 bb-bb-bb-bb-bb-bb

  C 192.168.16.3 cc-cc-cc-cc-cc-cc

  D 192.168.16.4 dd-dd-dd-dd-dd-dd  

  我们以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.16.2的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。

  从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗,A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候,把C的MAC地址骗为DD-DD-DD-DD-DD-DD,于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么,嗅探成功。

  A对这个变化一点都没有意识到,但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。

  做“man in the middle”,进行ARP重定向。打开D的IP转发功能,A发送过来的数据包,转发给C,好比一个路由器一样。不过,假如D发送ICMP重定向的话就中断了整个计划。

  D直接进行整个包的修改转发,捕获到A发送给C的数据包,全部进行修改后再转发给C,而C接收到的数据包完全认为是从A发送来的。不过,C发送的数据包又直接传递给A,倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了,对于A和C之间的通讯就可以了如指掌了。

  【故障现象】

  当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。

  切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。

  由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。

  【HiPER用户快速发现ARP欺骗木马】

  在路由器的“系统历史记录”中看到大量如下的信息(440以后的路由器软件版本中才有此提示):

  MAC Chged 10.128.103.124

  MAC Old 00:01:6c:36:d1:7f

  MAC New 00:05:5d:60:c7:18

  这个消息代表了用户的MAC地址发生了变化,在ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址),同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。

  如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时,主机在路由器上恢复其真实的MAC地址)。

  【在局域网内查找病毒主机】

  在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址,那么我们就可以使用NBTSCAN(下载地址:http://www.utt.com.cn/upload/nbtscan.rar)工具来快速查找它。

  NBTSCAN可以取到PC的真实IP地址和MAC地址,如果有”传奇木马”在做怪,可以找到装有木马的PC的IP/和MAC地址。

  命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即

  192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段,即192.168.16.25-192.168.16.137。输出结果第一列是IP地址,最后一列是MAC地址。

  NBTSCAN的使用范例:

  假设查找一台MAC地址为“000d870d585f”的病毒主机。

  1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。

  2)在Windows开始—运行—打开,输入cmd(windows98输入“command”),在出现的DOS窗口中输入:C:
btscan -r 192.168.16.1/24(这里需要根据用户实际网段输入),回车。  

  C:Documents and SettingsALAN>C:
btscan -r 192.168.16.1/24

  Warning: -r option not supported under Windows. Running without it.  

  Doing NBT name scan for addresses from 192.168.16.1/24  

  IP address NetBIOS Name Server User MAC address

  ------------------------------------------------------------------------------

  192.168.16.0 Sendto failed: Cannot assign requested address

  192.168.16.50 SERVER 00-e0-4c-4d-96-c6

  192.168.16.111 LLF ADMINISTRATOR 00-22-55-66-77-88

  192.168.16.121 UTT-HIPER 00-0d-87-26-7d-78

  192.168.16.175 JC 00-07-95-e0-7c-d7

  192.168.16.223 test123 test123 00-0d-87-0d-58-5f  

  3)通过查询IP--MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。

  【解决思路】

  1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。

  2、设置静态的MAC-->IP对应表,不要让主机刷新你设定好的转换表。

  3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。

  4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。

  5、使用""proxy""代理IP的传输。

  6、使用硬件屏蔽主机。设置好你的路由,确保IP地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。

  7、管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。

  8、管理员定期轮询,检查主机上的ARP缓存。

  9、使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。

【HiPER用户的解决方案】

  建议用户采用双向绑定的方法解决并且防止ARP欺骗。

  1、在PC上绑定路由器的IP和MAC地址:

  1)首先,获得路由器的内网的MAC地址(例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa局域网端口MAC地址>)。

  2)编写一个批处理文件rarp.bat内容如下:

  @echo off

  arp -d

  arp -s 192.168.16.254 00-22-aa-00-22-aa

  将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。

  将这个批处理软件拖到“windows--开始--程序--启动”中。

使用AntiArp防止arp攻击
下载地址:http://www.dzhope.com/AntiArp.exe
运行AntiArp,点击“获取网关MAC地址”后,检查网关IP地址和MAC地址无误后,点击“自动保护”。
若不能获取网关IP地址,可通过以下操作获取:点击“开始”按钮->选择“运行”->输入“cmd”点击“确定”->输入“ipconfig”按回车,“Default Gateway”后的IP地址就是网关地址。
Tags - ]]>