arp是利用以太網(wǎng)協(xié)議的先天漏洞從底層發(fā)起的正常協(xié)議的攻擊，KillNet是一款比較簡單的局域網(wǎng)ARP攻擊工具，本程序可以模擬局域網(wǎng)ARP攻擊，可以偽裝IP地址。如果在打開時，提示無法啟動此程序，因為計算機中丟失WPCAP.DLL。嘗試重新安裝程序以解決此問題。請先安裝WinPcap驅動包后，再打開此程序。使用時需要選擇正確的NIC。VuS紅軟基地

軟件介紹

KillNet 是使用WINPCAP的網(wǎng)絡KILL軟件，可以把選中的機器從網(wǎng)絡中隔離出來，也就是讓機器斷網(wǎng)，是一款非ARP型的斷網(wǎng)軟件。arp是利用以太網(wǎng)協(xié)議的先天漏洞從底層發(fā)起的正常協(xié)議的攻擊，KillNet是一款比較簡單的局域網(wǎng)ARP攻擊工具，本程序可以模擬局域網(wǎng)ARP攻擊，可以偽裝IP地址。VuS紅軟基地

如何防止內網(wǎng)ARP攻擊

我不推薦大家使用靜態(tài)IP地址和MAC地址的綁定，這會帶來更多的管理負荷。你可以利用ISA Server強大的身份驗證功能，結合IP地址來進行管理，這樣具有更好的效果。也請不要在論壇問我ARP命令是如何使用的，Windows的幫助是最好的老師。VuS紅軟基地
1 ．檢查本機的“ ARP 欺騙”木馬染毒進程同時按住鍵盤上的“ CTRL ”和“ ALT ”鍵再按“ DEL ”鍵，選擇“任務管理器”，點選“進程”標簽。察看其中是否有一個名為“ MIR0.dat ”的進程。如果有，則說明已經中毒。右鍵點擊此進程后選擇“結束進程”。參見右圖。VuS紅軟基地
2 ．檢查網(wǎng)內感染“ ARP 欺騙”木馬染毒的計算機在“開始” - “程序” - “附件”菜單下調出“命令提示符”。輸入并執(zhí)行以下命令：ipconfig記錄網(wǎng)關 IP 地址，即“ Default Gateway ”對應的值，例如“ 59.66.36.1 ”。再輸入并執(zhí)行以下命令：arp –a在“ Internet Address ”下找到上步記錄的網(wǎng)關 IP 地址，記錄其對應的物理地址，即“ Physical Address ”值，例如“ 00-01-e8-1f-35-54 ”。在網(wǎng)絡正常時這就是網(wǎng)關的正確物理地址，在網(wǎng)絡受“ ARP 欺騙”木馬影響而不正常時，它就是木馬所在計算機的網(wǎng)卡物理地址。也可以掃描本子網(wǎng)內的全部 IP 地址，然后再查 ARP 表。如果有一個 IP 對應的物理地址與網(wǎng)關的相同，那么這個 IP 地址和物理地址就是中毒計算機的 IP 地址和網(wǎng)卡物理地址。VuS紅軟基地
3 ．設置 ARP 表避免“ ARP 欺騙”木馬影響的方法本方法可在一定程度上減輕中木馬的其它計算機對本機的影響。用上邊介紹的方法確定正確的網(wǎng)關 IP 地址和網(wǎng)關物理地址，然后在 “命令提示符”窗口中輸入并執(zhí)行以下命令：arp –s 網(wǎng)關 IP 網(wǎng)關物理地址4.態(tài)ARP綁定網(wǎng)關VuS紅軟基地
步驟一：   在能正常上網(wǎng)時，進入MS-DOS窗口，輸入命令：arp －a，查看網(wǎng)關的IP對應的正確MAC地址， 并將其記錄下來。   注意：如果已經不能上網(wǎng)，則先運行一次命令arp －d將arp緩存中的內容刪空，計算機可暫時恢復上網(wǎng)（攻擊如果不停止的話）。一旦能上網(wǎng)就立即將網(wǎng)絡斷掉（禁用網(wǎng)卡或拔掉網(wǎng)線），再運行arp －a。VuS紅軟基地
步驟二：   如果計算機已經有網(wǎng)關的正確MAC地址，在不能上網(wǎng)只需手工將網(wǎng)關IP和正確的MAC地址綁定，即可確保計算機不再被欺騙攻擊。   要想手工綁定，可在MS-DOS窗口下運行以下命令：   arp －s 網(wǎng)關IP 網(wǎng)關MACVuS紅軟基地
例如：假設計算機所處網(wǎng)段的網(wǎng)關為192.168.1.1，本機地址為192.168.1.5，在計算機上運行arp －a后輸出如下：VuS紅軟基地
Cocuments and Settings>arp -aVuS紅軟基地
Interface:192.168.1.5 --- 0x2VuS紅軟基地
Internet Address   192.168.1.1VuS紅軟基地
Physical Address Type     00-01-02-03-04-05VuS紅軟基地
dynamicVuS紅軟基地
其中，00-01-02-03-04-05就是網(wǎng)關192.168.1.1對應的MAC地址，類型是動態(tài)（dynamic）的，因此是可被改變的。   被攻擊后，再用該命令查看，就會發(fā)現(xiàn)該MAC已經被替換成攻擊機器的MAC。如果希望能找出攻擊機器，徹底根除攻擊，可以在此時將該MAC記錄下來，為以后查找該攻擊的機器做準備。VuS紅軟基地
4.手工綁定的命令為：   arp －s 192.168.1.1   00-01-02-03-04-05   綁定完，可再用arp －a查看arp緩存：   Cocuments and Settings>arp -a   Interface: 192.168.1.5 --- 0x2   Internet Address Physical Address Type   192.168.1.1   00-01-02-03-04-05 static   這時，類型變?yōu)殪o態(tài)（static），就不會再受攻擊影響了。   但是，需要說明的是，手工綁定在計算機關機重啟后就會失效，需要再次重新綁定。所以，要徹底根除攻擊，只有找出網(wǎng)段內被病毒感染的計算機，把病毒殺掉，才算是真正解決問題。VuS紅軟基地
5 .作批處理文件   在客戶端做對網(wǎng)關的arp綁定，具體操作步驟如下：VuS紅軟基地
步驟一：   查找本網(wǎng)段的網(wǎng)關地址，比如192．168．1．1，以下以此網(wǎng)關為例。在正常上網(wǎng)時，“開始→運行→cmd→確定”，輸入：arp －a，點回車，查看網(wǎng)關對應的Physical Address。比如：網(wǎng)關192.168.1.1 對應00－01－02－03－04－05。VuS紅軟基地
步驟二：   編寫一個批處理文件rarp.bat，內容如下：   @echo off   arp －d   arp -s   192.168.1.1   00－01－02－03－04－05   保存為：rarp.bat。VuS紅軟基地
步驟三：   運行批處理文件將這個批處理文件拖到“Windows→開始→程序→啟動”中，如果需要立即生效，請運行此文件。 VuS紅軟基地

軟件截圖

VuS紅軟基地