有些木马或是一些骇客总是使用本地网卡上的网关来做欺骗。网关是通往外网或是和不同网络互联的一个中间设备。

      而通过添加路由表中的记录，设置优先级高于网关默认路由，那么网关的路由在级别高的路由可用时将不会生效。

      施行方法：1.先手动修改客户机的网关地址为任意ip地址，最好是同一网段中，没使用的一个IP，以免被怀疑。
                
                2.手动添加或是通过批处理，或是脚本来添加永久对出口路由。
      
     此中方法可以欺骗过大部份，菜鸟或是所谓的骇客和大部份ARP欺骗木马。

     缺点是： 如果以后网关以后网卡或是机器改变。那么以后还得重新修改已有得路由。

      route delete 0.0.0.0  －－－－－删除到默认得路由

      route add 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1  －－－ 添加路由

      route add -p 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1 ------参数-p 就是添加永久的记录。

      route change   －－修改路由
　　
     http://www.99191.com/dispbbs.asp?BoardID=33&ID=2631&replyID=6840&skin=1
    方法 三

   1. 如果你但前使用得交换机器有网卡和MAC地址绑定功能，那么将你所在得网得IP地址和MAC 地址进行绑定。

     但有时候，我们可能没有这些设备那么要想做就很困难了。

    另类方法思路－－如何全面解决让ARP欺骗，ARP木马无法在本机器安装,运行。

    大部分监控，arp 欺骗软件，都会使用到一个winpcap驱动。那么现在的思路就是让其无法在本地计算机安装。

    这样arp欺骗软件就无法被使用了使用了，此方法可以用于任何程序的安装。

    需要的条件：

    1.所在的系统盘为NTFS 分区格式。
    2.知道所要安装的文件所要在系统中生成的文件。
    3.使用注册表和文件安装监视软件来监视安装所生成的文件。

   方法四：

   利用些别人做好的ARP 监控工具。  
    。
实验：
    
   作业：
          1.使用arp -s 来添加一条arp静态记录，使用arp -a 查看添加的记录。使用arp -d 来删除刚添加的那条记录

          2.使用route print 来查看现有的路由表，使用route add -p 来添加一条永久记录，最后使用route delete来删除刚建的那条记录。

          3.使用组策略禁止本地系统中的记事本程序。

          4.利用注册表和文件安装监视软件，来查找组策略中设置后，对注册表中键值的修改。
    
          并通过修改注册表，禁止记事本软件（notepad.exe）的执行。

天下网管联盟 http://www.99119.com

作者:追风