1、网上银行、游戏及QQ账号的频繁丢失
一些人为了获取非法利益,利用ARP欺骗程序在网内进行非法活动,此类程序的主要目的在于破解账号登陆时的加密解密算法,通过截取局域网中的数
据包,然后以分析数据通讯协议的方法截获用户的信息。运行这类木马病毒,就可以获得整个局域网中上网用户账号的详细信息并盗取。
2、网速时快时慢,极其不稳定,但单机进行光纤数据测试时一切正常
当局域内的某台计算机被ARP的欺骗程序非法侵入后,它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包,阻塞网络通道,
造成网络设备的承载过重,导致网络的通讯质量不稳定。
3、局域网内频繁性区域或整体掉线,重启计算机或网络设备后恢复正常
当带有ARP欺骗程序的计算机在网内进行通讯时,就会导致频繁掉线,出现此类问题后重启计算机或禁用网卡会暂时解决问题,但掉线情况还会发生。
2008年11月11日星期二
ARP透视——传统的几种解决ARP问题的方式
方案一:
过滤局域网的IP,关闭高危险的端口,关闭共享。升级系统补丁,升级杀毒软件。
安装防火墙,设置防ARP的选项。
微软ISA防火墙功能强大,可是很占系统资源。
配置服务器是Linux的强项,当然能阻止部分ARP危害网络。但是从根本上并没有解决掉ARP的问题,长时间超负荷运转对硬件的损害也显而易见。
方案二:
发现乱发 ARP包的主机后,即通过路由器、硬件防火墙等设备在网关上阻止与其它主机通信。迅速找到主机,断开其网络连接。检查机器是因为病毒木马
发送ARP包破坏网络环境,还是人为的使用ARP的网络管理软件。既然是使用的网络管理软件,先得询问使用者是否有管理网络的特权。既然没有特权又为
何管理、控制网络呢?
方案三:
通过高档路由器进行双向绑定,即从路由器方面对从属客户机IP-MAC地址进行绑定,同时从客户机方面对路由器进行IP-MAC地址绑定,双向绑定让IP 不容
易被欺骗。这种方案的实施比较烦琐,在客户机器或路由器更改硬件时,需要对全网进行重新的MAC地址扫描并重新绑定,工作量巨大。所取得的效果,仅
仅可以防御住一些低端的ARP欺骗,对于攻击型ARP软件则无任何作用。
方案四:
使用ARP防护软件,针对ARP欺骗攻击的软件在网络中很多,但具体的效果却一直不理想。多数软件单单针对ARP欺骗攻击的某一方面特性进行制作抵御软件
的原理,并没有从根本上去考虑ARP欺骗攻击的产生与传播方式。所以,这些软件在ARP防范领域影响甚微。
针对上述几种常见的传统防范ARP的方法,都有各自的优点,但是也都曝漏了其局限性,并不都可以完全解决ARP欺骗攻击。网络中多台主机同时高频率的
发送 ARP广播,会很轻易的造成网络瘫痪、路由器死机,使其它主机响应迟缓,甚至造成系统停止响应(假死)。如果是ARP木马,还会进行传播,同时感
染其它网络中的其它主机,产生众多主机同时中毒的现象。
过滤局域网的IP,关闭高危险的端口,关闭共享。升级系统补丁,升级杀毒软件。
安装防火墙,设置防ARP的选项。
微软ISA防火墙功能强大,可是很占系统资源。
配置服务器是Linux的强项,当然能阻止部分ARP危害网络。但是从根本上并没有解决掉ARP的问题,长时间超负荷运转对硬件的损害也显而易见。
方案二:
发现乱发 ARP包的主机后,即通过路由器、硬件防火墙等设备在网关上阻止与其它主机通信。迅速找到主机,断开其网络连接。检查机器是因为病毒木马
发送ARP包破坏网络环境,还是人为的使用ARP的网络管理软件。既然是使用的网络管理软件,先得询问使用者是否有管理网络的特权。既然没有特权又为
何管理、控制网络呢?
方案三:
通过高档路由器进行双向绑定,即从路由器方面对从属客户机IP-MAC地址进行绑定,同时从客户机方面对路由器进行IP-MAC地址绑定,双向绑定让IP 不容
易被欺骗。这种方案的实施比较烦琐,在客户机器或路由器更改硬件时,需要对全网进行重新的MAC地址扫描并重新绑定,工作量巨大。所取得的效果,仅
仅可以防御住一些低端的ARP欺骗,对于攻击型ARP软件则无任何作用。
方案四:
使用ARP防护软件,针对ARP欺骗攻击的软件在网络中很多,但具体的效果却一直不理想。多数软件单单针对ARP欺骗攻击的某一方面特性进行制作抵御软件
的原理,并没有从根本上去考虑ARP欺骗攻击的产生与传播方式。所以,这些软件在ARP防范领域影响甚微。
针对上述几种常见的传统防范ARP的方法,都有各自的优点,但是也都曝漏了其局限性,并不都可以完全解决ARP欺骗攻击。网络中多台主机同时高频率的
发送 ARP广播,会很轻易的造成网络瘫痪、路由器死机,使其它主机响应迟缓,甚至造成系统停止响应(假死)。如果是ARP木马,还会进行传播,同时感
染其它网络中的其它主机,产生众多主机同时中毒的现象。
ARP透视——ARP欺骗,骗的是什么?
主持人:大家好,今天的主题是《ARP欺骗,骗的是什么?》很高兴邀请到我们的嘉宾资深网络技术专家张先生,为我们解答问题。
张:谢谢主持人。
主持人:他的title虽然是营销总监,但是也有深厚的功底,相信他今天给我们带来精采的解答。
前一段时间,有一件事情被炒得非常火热,就是MSN被监听。实际上媒体也对MSN的监听软件做了报告,实际上它并不是非常容易被使用。但是网上后来又
出了叫停类的文章,是说MSN Messenger是配合ARP欺骗软件,就起到了它原本应该有的作用。我们想问一下张先生,ARP欺骗到底是什么样的技术?
张:ARP欺骗我们必须从它的名词来讲。ARP欺骗它是一个地址解读的协议。地址解读协议是什么意思呢?在我们互联网上面,最常用的协议是TCPIP,就是传
输的协议。IP就是所谓定址的协议。好比我们用哪一栋大楼,在什么地方,在网络上就是使用IP地址来定的。但是在实体上,我们大家都知道,在每一台
电脑上都有实体的地址。IP地址是网络的一个地址。ARP就是让这两个地址跟IP地址产生关联的一个协议。也就是说,我怎么知道哪一台IP在什么位置呢?
就是透过ARP去先地方他的IP地方在哪里,再把这个侦发过去。像MSN是怎么欺骗的呢?在局域网里面,我这个侦或者这个包本来要发到某一个IP,这个IP
对的机器是A机器。它骗你这个IP对应的是第一台机器。你就以为这个包要发到另外一台机器去。这就是所谓ARP欺骗的基本想法和思维。
主持人:ARP欺骗对于我们局域网的一些应用看来是很危险的。
张:我从各地,从东莞,温州、宁波,在中国,普遍发现ARP欺骗影响,在早期是网吧。它就是让这个网吧掉线。其实我们早期发现的时候,刚刚主持人讲
的一些应用就是所谓的MSN监听。在所谓的MSN,并没有做特殊的加密。有些人就想了一些机制去监听。其实ARP最早的应用就是在网络上盗取密码的。就是
有一些在网吧里的用户,用ARP欺骗。另外一个用户在输入用户名和密码的时候,就欺骗他的这台机器说,我的机器是路由器,他会把用户名的密码送到我
这台机器里面。他就可以把这个用户名和密码解读出来。等用户没有上网的时候,他就可以把这个宝盗走。后来慢慢我们发现,很多用户用这个功能,在
这个上面做了很多的隐身,变得一发不可收拾。本来我大概可以用三秒、五秒,后来就产生了很多隐身和变形,造成网断线。因为应用的软件失控了,他
就可以在某一台机器上不断做这个欺骗的动作。
主持人:ARP欺骗软件运行同时,为什么会造成频繁的断线呢?
张:在我们以局域网运作来讲,我们有两种方式的传输。一种对外传,就是我的用户有一个需求,他透过路由器对外界传送。这个时候,这是一种。另外一
种是回传。当有用户在网络上假装他自己是路由器的时候,用户往外传的包或者侦就会送到假的用户去。这个软件就会有一来、一回持续的运作。当你今
天碰到ARP欺骗的时候,你就会发现你送去给他,他那边没有回应。用户就觉得是掉线或者断线。严重的时候,就会把其他的应用,也没有办法应用了。所
以就感觉到大幅度掉线或者断线的功能。
主持人:实际上就是造成断线的假象。
张:实际上也真的断线了。就像我今天跟你在讲话,但是你听不到我讲话的声音。我的服务器也不知道我在跟他讲什么话。另外一个人听到话,只是把它窃
取下来,记录下来,并没有给我回应。就是这样的现象。
主持人:刚才也说老了ARP欺骗最早可以用于盗取用户的一些密码、一些敏感信息。现在我们知道,所有未加密的传送的软件,都应用配合一些应用工具监
听的。能不能再给我们介绍一下,配合ARP欺骗使用,还有什么所谓的黑客行为呢?
张:盗宝是最主要的,另外就是监听。当ARP欺骗,可能配合其他的一些软件功能这样子的。我们发现,在局域网里面,想盗取一些ARP,或者无线网络里面
,基本上都是用局域网的特性叫广播。广播,像我们刚才提到的ARP欺骗为什么可以成型?在每一个计算机里面,都存了一个IP地址的对应表。但是每台机
器的内存有限,当这个表不够的时候,会传一个广播信息。比如今天我要送给一个IP地址,我就问这个IP在哪里?问出来,所有人都会接受。假如在标准正
常的运作里面,大家知道我不是这个,我不用回应。但是路由器知道,这个东西不是这个网域里面,不用送。如果是假装这个IP地址的话,你就会产生一
种误解。其实这种比较重大的威胁,我们看到无线这边,有人利用这个特性,做一些相关的动作。
主持人:也就是说,在无线或者有限的局域网里面,你所做的一些行为,都可以用黑客软件配合ARP监控软件进行欺骗,截取。
张:有一些比较低阶段的应用就是所谓的监听。如果在对于这些软件做进一步的分析,比如我这个软件送的时候是什么需求,回来的时候是什么需求。他可
以用另外一个目标把你所有的动作都拦截回去。如果今天对方知道,像一个交易,他知道第一笔是什么,第二笔是什么,他把所有的资料都送过去。他也
可以把你的讯息拦截走,再转送到服务器,再转送回来。这样的隐身就变成了蛮复杂的状况在应用。这也是各地对ARP效果影响越来越大的原因。
主持人:这个是一般用户来说,也是蛮头疼的问题。
张:用户因为不小心,用了一些软件,或者在PC里面点了一些MSN的连接等等,把这个程序启动了,他会发现自己渐渐受到了影响。像今天早上我们的技术
支持跟我们说,湖北一些网吧,几乎没有人上网了。因为上不了网。
主持人:像有这种加密的软件传送,信息也是能被黑客截取。只是截取后看不到内容?
张:是的。
主持人:前一阵子出有一个msn chat sniffer这样的软件,发现每一台机器都受到了扫描攻击。后来我们分析,是中了病毒还是木马这类东西呢?
张:其实在早期里面,ARP的很多功能,像陀螺仪木马这样的功能期在一起。在早期的ARP,只是黑客用来盗取密码,用了三、五秒钟。当你输入用户名和密
码的时候,另外一个用户发现没有回应,他会再输一次。但是因为这些ARP的功能跟其他的木马或者其他的城市,或者网络上的连接、病毒结合在一起,所
以造成很大规模的影响,断线或者掉线。像你刚刚提到的状况,这个用户可能不知道自己在做这样的事情,这是典型的病毒,这是病毒跟ARP结合的典型现
象。
主持人:他能通过ARP欺骗的病毒做什么呢?
张:ARP欺骗的病毒做到现在,对于制作的人或者散布的人没有什么太大的作用,纯粹是破坏的工具。因为ARP可以收集网络上广播的包,如果进一步的应用
,肯定会有很多的黑客在思考这个问题。因为网络上的特性属于来回,属于协议这样的状况,如果你好好利用,好的方向能保持网络顺畅,不好的方向可
以拦截任何他需要的资讯。
主持人:从今年开始,在病毒这边应该是说黑客已经从最早的表现欲,已经转变成有目的性的盈利的目标,也就是说,ARP欺骗很可能被成为黑客盈利的手
段。
张:你怎么样发生ARP欺骗的状况,我们必须从原理开始讲。最简单的就是叫做ARP跟IP地址的对照表。我们有一些文章描述到,你可以对这个网络进行扫描
。像这个ARP的对照表,可以对这个网络进行扫描。当你发现某一个对应IP地址的话,正常是一对一的关系,如果发现一对多的方式那就是异常的情况。回
到我们刚刚讲的,预防ARP。我们必须建立地址跟IP的固定关系。因为它会欺骗你。我们现在所谓绑定的功能,我们刚才讲了有两个方向做绑定,一个是路
由器的部分,你必须把内部的所有的机器,IP地址做一个绑定。我们想了一些功能,可以让它作后面做激活的动作把它绑定。
很多用户发现我只要在路由器这边做好了就行了,在终端这边就不用做了。但是这样的话,会发生部分的现象。所以在用户这边有所谓的ARP—S的功能,
你把你的路由器的位置,也做绑定。这样送给路由器的包就不会被别人拦截去。我们刚才谈到了两个方向,一个是所谓的路由器端做绑定,就是所有机器
的IP地址。另外是用户端也要绑定,绑的是路由器的IP,跟路由器的地址。实际上我们最近发现另外一个现象,就是对于中毒的这台机器还有另外的处理
方式。中毒的这台机器,虽然你针对每台机器绑定,但是这个设定从开机以后,就失效了。所以我们建议用户把它写到启动的档案里面。每次开机的时候
激活这个功能。
另外中毒的这台机器,虽然绑定了,但是它内部已经有病毒了。虽然绑定了,但是它可以每秒快速写它的ARP。这时候他对别人没有办法造成危害。因为别
人已经把路由器跟这个机器的位置写得很确定了。对这台上网的人还是有很多的困扰。我们这种传统的绑定功能可以给他快速的写。写到一秒两百次这样
的速度。我们现在看到比较好的做法,就是把藏在里面的病毒去除掉,或者整个机器都要清理一下病毒。这是我们现在比较完整的处理方式。
主持人:真的是很精彩的解答。如果我只对我个人的PC机做了绑定,路由那端没有做绑定,还会不会受到ARP欺骗?
张:在个人这边做绑定,你可以确保你往路由送的包,确定会送到路由这边去。但是路由送回来的时候,他可以在半路拦截。告诉你路由器不要送给它,送
给我吧。就把这个包拦截过去了。所以我们刚才谈到要双向的包要严密。现在有些网吧如果做单方面的绑定是不行的。
主持人:很多人认为我一边绑定就可以了,实际上还是需要双方相的绑定。河北前一段时间某公司,采用了贵公司的产品,和网吧结合出现了一些问题。请
问有一些什么具体的问题吗?
张:在早期的路由器的版本里面,也许没有这样的绑定的功能。所以它就会产生掉线或者不稳定的状况。
主持人:看来防范ARP还不是说用户个人的行为能够解决的,还需要网管和用户一起来解决。
张:这个对网管而言是比较全面、头疼的工作。其实对于网管而言比较复杂的地方在这边,就是你如果一次把所有局域网上的IP地址找出来的话,你必须要
借助一些工具。不是现成的机器就可以做的。必须在网络上下载。就是msn chat sniffer,或者其他的工具。还有一些行动的工作者,比如笔记本电脑来
了,你没有设在里面,这台就发生了这样的问题。
主持人:不光是技术的问题,还牵涉到安全管理的问题。所以说ARP欺骗可以说是无法彻底解决的问题。可以这么说吗?
张:在网络上有人提到,这个是在协议上的弱点。但是我想说从技术的观点来讲,实际上有不同的方案可以解决。在一些做路由器产品或者相关软件的,或
者做防毒的,大家都可以针对这个特性。早期大家不是很了解,慢慢大家针对刚刚的特性,就是所有IP地址的绑定,你去给它更好的局限。在早期因为很
开放,所以我在广播。但是因为发生这样的问题,所以将来不管在嵌入的时候,或者在网络上广播的时候,不同的软件会做更多的规范,会降低这样的现
象。
主持人:谢谢关先生精彩的发言。我们中场休息一下。我们再收集一下网友的提问,下半节请张先生回答。
张:谢谢主持人。
主持人:他的title虽然是营销总监,但是也有深厚的功底,相信他今天给我们带来精采的解答。
前一段时间,有一件事情被炒得非常火热,就是MSN被监听。实际上媒体也对MSN的监听软件做了报告,实际上它并不是非常容易被使用。但是网上后来又
出了叫停类的文章,是说MSN Messenger是配合ARP欺骗软件,就起到了它原本应该有的作用。我们想问一下张先生,ARP欺骗到底是什么样的技术?
张:ARP欺骗我们必须从它的名词来讲。ARP欺骗它是一个地址解读的协议。地址解读协议是什么意思呢?在我们互联网上面,最常用的协议是TCPIP,就是传
输的协议。IP就是所谓定址的协议。好比我们用哪一栋大楼,在什么地方,在网络上就是使用IP地址来定的。但是在实体上,我们大家都知道,在每一台
电脑上都有实体的地址。IP地址是网络的一个地址。ARP就是让这两个地址跟IP地址产生关联的一个协议。也就是说,我怎么知道哪一台IP在什么位置呢?
就是透过ARP去先地方他的IP地方在哪里,再把这个侦发过去。像MSN是怎么欺骗的呢?在局域网里面,我这个侦或者这个包本来要发到某一个IP,这个IP
对的机器是A机器。它骗你这个IP对应的是第一台机器。你就以为这个包要发到另外一台机器去。这就是所谓ARP欺骗的基本想法和思维。
主持人:ARP欺骗对于我们局域网的一些应用看来是很危险的。
张:我从各地,从东莞,温州、宁波,在中国,普遍发现ARP欺骗影响,在早期是网吧。它就是让这个网吧掉线。其实我们早期发现的时候,刚刚主持人讲
的一些应用就是所谓的MSN监听。在所谓的MSN,并没有做特殊的加密。有些人就想了一些机制去监听。其实ARP最早的应用就是在网络上盗取密码的。就是
有一些在网吧里的用户,用ARP欺骗。另外一个用户在输入用户名和密码的时候,就欺骗他的这台机器说,我的机器是路由器,他会把用户名的密码送到我
这台机器里面。他就可以把这个用户名和密码解读出来。等用户没有上网的时候,他就可以把这个宝盗走。后来慢慢我们发现,很多用户用这个功能,在
这个上面做了很多的隐身,变得一发不可收拾。本来我大概可以用三秒、五秒,后来就产生了很多隐身和变形,造成网断线。因为应用的软件失控了,他
就可以在某一台机器上不断做这个欺骗的动作。
主持人:ARP欺骗软件运行同时,为什么会造成频繁的断线呢?
张:在我们以局域网运作来讲,我们有两种方式的传输。一种对外传,就是我的用户有一个需求,他透过路由器对外界传送。这个时候,这是一种。另外一
种是回传。当有用户在网络上假装他自己是路由器的时候,用户往外传的包或者侦就会送到假的用户去。这个软件就会有一来、一回持续的运作。当你今
天碰到ARP欺骗的时候,你就会发现你送去给他,他那边没有回应。用户就觉得是掉线或者断线。严重的时候,就会把其他的应用,也没有办法应用了。所
以就感觉到大幅度掉线或者断线的功能。
主持人:实际上就是造成断线的假象。
张:实际上也真的断线了。就像我今天跟你在讲话,但是你听不到我讲话的声音。我的服务器也不知道我在跟他讲什么话。另外一个人听到话,只是把它窃
取下来,记录下来,并没有给我回应。就是这样的现象。
主持人:刚才也说老了ARP欺骗最早可以用于盗取用户的一些密码、一些敏感信息。现在我们知道,所有未加密的传送的软件,都应用配合一些应用工具监
听的。能不能再给我们介绍一下,配合ARP欺骗使用,还有什么所谓的黑客行为呢?
张:盗宝是最主要的,另外就是监听。当ARP欺骗,可能配合其他的一些软件功能这样子的。我们发现,在局域网里面,想盗取一些ARP,或者无线网络里面
,基本上都是用局域网的特性叫广播。广播,像我们刚才提到的ARP欺骗为什么可以成型?在每一个计算机里面,都存了一个IP地址的对应表。但是每台机
器的内存有限,当这个表不够的时候,会传一个广播信息。比如今天我要送给一个IP地址,我就问这个IP在哪里?问出来,所有人都会接受。假如在标准正
常的运作里面,大家知道我不是这个,我不用回应。但是路由器知道,这个东西不是这个网域里面,不用送。如果是假装这个IP地址的话,你就会产生一
种误解。其实这种比较重大的威胁,我们看到无线这边,有人利用这个特性,做一些相关的动作。
主持人:也就是说,在无线或者有限的局域网里面,你所做的一些行为,都可以用黑客软件配合ARP监控软件进行欺骗,截取。
张:有一些比较低阶段的应用就是所谓的监听。如果在对于这些软件做进一步的分析,比如我这个软件送的时候是什么需求,回来的时候是什么需求。他可
以用另外一个目标把你所有的动作都拦截回去。如果今天对方知道,像一个交易,他知道第一笔是什么,第二笔是什么,他把所有的资料都送过去。他也
可以把你的讯息拦截走,再转送到服务器,再转送回来。这样的隐身就变成了蛮复杂的状况在应用。这也是各地对ARP效果影响越来越大的原因。
主持人:这个是一般用户来说,也是蛮头疼的问题。
张:用户因为不小心,用了一些软件,或者在PC里面点了一些MSN的连接等等,把这个程序启动了,他会发现自己渐渐受到了影响。像今天早上我们的技术
支持跟我们说,湖北一些网吧,几乎没有人上网了。因为上不了网。
主持人:像有这种加密的软件传送,信息也是能被黑客截取。只是截取后看不到内容?
张:是的。
主持人:前一阵子出有一个msn chat sniffer这样的软件,发现每一台机器都受到了扫描攻击。后来我们分析,是中了病毒还是木马这类东西呢?
张:其实在早期里面,ARP的很多功能,像陀螺仪木马这样的功能期在一起。在早期的ARP,只是黑客用来盗取密码,用了三、五秒钟。当你输入用户名和密
码的时候,另外一个用户发现没有回应,他会再输一次。但是因为这些ARP的功能跟其他的木马或者其他的城市,或者网络上的连接、病毒结合在一起,所
以造成很大规模的影响,断线或者掉线。像你刚刚提到的状况,这个用户可能不知道自己在做这样的事情,这是典型的病毒,这是病毒跟ARP结合的典型现
象。
主持人:他能通过ARP欺骗的病毒做什么呢?
张:ARP欺骗的病毒做到现在,对于制作的人或者散布的人没有什么太大的作用,纯粹是破坏的工具。因为ARP可以收集网络上广播的包,如果进一步的应用
,肯定会有很多的黑客在思考这个问题。因为网络上的特性属于来回,属于协议这样的状况,如果你好好利用,好的方向能保持网络顺畅,不好的方向可
以拦截任何他需要的资讯。
主持人:从今年开始,在病毒这边应该是说黑客已经从最早的表现欲,已经转变成有目的性的盈利的目标,也就是说,ARP欺骗很可能被成为黑客盈利的手
段。
张:你怎么样发生ARP欺骗的状况,我们必须从原理开始讲。最简单的就是叫做ARP跟IP地址的对照表。我们有一些文章描述到,你可以对这个网络进行扫描
。像这个ARP的对照表,可以对这个网络进行扫描。当你发现某一个对应IP地址的话,正常是一对一的关系,如果发现一对多的方式那就是异常的情况。回
到我们刚刚讲的,预防ARP。我们必须建立地址跟IP的固定关系。因为它会欺骗你。我们现在所谓绑定的功能,我们刚才讲了有两个方向做绑定,一个是路
由器的部分,你必须把内部的所有的机器,IP地址做一个绑定。我们想了一些功能,可以让它作后面做激活的动作把它绑定。
很多用户发现我只要在路由器这边做好了就行了,在终端这边就不用做了。但是这样的话,会发生部分的现象。所以在用户这边有所谓的ARP—S的功能,
你把你的路由器的位置,也做绑定。这样送给路由器的包就不会被别人拦截去。我们刚才谈到了两个方向,一个是所谓的路由器端做绑定,就是所有机器
的IP地址。另外是用户端也要绑定,绑的是路由器的IP,跟路由器的地址。实际上我们最近发现另外一个现象,就是对于中毒的这台机器还有另外的处理
方式。中毒的这台机器,虽然你针对每台机器绑定,但是这个设定从开机以后,就失效了。所以我们建议用户把它写到启动的档案里面。每次开机的时候
激活这个功能。
另外中毒的这台机器,虽然绑定了,但是它内部已经有病毒了。虽然绑定了,但是它可以每秒快速写它的ARP。这时候他对别人没有办法造成危害。因为别
人已经把路由器跟这个机器的位置写得很确定了。对这台上网的人还是有很多的困扰。我们这种传统的绑定功能可以给他快速的写。写到一秒两百次这样
的速度。我们现在看到比较好的做法,就是把藏在里面的病毒去除掉,或者整个机器都要清理一下病毒。这是我们现在比较完整的处理方式。
主持人:真的是很精彩的解答。如果我只对我个人的PC机做了绑定,路由那端没有做绑定,还会不会受到ARP欺骗?
张:在个人这边做绑定,你可以确保你往路由送的包,确定会送到路由这边去。但是路由送回来的时候,他可以在半路拦截。告诉你路由器不要送给它,送
给我吧。就把这个包拦截过去了。所以我们刚才谈到要双向的包要严密。现在有些网吧如果做单方面的绑定是不行的。
主持人:很多人认为我一边绑定就可以了,实际上还是需要双方相的绑定。河北前一段时间某公司,采用了贵公司的产品,和网吧结合出现了一些问题。请
问有一些什么具体的问题吗?
张:在早期的路由器的版本里面,也许没有这样的绑定的功能。所以它就会产生掉线或者不稳定的状况。
主持人:看来防范ARP还不是说用户个人的行为能够解决的,还需要网管和用户一起来解决。
张:这个对网管而言是比较全面、头疼的工作。其实对于网管而言比较复杂的地方在这边,就是你如果一次把所有局域网上的IP地址找出来的话,你必须要
借助一些工具。不是现成的机器就可以做的。必须在网络上下载。就是msn chat sniffer,或者其他的工具。还有一些行动的工作者,比如笔记本电脑来
了,你没有设在里面,这台就发生了这样的问题。
主持人:不光是技术的问题,还牵涉到安全管理的问题。所以说ARP欺骗可以说是无法彻底解决的问题。可以这么说吗?
张:在网络上有人提到,这个是在协议上的弱点。但是我想说从技术的观点来讲,实际上有不同的方案可以解决。在一些做路由器产品或者相关软件的,或
者做防毒的,大家都可以针对这个特性。早期大家不是很了解,慢慢大家针对刚刚的特性,就是所有IP地址的绑定,你去给它更好的局限。在早期因为很
开放,所以我在广播。但是因为发生这样的问题,所以将来不管在嵌入的时候,或者在网络上广播的时候,不同的软件会做更多的规范,会降低这样的现
象。
主持人:谢谢关先生精彩的发言。我们中场休息一下。我们再收集一下网友的提问,下半节请张先生回答。
ARP透视——ARP欺骗的危害
作为一名网络管理员,应该明确的知道网络中的 ARP 列表,收集ARP列表信息。或者,为每台机器手工绑定IP地址,不允许客户机随意更改IP地址,将每
台机器的 IP --> MAC 信息保存为文件。
MAC地址:通过一些方法可以使网卡的MAC地址发生改变。所以不允许修改网卡的MAC地址。
IP地址与主机相对应。
xxxx_001 为系统保留,通常就是网关了。IP地址为xxx.xxx.xxx.1
例如:xxxx_002 这台主机的IP地址为局域网地址 xxx.xxx.xxx.2
ARP table
主机名 部门 IP地址 C地址
xxxx_002-xxx.xxx.xxx.xxx-xx-xx-xx-xx-xx-xx
xxxx_003-xxx.xxx.xxx.xxx-xx-xx-xx-xx-xx-xx
xxxx_004-xxx.xxx.xxx.xxx-xx-xx-xx-xx-xx-xx
xxxx_005-xxx.xxx.xxx.xxx-xx-xx-xx-xx-xx-xx
xxxx_006-xxx.xxx.xxx.xxx-xx-xx-xx-xx-xx-xx
xxxx_007-xxx.xxx.xxx.xxx-xx-xx-xx-xx-xx-xx
xxxx_008-xxx.xxx.xxx.xxx-xx-xx-xx-xx-xx-xx
xxxx_009-xxx.xxx.xxx.xxx-xx-xx-xx-xx-xx-xx
xxxx_011-xxx.xxx.xxx.xxx-xx-xx-xx-xx-xx-xx
xxxx_012-xxx.xxx.xxx.xxx-xx-xx-xx-xx-xx-xx
xxxx_013-xxx.xxx.xxx.xxx-xx-xx-xx-xx-xx-xx
ARP协议:
#### 源IP地址 --> 源MAC地址 ##### 将源IP地址解析为源MAC地址
#### 目标IP地址 --> 目标MAC地址 #### 将目标IP地址解析为目标MAC地址
RARP协议:
#### 源MAC地址 --> 源IP地址 #### 将源MAC地址解析为源IP地址
#### 目标MAC地址 --> 目标IP地址 #### 将目标MAC地址解析为目标IP地址
ARP攻击检测:
# ARP –a
查看本机ARP缓存 ,正常情况下第一栏打印本机IP地址,第二栏返回当前网关的IP地址和MAC地址。
正常模式:网络中只有一个网关,客户机 ARP 缓存只有一条 ARP 记录,并且这条记录是当前网关的IP --> MAC 的映射。
混杂模式:当ARP缓存中有多条IP -->MAC 的记录,说明当前为混杂模式,网的网关不是唯一的。
排除:在 SuSE Linux 系统中,如果使用ping命令ping网络中的另一台主机,再用 ARP -a 的命令查看本机ARP缓存会多出一条ARP记录。这条记录的源IP
地址就是刚才ping的那台主机的IP地址,源MAC地址就是刚才ping的那台主机的 MAC址址。
获取网络中的ARP信息:使用ping命令ping网络中的另一台主机,然后再使用ARP -a 或者是ARP -na 的命令可以查看到刚才ping的那台网络中的主机的 IP
和MAC地址的映射关系。注意,使用此方法获得的ARP信息不代表网络一定为混杂模式。如果网关路由工作正常,且有合法的公网地址
sled10:~ # ARP -na
(192.168.1.241) at 00:01:01:02:02:39 [ether] on eth0
(192.168.1.150) at 00:E0:4C:3A:1D:BC [ether] on eth0
(192.168.1.1) at 00:14:78:A1:7F:78 [ether] on eth0
sled10:~ #
能够访问广域网的情况下:
使用ping命令ping广域网上的一个域名
> 正常的现象 :
# ping www.qq.com
# ping www.baidu.com
# ping www.yahoo.com
sled10:~ # ping www.yahoo.com
PING www.yahoo-ht2.akadns.net (209.131.36.158) 56(84) bytes of data.
64 bytes from f1.www.vip.sp1.yahoo.com (209.131.36.158): ICMP_seq=1 ttl=51 time=1183 ms
64 bytes from f1.www.vip.sp1.yahoo.com (209.131.36.158): ICMP_seq=2 ttl=51 time=1458 ms
64 bytes from f1.www.vip.sp1.yahoo.com (209.131.36.158): ICMP_seq=3 ttl=51 time=1287 ms
64 bytes from f1.www.vip.sp1.yahoo.com (209.131.36.158): ICMP_seq=4 ttl=51 time=1185 ms
64 bytes from f1.www.vip.sp1.yahoo.com (209.131.36.158): ICMP_seq=5 ttl=51 time=934 ms
> 非正常情况:
分析ARP欺骗的原理
sled10:~ # ping www.qq.com
PING www.qq.com (61.172.240.44) 56(84) bytes of data.
From 192.168.1.241: ICMP_seq=237 Redirect Host(New nexthop: 192.168.1.1)
64 bytes from 61.172.240.45: ICMP_seq=237 ttl=53 time=25.6 ms
From 192.168.1.241: ICMP_seq=238 Redirect Host(New nexthop: 192.168.1.1)
64 bytes from 61.172.240.45: ICMP_seq=238 ttl=53 time=25.3 ms
From 192.168.1.241: ICMP_seq=239 Redirect Host(New nexthop: 192.168.1.1)
64 bytes from 61.172.240.45: ICMP_seq=239 ttl=53 time=25.6 ms
From 192.168.1.241: ICMP_seq=240 Redirect Host(New nexthop: 192.168.1.1)
64 bytes from 61.172.240.45: ICMP_seq=240 ttl=53 time=25.8 ms
From 192.168.1.241: ICMP_seq=241 Redirect Host(New nexthop: 192.168.1.1)
64 bytes from 61.172.240.45: ICMP_seq=241 ttl=53 time=26.0 ms
From 192.168.1.241: ICMP_seq=242 Redirect Host(New nexthop: 192.168.1.1)
From 192.168.1.241: ICMP_seq=240 Redirect Host(New nexthop: 192.168.1.1)
上面的 ping www.qq.com 后,从局域网的192.168.1.241返回一条ICMP包。
>>>
64 bytes from 61.172.240.45: ICMP_seq=239 ttl=53 time=25.6 ms
接着,从广域网返回一条ICMP包。
注意,正常的的情况下ping广域网的域名或IP地址应该只会收到广域网地址返回的ICMP包。
同时反覆的高频率的从局域网的一台主机返回的ICMP包属于非正常的情况。
.......................................................................................................
From 192.168.1.241: ICMP_seq=240 Redirect Host(New nexthop: 192.168.1.1)
Redirect: [ 'ri:di'rekt ]
a. 再直接的
v. 重新传入,重新寄送
英英解释:
动词redirect:
.......................................................................................................
注意!!
上面的英文解释是 “再连接的” ,也就是说每次ping广域网的一个域名都会先收到这个局域网内的机器的ICMP包。
这个ICMP包是 “再连接的”,也就是说不是始终连接的。只有当有网络请求时才会 “再次连接”,而不需要访问网络时就断开了连接或者说连接不起作
用。每次访问网络都需要和这台局域网中的机器连接,每发送一个ping包到广域网的一个域名(主机)都要通过这台局域网中的主机,每收到广域网的一
个域(地址)的ICMP包之前都必须通过这台局域网中的机器。都要通过这台局域网中的主机。那么这台主机就相当于网关了。但是,实际的网关并不是这
台主机。
正常工作的网关,不会出出如此高频率的 “重新传入” 、 “再次连接” 。
合理的解释:本机的ARP缓存正在被高频率的刷新。
造成本机的ARP缓存高频率刷新的原因就在于局域网中的这台主机使用了不断的高频率的向局域网中发送ARP包,不断的高频率的向网络中的机器告白:“
大家好!我就是网关,你们跟着我就能够有吃有喝了。”
台机器的 IP --> MAC 信息保存为文件。
MAC地址:通过一些方法可以使网卡的MAC地址发生改变。所以不允许修改网卡的MAC地址。
IP地址与主机相对应。
xxxx_001 为系统保留,通常就是网关了。IP地址为xxx.xxx.xxx.1
例如:xxxx_002 这台主机的IP地址为局域网地址 xxx.xxx.xxx.2
ARP table
主机名 部门 IP地址 C地址
xxxx_002-xxx.xxx.xxx.xxx-xx-xx-xx-xx-xx-xx
xxxx_003-xxx.xxx.xxx.xxx-xx-xx-xx-xx-xx-xx
xxxx_004-xxx.xxx.xxx.xxx-xx-xx-xx-xx-xx-xx
xxxx_005-xxx.xxx.xxx.xxx-xx-xx-xx-xx-xx-xx
xxxx_006-xxx.xxx.xxx.xxx-xx-xx-xx-xx-xx-xx
xxxx_007-xxx.xxx.xxx.xxx-xx-xx-xx-xx-xx-xx
xxxx_008-xxx.xxx.xxx.xxx-xx-xx-xx-xx-xx-xx
xxxx_009-xxx.xxx.xxx.xxx-xx-xx-xx-xx-xx-xx
xxxx_011-xxx.xxx.xxx.xxx-xx-xx-xx-xx-xx-xx
xxxx_012-xxx.xxx.xxx.xxx-xx-xx-xx-xx-xx-xx
xxxx_013-xxx.xxx.xxx.xxx-xx-xx-xx-xx-xx-xx
ARP协议:
#### 源IP地址 --> 源MAC地址 ##### 将源IP地址解析为源MAC地址
#### 目标IP地址 --> 目标MAC地址 #### 将目标IP地址解析为目标MAC地址
RARP协议:
#### 源MAC地址 --> 源IP地址 #### 将源MAC地址解析为源IP地址
#### 目标MAC地址 --> 目标IP地址 #### 将目标MAC地址解析为目标IP地址
ARP攻击检测:
# ARP –a
查看本机ARP缓存 ,正常情况下第一栏打印本机IP地址,第二栏返回当前网关的IP地址和MAC地址。
正常模式:网络中只有一个网关,客户机 ARP 缓存只有一条 ARP 记录,并且这条记录是当前网关的IP --> MAC 的映射。
混杂模式:当ARP缓存中有多条IP -->MAC 的记录,说明当前为混杂模式,网的网关不是唯一的。
排除:在 SuSE Linux 系统中,如果使用ping命令ping网络中的另一台主机,再用 ARP -a 的命令查看本机ARP缓存会多出一条ARP记录。这条记录的源IP
地址就是刚才ping的那台主机的IP地址,源MAC地址就是刚才ping的那台主机的 MAC址址。
获取网络中的ARP信息:使用ping命令ping网络中的另一台主机,然后再使用ARP -a 或者是ARP -na 的命令可以查看到刚才ping的那台网络中的主机的 IP
和MAC地址的映射关系。注意,使用此方法获得的ARP信息不代表网络一定为混杂模式。如果网关路由工作正常,且有合法的公网地址
sled10:~ # ARP -na
(192.168.1.241) at 00:01:01:02:02:39 [ether] on eth0
(192.168.1.150) at 00:E0:4C:3A:1D:BC [ether] on eth0
(192.168.1.1) at 00:14:78:A1:7F:78 [ether] on eth0
sled10:~ #
能够访问广域网的情况下:
使用ping命令ping广域网上的一个域名
> 正常的现象 :
# ping www.qq.com
# ping www.baidu.com
# ping www.yahoo.com
sled10:~ # ping www.yahoo.com
PING www.yahoo-ht2.akadns.net (209.131.36.158) 56(84) bytes of data.
64 bytes from f1.www.vip.sp1.yahoo.com (209.131.36.158): ICMP_seq=1 ttl=51 time=1183 ms
64 bytes from f1.www.vip.sp1.yahoo.com (209.131.36.158): ICMP_seq=2 ttl=51 time=1458 ms
64 bytes from f1.www.vip.sp1.yahoo.com (209.131.36.158): ICMP_seq=3 ttl=51 time=1287 ms
64 bytes from f1.www.vip.sp1.yahoo.com (209.131.36.158): ICMP_seq=4 ttl=51 time=1185 ms
64 bytes from f1.www.vip.sp1.yahoo.com (209.131.36.158): ICMP_seq=5 ttl=51 time=934 ms
> 非正常情况:
分析ARP欺骗的原理
sled10:~ # ping www.qq.com
PING www.qq.com (61.172.240.44) 56(84) bytes of data.
From 192.168.1.241: ICMP_seq=237 Redirect Host(New nexthop: 192.168.1.1)
64 bytes from 61.172.240.45: ICMP_seq=237 ttl=53 time=25.6 ms
From 192.168.1.241: ICMP_seq=238 Redirect Host(New nexthop: 192.168.1.1)
64 bytes from 61.172.240.45: ICMP_seq=238 ttl=53 time=25.3 ms
From 192.168.1.241: ICMP_seq=239 Redirect Host(New nexthop: 192.168.1.1)
64 bytes from 61.172.240.45: ICMP_seq=239 ttl=53 time=25.6 ms
From 192.168.1.241: ICMP_seq=240 Redirect Host(New nexthop: 192.168.1.1)
64 bytes from 61.172.240.45: ICMP_seq=240 ttl=53 time=25.8 ms
From 192.168.1.241: ICMP_seq=241 Redirect Host(New nexthop: 192.168.1.1)
64 bytes from 61.172.240.45: ICMP_seq=241 ttl=53 time=26.0 ms
From 192.168.1.241: ICMP_seq=242 Redirect Host(New nexthop: 192.168.1.1)
From 192.168.1.241: ICMP_seq=240 Redirect Host(New nexthop: 192.168.1.1)
上面的 ping www.qq.com 后,从局域网的192.168.1.241返回一条ICMP包。
>>>
64 bytes from 61.172.240.45: ICMP_seq=239 ttl=53 time=25.6 ms
接着,从广域网返回一条ICMP包。
注意,正常的的情况下ping广域网的域名或IP地址应该只会收到广域网地址返回的ICMP包。
同时反覆的高频率的从局域网的一台主机返回的ICMP包属于非正常的情况。
.......................................................................................................
From 192.168.1.241: ICMP_seq=240 Redirect Host(New nexthop: 192.168.1.1)
Redirect: [ 'ri:di'rekt ]
a. 再直接的
v. 重新传入,重新寄送
英英解释:
动词redirect:
.......................................................................................................
注意!!
上面的英文解释是 “再连接的” ,也就是说每次ping广域网的一个域名都会先收到这个局域网内的机器的ICMP包。
这个ICMP包是 “再连接的”,也就是说不是始终连接的。只有当有网络请求时才会 “再次连接”,而不需要访问网络时就断开了连接或者说连接不起作
用。每次访问网络都需要和这台局域网中的机器连接,每发送一个ping包到广域网的一个域名(主机)都要通过这台局域网中的主机,每收到广域网的一
个域(地址)的ICMP包之前都必须通过这台局域网中的机器。都要通过这台局域网中的主机。那么这台主机就相当于网关了。但是,实际的网关并不是这
台主机。
正常工作的网关,不会出出如此高频率的 “重新传入” 、 “再次连接” 。
合理的解释:本机的ARP缓存正在被高频率的刷新。
造成本机的ARP缓存高频率刷新的原因就在于局域网中的这台主机使用了不断的高频率的向局域网中发送ARP包,不断的高频率的向网络中的机器告白:“
大家好!我就是网关,你们跟着我就能够有吃有喝了。”
网吧频繁掉线(ARP)与解决方法
现在频繁掉线的网吧很多.但为何掉线.许多网管朋友.不是很清楚.网吧掉线的原因很多.现在我给大家讲一下现在很流行的一种木马.<传奇网吧杀手>.基本上东北地区的网吧都被这一木马弄的身心疲惫.但是现在有解决的方法了.
中病毒特征: 网吧不定时的掉线.(重启路由后正常),网吧局域网内有个别机器掉线.
木马分析 : 传奇杀手木马,是通过ARP欺骗,来或取局域网内发往外网的数据.从而截获局域内一些网游的用户名和密码.
木马解析:中木马的机器能虚拟出一个路由器的MAC地址和路由器的IP.当病毒发作时,局域网内就会多出一个路由器的MAC地址.内网在发往外网的 数据时,误认为中木马的机器是路由器,从而把这些数据发给了虚拟的路由器.真正路由器的MAC地址被占用.内网的数据发出不去.所以就掉线了.
解决办法:守先你下载一个网络执法官,他可以监控局域网内所有机器的MAC地址和局域网内的IP地址.在设置网络执法官时.你必须将网络执法官的 IP段设置和你内网的IP段一样.比如说:你的内网IP是192.168.1.1------192.168.1.254你的设置时也要设置 192.168.1.1------192.168.1.254.设置完后,你就会看到你的内网中的MAC地址和IP地址.从而可以看出哪台机器中了木 马.(在多出的路由器MAC地址和IP地址和内网机器的IP地址,MAC地址一样的说明中了传奇网吧杀手)要是不知道路由器的MAC地址,在路由器的设置 界面可以看到.发现木马后.你还要下载瑞星2006最新版的杀病毒软件(3月15日之后的病毒库).在下载完之后必须在安全模式下查杀(这是瑞星反病毒专 家的见意)反复查杀(一般在四次就可以了)注意查完后杀病毒软件不要卸载掉.观查几天(这是我个人的经验.在卸后第三天病毒还会死灰复燃,我想可能是注册 表里还有他的隐藏文件.在观查几天后正常就可以卸载掉了.
注:还原精灵和冰点对网吧传奇杀手木马不起做用.(传奇杀手木马不会感染局域网.不要用硬盘对克,对克跟本不起任何做用.而且还会感染到母盘上.切记!)
最好主机安装上网络执法官,这样可以时时监控局域网内的动态,发现木马后可以及时做出对策)
下面是传奇网吧杀手木马的文件:
文件名: 文件路径: 病毒名:
a.exe>>b.exe c:\windows\system32 Trojan.psw.lmir.jbg
235780.dll c:\windows\ Trojan.psw.lmir.aji
kb2357801.log c:\windows\ Trojan.psw.lmir.jhe
Q98882.log c:\windows\ Trojan.psw.lmir.jhe
kb2357802.log c:\windows\ Trojan.psw.lmir.jbg
Q90979.log c:\windows\ Trojan.psw.lmir.jhe
Q99418.log c:\windows\ Trojan.psw.lmir.jbg
ZT.exe c:\windows\program Files\浩方对战平台 病毒名:Trojan.dL.agent.eqv
a[1].exe>>b.exec:\documents and sttings\sicent\local settings\Temporary Internet Files\content.IE5\Q5g5g3uj
病毒名:Trojan.psw.lmir.jbg
(各位朋友.瑞星杀毒软件文件过大邮箱发送不了.请大家下载瑞星个人18.18.20版杀毒软件我现在给大家提供注册码.希望大家原谅.)
SN=P5V6EH-61FHJK-9G0SS7-C4D200
ID=5B3C5BJ4Y125
(网络执法官可以批量MAC捆绑,到执法官的局域网MAC界面,全选后单击右键会出现批量MAC捆绑.做完捆绑以后,ARP要是在次攻击时他会报警,出现的假MAC是为非法.网络执法官会终止他的一切操作.)这样可以解决ARP在次攻击.
ARP攻击与防护完全手册
最近在论坛上经常看到关于ARP病毒的问题,于是在Google上搜索ARP关键字!结果出来N多关于这类问题的讨论。想再学习ARP下相关知识,所以对目前网络中常见的ARP问题进行了一个总结。现在将其贴出来,希望和大家一起讨论!
一、ARP概念
咱们谈ARP之前,还是先要知道ARP的概念和工作原理,理解了原理知识,才能更好去面对和分析处理问题。
1.1ARP概念知识
ARP,全称Address Resolution Protocol,中文名为地址解析协议,它工作在数据链路层,在本层和硬件接口联系,同时对上层提供服务。
IP 数据包常通过以太网发送,以太网设备并不识别32位IP地址,它们是以48位以太网地址传输以太网数据包。因此,必须把IP目的地址转换成以太网目的地 址。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获 得的。ARP协议用于将网络中的IP地址解析为的硬件地址(MAC地址),以保证通信的顺利进行。
1.2ARP工作原理
首 先,每台主机都会在自己的ARP缓冲区中建立一个 ARP列表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时,会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址,如果有﹐就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的 MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后,会检查数据包中的目 的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP 表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个 ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的 ARP列表中,并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。
例如:
A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA
B的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB
根 据上面的所讲的原理,我们简单说明这个过程:A要和B通讯,A就需要知道B的以太网地址,于是A发送一个ARP请求广播(谁是192.168.10.2 ,请告诉192.168.10.1),当B收到该广播,就检查自己,结果发现和自己的一致,然后就向A发送一个ARP单播应答(192.168.10.2 在BB-BB-BB-BB-BB-BB)。
1.3ARP通讯模式
通讯模式(Pattern Analysis):在网络分析中,通讯模式的分析是很重要的,不同的协议和不同的应用都会有不同的通讯模式。更有些时候,相同的协议在不同的企业应用中 也会出现不同的通讯模式。ARP在正常情况下的通讯模式应该是:请求 -> 应答 -> 请求 -> 应答,也就是应该一问一答。
二、常见ARP攻击类型
个人认为常见的ARP攻击为两种类型:ARP扫描和ARP欺骗。
2.1ARP扫描(ARP请求风暴)
通讯模式(可能):
请求 -> 请求 -> 请求 -> 请求 -> 请求 -> 请求 -> 应答 -> 请求 -> 请求 -> 请求...
描述:
网络中出现大量ARP请求广播包,几乎都是对网段内的所有主机进行扫描。大量的ARP请求广播可能会占用网络带宽资源;ARP扫描一般为ARP攻击的前奏。
出现原因(可能):
病毒程序,侦听程序,扫描程序。
如果网络分析软件部署正确,可能是我们只镜像了交换机上的部分端口,所以大量ARP请求是来自与非镜像口连接的其它主机发出的。
如果部署不正确,这些ARP请求广播包是来自和交换机相连的其它主机。
2.2ARP欺骗
ARP 协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存 储在ARP缓存中。所以在网络中,有人发送一个自己伪造的ARP应答,网络可能就会出现问题。这可能就是协议设计者当初没考虑到的!
2.2.1欺骗原理
假设一个网络环境中,网内有三台主机,分别为主机A、B、C。主机详细信息如下描述:
A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA
B的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB
C的地址为:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC
正 常情况下A和C之间进行通讯,但是此时B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地 址),MAC地址是BB-BB-BB-BB-BB-BB(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪 造的ARP应答,就会更新本地的ARP缓存(A被欺骗了),这时B就伪装成C了。同时,B同样向C发送一个ARP应答,应答包中发送方IP地址四 192.168.10.1(A的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(A的MAC地址本来应该是AA-AA-AA-AA-AA- AA),当C收到B伪造的ARP应答,也会更新本地ARP缓存(C也被欺骗了),这时B就伪装成了A。这样主机A和C都被主机B欺骗,A和C之间通讯的数 据都经过了B。主机B完全可以知道他们之间说的什么:)。这就是典型的ARP欺骗过程。
注意:一般情况下,ARP欺骗的某一方应该是网关。
2.2.2两种情况
ARP欺骗存在两种情况:一种是欺骗主机作为“中间人”,被欺骗主机的数据都经过它中转一次,这样欺骗主机可以窃取到被它欺骗的主机之间的通讯数据;另一种让被欺骗主机直接断网。
◆第一种:窃取数据(嗅探)
通讯模式:
应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 请求 -> 应答 -> 应答 ->请求->应答...
描述:
这种情况就属于我们上面所说的典型的ARP欺骗,欺骗主机向被欺骗主机发送大量伪造的ARP应答包进行欺骗,当通讯双方被欺骗成功后,自己作为了一个“中间人“的身份。此时被欺骗的主机双方还能正常通讯,只不过在通讯过程中被欺骗者“窃听”了。
出现原因(可能):
木马病毒
嗅探
人为欺骗
◆第二种:导致断网
通讯模式:
应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 请求…
描述:
这类情况就是在ARP欺骗过程中,欺骗者只欺骗了其中一方,如B欺骗了A,但是同时B没有对C进行欺骗,这样A实质上是在和B通讯,所以A就不能和C通讯了,另外一种情况还可能就是欺骗者伪造一个不存在地址进行欺骗。
对于伪造地址进行的欺骗,在排查上比较有难度,这里最好是借用TAP设备(呵呵,这个东东好像有点贵勒),分别捕获单向数据流进行分析!
出现原因(可能):
木马病毒
人为破坏
一些网管软件的控制功能
三、常用的防护方法
搜索网上,目前对于ARP攻击防护问题出现最多是绑定IP和MAC和使用ARP防护软件,也出现了具有ARP防护功能的路由器。呵呵,我们来了解下这三种方法。
3.1静态绑定
最常用的方法就是做IP和MAC静态绑定,在网内把主机和网关都做IP和MAC绑定。
欺骗是通过ARP的动态实时的规则欺骗内网机器,所以我们把ARP全部设置为静态可以解决对内网PC的欺骗,同时在网关也要进行IP和MAC的静态绑定,这样双向绑定才比较保险。
方法:
对每台主机进行IP和MAC地址静态绑定。
通过命令,arp -s可以实现 “arp –s IP MAC地址 ”。
例如:“arp –s192.168.10.1 AA-AA-AA-AA-AA-AA”。
如果设置成功会在PC上面通过执行arp -a 可以看到相关的提示: Internet Address Physical Address Type
192.168.10.1AA-AA-AA-AA-AA-AA static(静态)
一般不绑定,在动态的情况下:
Internet AddressPhysical AddressType
192.168.10.1 AA-AA-AA-AA-AA-AA dynamic(动态)
说明:对于网络中有很多主机,500台,1000台...,如果我们这样每一台都去做静态绑定,工作量是非常大的。。。。,这种静态绑定,在电脑每次重起后,都必须重新在绑定,虽然也可以做一个批处理文件,但是还是比较麻烦的!
3.2使用ARP防护软件
目前关于ARP类的防护软件出的比较多了,大家使用比较常用的ARP工具主要是欣向ARP工具,Antiarp等。它们除了本身来检测出ARP攻击外,防护的工作原理是一定频率向网络广播正确的ARP信息。我们还是来简单说下这两个小工具。
3.2.1欣向ARP工具
俺使用了该工具,它有5个功能:
A. IP/MAC清单
选择网卡。如果是单网卡不需要设置。如果是多网卡需要设置连接内网的那块网卡。
IP/MAC扫描。这里会扫描目前网络中所有的机器的IP与MAC地址。请在内网运行正常时扫描,因为这个表格将作为对之后ARP的参照。
之后的功能都需要这个表格的支持,如果出现提示无法获取IP或MAC时,就说明这里的表格里面没有相应的数据。
B.ARP欺骗检测
这个功能会一直检测内网是否有PC冒充表格内的IP。你可以把主要的IP设到检测表格里面,例如,路由器,电影服务器,等需要内网机器访问的机器IP。
(补充)“ARP欺骗记录”表如何理解:
“Time”:发现问题时的时间;
“sender”:发送欺骗信息的IP或MAC;
“Repeat”:欺诈信息发送的次数;
“ARP info”:是指发送欺骗信息的具体内容.如下面例子:
timesenderRepeatARP info 22:22:22192.168.1.22 1433192.168.1.1 is at 00:0e:03:22:02:e8
这条信息的意思是:在22:22:22的时间,检测到由192.168.1.22发出的欺骗信息,已经发送了1433次,他发送的欺骗信息的内容是:192.168.1.1的MAC地址是00:0e:03:22:02:e8。
打开检测功能,如果出现针对表内IP的欺骗,会出现提示。可以按照提示查到内网的ARP欺骗的根源。提示一句,任何机器都可以冒充其他机器发送IP与MAC,所以即使提示出某个IP或MAC在发送欺骗信息,也未必是100%的准确。所有请不要以暴力解决某些问题。
C.主动维护
这个功能可以直接解决ARP欺骗的掉线问题,但是并不是理想方法。他的原理就在网络内不停的广播制定的IP的正确的MAC地址。
“ 制定维护对象”的表格里面就是设置需要保护的IP。发包频率就是每秒发送多少个正确的包给网络内所有机器。强烈建议尽量少的广播IP,尽量少的广播频率。 一般设置1次就可以,如果没有绑定IP的情况下,出现ARP欺骗,可以设置到50-100次,如果还有掉线可以设置更高,即可以实现快速解决ARP欺骗的 问题。但是想真正解决ARP问题,还是请参照上面绑定方法。
D. 欣向路由器日志
收集欣向路由器的系统日志,等功能。
E.抓包
类似于网络分析软件的抓包,保存格式是.cap。
3.2.1Antiarp
这个软件界面比较简单,以下为我收集该软件的使用方法。
A. 填入网关IP地址,点击[获取网关地址]将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。注意:如出现 ARP欺骗提示,这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包,如果您想追踪攻击来源请记住攻击者的MAC地址,利用MAC地址扫描器可以找出 IP 对应的MAC地址.
B.IP地址冲突
如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数据包,才会出现IP冲突的警告,利用Anti ARP Sniffer可以防止此类攻击。
C.您需要知道冲突的MAC地址,Windows会记录这些错误。查看具体方法如下:
右 击[我的电脑]--[管理]--点击[事件查看器]--点击[系统]--查看来源为[TcpIP]---双击事件可以看到显示地址发生冲突,并记录了该 MAC地址,请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-),输入完成之后点击[防护地址冲突],为了使MAC地址生效请禁用本地网卡然后再启用网 卡,在CMD命令行中输入Ipconfig /all,查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符,如果更改失败请与我联系。如果成功将不再会显示地址冲突。
注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。
3.3具有ARP防护功能的路由器
这类路由器以前听说的很少,对于这类路由器中提到的ARP防护功能,其实它的原理就是定期的发送自己正确的ARP信息。但是路由器的这种功能对于真正意义上的攻击,是不能解决的。
ARP 的最常见的特征就是掉线,一般情况下不需要处理一定时间内可以回复正常上网,因为ARP欺骗是有老化时间的,过了老化时间就会自动的回复正常。现在大多数 路由器都会在很短时间内不停广播自己的正确ARP信息,使受骗的主机回复正常。但是如果出现攻击性ARP欺骗(其实就是时间很短的量很大的欺骗ARP,1 秒有个几百上千的),它是不断的发起ARP欺骗包来阻止内网机器上网,即使路由器不断广播正确的包也会被他大量的错误信息给淹没。
可能你会有疑问:我们也可以发送比欺骗者更多更快正确的ARP信息啊?如果攻击者每秒发送1000个ARP欺骗包,那我们就每秒发送1500个正确的ARP信息!
面 对上面的疑问,我们仔细想想,如果网络拓扑很大,网络中接了很多网络设备和主机,大量的设备都去处理这些广播信息,那网络使用起来好不爽,再说了会影响到 我们工作和学习。ARP广播会造成网络资源的浪费和占用。如果该网络出了问题,我们抓包分析,数据包中也会出现很多这类ARP广播包,对分析也会造成一定 的影响。
一、ARP概念
咱们谈ARP之前,还是先要知道ARP的概念和工作原理,理解了原理知识,才能更好去面对和分析处理问题。
1.1ARP概念知识
ARP,全称Address Resolution Protocol,中文名为地址解析协议,它工作在数据链路层,在本层和硬件接口联系,同时对上层提供服务。
IP 数据包常通过以太网发送,以太网设备并不识别32位IP地址,它们是以48位以太网地址传输以太网数据包。因此,必须把IP目的地址转换成以太网目的地 址。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获 得的。ARP协议用于将网络中的IP地址解析为的硬件地址(MAC地址),以保证通信的顺利进行。
1.2ARP工作原理
首 先,每台主机都会在自己的ARP缓冲区中建立一个 ARP列表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时,会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址,如果有﹐就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的 MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后,会检查数据包中的目 的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP 表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个 ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的 ARP列表中,并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。
例如:
A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA
B的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB
根 据上面的所讲的原理,我们简单说明这个过程:A要和B通讯,A就需要知道B的以太网地址,于是A发送一个ARP请求广播(谁是192.168.10.2 ,请告诉192.168.10.1),当B收到该广播,就检查自己,结果发现和自己的一致,然后就向A发送一个ARP单播应答(192.168.10.2 在BB-BB-BB-BB-BB-BB)。
1.3ARP通讯模式
通讯模式(Pattern Analysis):在网络分析中,通讯模式的分析是很重要的,不同的协议和不同的应用都会有不同的通讯模式。更有些时候,相同的协议在不同的企业应用中 也会出现不同的通讯模式。ARP在正常情况下的通讯模式应该是:请求 -> 应答 -> 请求 -> 应答,也就是应该一问一答。
二、常见ARP攻击类型
个人认为常见的ARP攻击为两种类型:ARP扫描和ARP欺骗。
2.1ARP扫描(ARP请求风暴)
通讯模式(可能):
请求 -> 请求 -> 请求 -> 请求 -> 请求 -> 请求 -> 应答 -> 请求 -> 请求 -> 请求...
描述:
网络中出现大量ARP请求广播包,几乎都是对网段内的所有主机进行扫描。大量的ARP请求广播可能会占用网络带宽资源;ARP扫描一般为ARP攻击的前奏。
出现原因(可能):
病毒程序,侦听程序,扫描程序。
如果网络分析软件部署正确,可能是我们只镜像了交换机上的部分端口,所以大量ARP请求是来自与非镜像口连接的其它主机发出的。
如果部署不正确,这些ARP请求广播包是来自和交换机相连的其它主机。
2.2ARP欺骗
ARP 协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存 储在ARP缓存中。所以在网络中,有人发送一个自己伪造的ARP应答,网络可能就会出现问题。这可能就是协议设计者当初没考虑到的!
2.2.1欺骗原理
假设一个网络环境中,网内有三台主机,分别为主机A、B、C。主机详细信息如下描述:
A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA
B的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB
C的地址为:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC
正 常情况下A和C之间进行通讯,但是此时B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地 址),MAC地址是BB-BB-BB-BB-BB-BB(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪 造的ARP应答,就会更新本地的ARP缓存(A被欺骗了),这时B就伪装成C了。同时,B同样向C发送一个ARP应答,应答包中发送方IP地址四 192.168.10.1(A的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(A的MAC地址本来应该是AA-AA-AA-AA-AA- AA),当C收到B伪造的ARP应答,也会更新本地ARP缓存(C也被欺骗了),这时B就伪装成了A。这样主机A和C都被主机B欺骗,A和C之间通讯的数 据都经过了B。主机B完全可以知道他们之间说的什么:)。这就是典型的ARP欺骗过程。
注意:一般情况下,ARP欺骗的某一方应该是网关。
2.2.2两种情况
ARP欺骗存在两种情况:一种是欺骗主机作为“中间人”,被欺骗主机的数据都经过它中转一次,这样欺骗主机可以窃取到被它欺骗的主机之间的通讯数据;另一种让被欺骗主机直接断网。
◆第一种:窃取数据(嗅探)
通讯模式:
应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 请求 -> 应答 -> 应答 ->请求->应答...
描述:
这种情况就属于我们上面所说的典型的ARP欺骗,欺骗主机向被欺骗主机发送大量伪造的ARP应答包进行欺骗,当通讯双方被欺骗成功后,自己作为了一个“中间人“的身份。此时被欺骗的主机双方还能正常通讯,只不过在通讯过程中被欺骗者“窃听”了。
出现原因(可能):
木马病毒
嗅探
人为欺骗
◆第二种:导致断网
通讯模式:
应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 请求…
描述:
这类情况就是在ARP欺骗过程中,欺骗者只欺骗了其中一方,如B欺骗了A,但是同时B没有对C进行欺骗,这样A实质上是在和B通讯,所以A就不能和C通讯了,另外一种情况还可能就是欺骗者伪造一个不存在地址进行欺骗。
对于伪造地址进行的欺骗,在排查上比较有难度,这里最好是借用TAP设备(呵呵,这个东东好像有点贵勒),分别捕获单向数据流进行分析!
出现原因(可能):
木马病毒
人为破坏
一些网管软件的控制功能
三、常用的防护方法
搜索网上,目前对于ARP攻击防护问题出现最多是绑定IP和MAC和使用ARP防护软件,也出现了具有ARP防护功能的路由器。呵呵,我们来了解下这三种方法。
3.1静态绑定
最常用的方法就是做IP和MAC静态绑定,在网内把主机和网关都做IP和MAC绑定。
欺骗是通过ARP的动态实时的规则欺骗内网机器,所以我们把ARP全部设置为静态可以解决对内网PC的欺骗,同时在网关也要进行IP和MAC的静态绑定,这样双向绑定才比较保险。
方法:
对每台主机进行IP和MAC地址静态绑定。
通过命令,arp -s可以实现 “arp –s IP MAC地址 ”。
例如:“arp –s192.168.10.1 AA-AA-AA-AA-AA-AA”。
如果设置成功会在PC上面通过执行arp -a 可以看到相关的提示: Internet Address Physical Address Type
192.168.10.1AA-AA-AA-AA-AA-AA static(静态)
一般不绑定,在动态的情况下:
Internet AddressPhysical AddressType
192.168.10.1 AA-AA-AA-AA-AA-AA dynamic(动态)
说明:对于网络中有很多主机,500台,1000台...,如果我们这样每一台都去做静态绑定,工作量是非常大的。。。。,这种静态绑定,在电脑每次重起后,都必须重新在绑定,虽然也可以做一个批处理文件,但是还是比较麻烦的!
3.2使用ARP防护软件
目前关于ARP类的防护软件出的比较多了,大家使用比较常用的ARP工具主要是欣向ARP工具,Antiarp等。它们除了本身来检测出ARP攻击外,防护的工作原理是一定频率向网络广播正确的ARP信息。我们还是来简单说下这两个小工具。
3.2.1欣向ARP工具
俺使用了该工具,它有5个功能:
A. IP/MAC清单
选择网卡。如果是单网卡不需要设置。如果是多网卡需要设置连接内网的那块网卡。
IP/MAC扫描。这里会扫描目前网络中所有的机器的IP与MAC地址。请在内网运行正常时扫描,因为这个表格将作为对之后ARP的参照。
之后的功能都需要这个表格的支持,如果出现提示无法获取IP或MAC时,就说明这里的表格里面没有相应的数据。
B.ARP欺骗检测
这个功能会一直检测内网是否有PC冒充表格内的IP。你可以把主要的IP设到检测表格里面,例如,路由器,电影服务器,等需要内网机器访问的机器IP。
(补充)“ARP欺骗记录”表如何理解:
“Time”:发现问题时的时间;
“sender”:发送欺骗信息的IP或MAC;
“Repeat”:欺诈信息发送的次数;
“ARP info”:是指发送欺骗信息的具体内容.如下面例子:
timesenderRepeatARP info 22:22:22192.168.1.22 1433192.168.1.1 is at 00:0e:03:22:02:e8
这条信息的意思是:在22:22:22的时间,检测到由192.168.1.22发出的欺骗信息,已经发送了1433次,他发送的欺骗信息的内容是:192.168.1.1的MAC地址是00:0e:03:22:02:e8。
打开检测功能,如果出现针对表内IP的欺骗,会出现提示。可以按照提示查到内网的ARP欺骗的根源。提示一句,任何机器都可以冒充其他机器发送IP与MAC,所以即使提示出某个IP或MAC在发送欺骗信息,也未必是100%的准确。所有请不要以暴力解决某些问题。
C.主动维护
这个功能可以直接解决ARP欺骗的掉线问题,但是并不是理想方法。他的原理就在网络内不停的广播制定的IP的正确的MAC地址。
“ 制定维护对象”的表格里面就是设置需要保护的IP。发包频率就是每秒发送多少个正确的包给网络内所有机器。强烈建议尽量少的广播IP,尽量少的广播频率。 一般设置1次就可以,如果没有绑定IP的情况下,出现ARP欺骗,可以设置到50-100次,如果还有掉线可以设置更高,即可以实现快速解决ARP欺骗的 问题。但是想真正解决ARP问题,还是请参照上面绑定方法。
D. 欣向路由器日志
收集欣向路由器的系统日志,等功能。
E.抓包
类似于网络分析软件的抓包,保存格式是.cap。
3.2.1Antiarp
这个软件界面比较简单,以下为我收集该软件的使用方法。
A. 填入网关IP地址,点击[获取网关地址]将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。注意:如出现 ARP欺骗提示,这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包,如果您想追踪攻击来源请记住攻击者的MAC地址,利用MAC地址扫描器可以找出 IP 对应的MAC地址.
B.IP地址冲突
如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数据包,才会出现IP冲突的警告,利用Anti ARP Sniffer可以防止此类攻击。
C.您需要知道冲突的MAC地址,Windows会记录这些错误。查看具体方法如下:
右 击[我的电脑]--[管理]--点击[事件查看器]--点击[系统]--查看来源为[TcpIP]---双击事件可以看到显示地址发生冲突,并记录了该 MAC地址,请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-),输入完成之后点击[防护地址冲突],为了使MAC地址生效请禁用本地网卡然后再启用网 卡,在CMD命令行中输入Ipconfig /all,查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符,如果更改失败请与我联系。如果成功将不再会显示地址冲突。
注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。
3.3具有ARP防护功能的路由器
这类路由器以前听说的很少,对于这类路由器中提到的ARP防护功能,其实它的原理就是定期的发送自己正确的ARP信息。但是路由器的这种功能对于真正意义上的攻击,是不能解决的。
ARP 的最常见的特征就是掉线,一般情况下不需要处理一定时间内可以回复正常上网,因为ARP欺骗是有老化时间的,过了老化时间就会自动的回复正常。现在大多数 路由器都会在很短时间内不停广播自己的正确ARP信息,使受骗的主机回复正常。但是如果出现攻击性ARP欺骗(其实就是时间很短的量很大的欺骗ARP,1 秒有个几百上千的),它是不断的发起ARP欺骗包来阻止内网机器上网,即使路由器不断广播正确的包也会被他大量的错误信息给淹没。
可能你会有疑问:我们也可以发送比欺骗者更多更快正确的ARP信息啊?如果攻击者每秒发送1000个ARP欺骗包,那我们就每秒发送1500个正确的ARP信息!
面 对上面的疑问,我们仔细想想,如果网络拓扑很大,网络中接了很多网络设备和主机,大量的设备都去处理这些广播信息,那网络使用起来好不爽,再说了会影响到 我们工作和学习。ARP广播会造成网络资源的浪费和占用。如果该网络出了问题,我们抓包分析,数据包中也会出现很多这类ARP广播包,对分析也会造成一定 的影响。
局域网ARP欺骗排查解决报告
上周四下午,单位网络故障,无法打开网页,关掉防火墙,路由器,重新起动,故障消失,这种事情由来已久,因为网络设计初期问题......
周五出现网络时断时续现象,一本科生告诉我可能是“ARP欺骗”所致,在DOS下,输入:arp -a 发现网关MAC地址与一台IP为192.168.0.9的主机MAC相同,找到该机后,断掉,网络恢复。
本以为事情就这么过去了,然而:
周一上班又出现网络时断时续、网速慢、上不去网……众人纷纷报告,搞得我相当郁闷,情急之下发现重新起动电脑故障就消失了,于是简单要求照做。晚上在家查找了相关资料,知道遇到ARP欺骗这种事情不好搞,并且找到了应急对策:
1、 对网关做IP-MAC绑定
2、 用MAC扫描器得到网内上网主机的IP-MAC对,记录下来以备后用
周 二上班前做了网关地址绑定。一上午至下班前一小时无事,但我知道,这个ARP欺骗主机像幽灵躲在暗处,时刻窥探发动攻击的最佳时刻,不把它揪出来,早晚是 个事儿!现在它没有出现,可能是因为故障主机的人没来不在单位,根本没开机!果然,下班前一个小时故障再次出现!然而单位70几台上网主机三个楼层,怎么 查?!有人提出一个房间一个房间的断网排查,我否定的这种干扰正常工作秩序的方案,决定重新研究新对策。下载了一个AntiArpSniffer的工具进 行监控,晚上回家在不安中睡去……
周三,也就是今天早上到单位,在两台监控的主机上发现如下“欺骗机MAC地 址:00-11-**--**-**-2D”(由于此地址为物理网卡地址,具有全球唯一性,故隐去真实值),软件还报告了发生欺骗的时间和大概36次的欺 骗次数!但却没有查出IP地址。8点半用MAC扫描器进行全网扫描,却未发现上述MAC地址。 9点15分,有机器报告不能上网,到现场,运行栏输 入:arp –d 不用关机重起,可以上网,更确定是ARP病毒所致。10点05分再次用MAC扫描器,突然闪现了IP与MAC地址对应的主机!!!火速联系机主,对方反应 这几天上网速度很慢,正想重装系统。告知事发原因,并验明他昨天上午到下班前一小时确实不在单位没有开机的事实,与网络自他归来后变得不稳定现象完全符 合!经对方查验其MAC地址确实与扫描出的欺骗主机地址一致!!!事主重新格式化重装系统……
虽然找出了源头并采取的相应措施,但内心始终忐忑,网络安全任重道远啊……
一切尽在观察中……
处理步骤小结:
1、 应急处理不能上网的主机,在运行栏里执行命令:arp –d
2、 用AntiArpSniffer 3.5 监测网络
3、 用MAC扫描器 找出主机IP地址
4、 根据IP地址找到电脑,格式化,重装系统。
5、 OVER
建议:
对整个网络做IP-MAC绑定。
周五出现网络时断时续现象,一本科生告诉我可能是“ARP欺骗”所致,在DOS下,输入:arp -a 发现网关MAC地址与一台IP为192.168.0.9的主机MAC相同,找到该机后,断掉,网络恢复。
本以为事情就这么过去了,然而:
周一上班又出现网络时断时续、网速慢、上不去网……众人纷纷报告,搞得我相当郁闷,情急之下发现重新起动电脑故障就消失了,于是简单要求照做。晚上在家查找了相关资料,知道遇到ARP欺骗这种事情不好搞,并且找到了应急对策:
1、 对网关做IP-MAC绑定
2、 用MAC扫描器得到网内上网主机的IP-MAC对,记录下来以备后用
周 二上班前做了网关地址绑定。一上午至下班前一小时无事,但我知道,这个ARP欺骗主机像幽灵躲在暗处,时刻窥探发动攻击的最佳时刻,不把它揪出来,早晚是 个事儿!现在它没有出现,可能是因为故障主机的人没来不在单位,根本没开机!果然,下班前一个小时故障再次出现!然而单位70几台上网主机三个楼层,怎么 查?!有人提出一个房间一个房间的断网排查,我否定的这种干扰正常工作秩序的方案,决定重新研究新对策。下载了一个AntiArpSniffer的工具进 行监控,晚上回家在不安中睡去……
周三,也就是今天早上到单位,在两台监控的主机上发现如下“欺骗机MAC地 址:00-11-**--**-**-2D”(由于此地址为物理网卡地址,具有全球唯一性,故隐去真实值),软件还报告了发生欺骗的时间和大概36次的欺 骗次数!但却没有查出IP地址。8点半用MAC扫描器进行全网扫描,却未发现上述MAC地址。 9点15分,有机器报告不能上网,到现场,运行栏输 入:arp –d 不用关机重起,可以上网,更确定是ARP病毒所致。10点05分再次用MAC扫描器,突然闪现了IP与MAC地址对应的主机!!!火速联系机主,对方反应 这几天上网速度很慢,正想重装系统。告知事发原因,并验明他昨天上午到下班前一小时确实不在单位没有开机的事实,与网络自他归来后变得不稳定现象完全符 合!经对方查验其MAC地址确实与扫描出的欺骗主机地址一致!!!事主重新格式化重装系统……
虽然找出了源头并采取的相应措施,但内心始终忐忑,网络安全任重道远啊……
一切尽在观察中……
处理步骤小结:
1、 应急处理不能上网的主机,在运行栏里执行命令:arp –d
2、 用AntiArpSniffer 3.5 监测网络
3、 用MAC扫描器 找出主机IP地址
4、 根据IP地址找到电脑,格式化,重装系统。
5、 OVER
建议:
对整个网络做IP-MAC绑定。
订阅:
博文 (Atom)