快速发现局域网内狂发ARP攻击包的机器!
作者: sdlin118 发表日期: 2006-09-24 13:30 文章属性: 原创 复制链结
http://big5.ccidnet.com:89/gate/big5/jiaohl.blog.c..._showone/tid_92616.html我昨天发帖时就说,我现在在外地出差做网路安全的实施,住的这个宾馆到处时感染ARP欺骗病毒的机器,他们狂发ARP攻击包,导致正常用户无法上网。
我上次说了,可以使用诸如AntiArpSniffer3.1单机版软体,防御ARP攻击的。但我想问题总的解决呀,我们作为网管或喜欢资讯安全的网友们,遇到这样的问题应当如何解决呢,下面我就谈一下自己的一些想法:
1、对于类似宾馆或小型网路环境,一般是只有一个VLAN的,在这样的情况下,可以通过一台接入网路的主机,定期查看自己的ARP表,看看在定期删除ARP缓存后,有哪些机器的IP/MAC对应表马上又到你的机器上了。
举例:C:\>arp -a
Interface: 192.168.1.236 --- 0x10004
Internet Address Physical Address Type
192.168.1.1 00-0a-eb-c1-d8-60 dynamic
192.168.1.22 00-e0-4c-c2-7e-50 dynamic
192.168.1.144 00-e0-4c-f0-e1-33 dynamic
192.168.1.233 00-e0-4c-a9-35-72 dynamic
这样就可以直接发现感染主机了。
2、对于大型的网路环境,一般是有多个VLAN的,在这样的情况下,可以通过专门的网管系统对交换机的ARP缓存的变化来查看整个网路ARP攻击情况,也可以通过AntiArpSniffer1.2网路版软体来查看攻击者的IP和真实MAC了。
注:对于某些ARP攻击是采取骗取网关的合法MAC或使用其他随意伪造的MAC进行攻击的手段,只能靠管理员手动的进行认真细致的排除了。