博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 18639|回复: 28

ARP病毒分析并解决方法大全

[复制链接]
发表于 2007-6-3 20:29:58 | 显示全部楼层 |阅读模式
警惕外网ARP,欣向路由严阵以待来源:qqread 作者:佚名 出处:巧巧读书 2007-03-23 进入讨论组




  近日,欣向路由在广东、山东、辽宁、湖北、浙江等地纷纷发生外网arp引起网吧掉线的故障,而且这种破坏网吧稳定运行的病毒攻击有蔓延的趋势。欣向公司为此已紧急通告代理商和用户,警惕外网arp攻击的危害,要求按照欣向的解决方案,采取有效的诊断、应对办法。


问题现象是:
1. 网吧出现不定时全网掉线,而内网网关能够ping通。
2. 掉线后查看路由器系统状态中的连接状态,路由器的WAN口仍然是连接状态。
3. 系统日志没有任何掉线信息。
4. 掉线后重启路由器、或者重启光电转换器、甚至只要重新插拔路由器WAN口的网线,网络即刻恢复正常。
从这些现象就能够初步判断,出现外网arp攻击的可能性很大。

  内网arp攻击的问题早已沸沸扬扬,网吧管理者恐怕都有了一定的问题判断和解决办法。路由厂家也做了不少相应的工作。欣向路由除了设计先天免疫的独特功能外,还推出了“欣向巡路免疫墙网络工具”,彻底解决arp了欺骗问题,同时各种其他类型的网络攻击也通过免疫网络进行了抑制和防范。因此,内网arp现在已经不是问题了。

  而外网arp攻击起初并不太流行,所以没有引起足够的重视。它的原理其实与内网arp是一样的,只不过arp的“假冒网关”欺骗的是路由器的WAN口一端,“截获网关数据”欺骗的是电信的网关。

  解决这个问题的思路其实是很清晰的。众所周知,普通arp欺骗的目的是盗号,它是有两个方面组合而成。所以问题的解决也需要从两个方面进行。

  攻击路由WAN口的arp,如果用的是没有欣向先天免疫功能的路由器,就需要进行绑定电信网关mac-ip,这样处理一下,“假冒网关”的欺骗就不起作用了。当然,欣向路由是不必做这些工作的。

  但对电信一方,解决那种“截获网关数据”的欺骗,问题就有点复杂了。因为这需要电信方面的配合。大多数情况下,电信运营商技术人员的配合度是较差的,这点很遗憾。但也有特例,比如广东湛江电信,很负责地帮助网吧进行了绑定。所以,作为用户,与电信运营商协调沟通,解决问题就容易的多。

  但如果出现电信运营商不配合的情况下,应该怎么办呢?

  欣向路由的做法是,在路由器中启动外网arp的主动维护功能,它通过不断向网关发出正确的wan口信息,提醒电信网关,我的正确位置在这里!当然,这种主动防范措施,严格来说不是一个治本的方法,它是在和病毒拉锯。但这种权宜之计,也能很有效的帮助网吧用户解决断线困扰。其实,欣向路由器中早就具有这样的功能,只要相应地开启就可以了。

  目前,按照欣向的处理办法,受外网arp影响的各地用户都得到了完善的解决。欣向提醒同样受到这种问题困扰的网吧用户,尽快向相关路由器厂家和电信运营商咨询,寻求解决方案。欣向用户可以在欣向网站www.nuqx.com下载《外网arp攻击解决方案》,或电话:400-706-0518,寻求厂家的技术支持

  网吧由于竞争激烈,经营已然很不容易,再不断爆发各种病毒攻击,造成断网掉线故障,简直就是雪上加霜了。为此欣向路由认为,做专门针对网吧的产品,挣网吧的钱,就一定要提供出类拔萃的优秀产品,同时更重要的,是要保证良好、周到的服务,将心比心,负责到底,谁都不容易。













ARP病毒分析并解决方法(20070412阶段)
xinboway.jpg





















前一段时间几乎被ARP病毒气死了,明明知道网内有机器中毒,乱发ARP包干扰网络,但就是不知道是谁,抓包也看不出来(可能与当时分析包的经验有关)。
经过一段时间的琢磨,终于在自己的网络中实现了ARP爆发后快速定位中毒发作机器,在第一时间内使问题得到控制并解决。

我的网络环境,核心交换机华为3928P-EI,8个vlan,分中心是3928P-SI,默认个vlan,1000余终端,开有DHCP服务,有solarwinds Orion平台。

另外,我用的抓包工具是那种不需要安装的《网络安全保障平台》,杀毒软件是dr.web 4.33。

先说一下我对ARP病毒的理解和所思考的应对方法:

ARP病毒发作时的工作方式:
1、中毒机器发送ARP广播,造成交换机ARP表混乱;
2、中毒机器发送ARP广播,造成其他电脑ARP表混乱;
3、中毒机器发送ARP欺骗,造成交换机ARP表混乱;
4、中毒机器发送ARP欺骗,造成其他电脑ARP表混乱;

特点:
1、由于交换机的ARP刷新时间一般为5分钟,所以中毒机器如果要用ARP干扰机器,必须较为频繁的发送ARP包;
2、由于中毒机器需要正常通信(这样才能与网络中的机器通信,我是这样理解的),所以,中毒机器自己的MAC与IP对应关系无论在交换机还是在本机上都是正确的(即使使用修改过后的MAC——注意1);
3、中毒机器可以连续有规律的发ARP包干扰网络通信,但这种方式容易被抓包发现;
4、中毒机器为干扰网络可以发送虚假(可以没有规律)的MAC地址与IP地址对应关系的ARP包,这种包理论上不需要太多,只要能干扰就行了;
5、如果中毒机器总发相同的MAC干扰包,那可能是人为控制的,即使不是人为控制,这种干扰方式更容易被发现;

;注意1,不管中毒机器是否修改本机MAC地址,总得是一个能通信的MAC;如果ARP病毒能随时修改本机MAC以隐藏自己,这就更加复杂和难以查找了;不过目前还没有遇到修改本机MAC的ARP病毒及其变种。

行动:
1、管理上:所有机器计算机名实名制;
2、技术上:发布Solariwinds Orion的Web页面;

操作:
1、在被监控的众多设备中,如果vlan内ARP病毒发作,那么该vlan内的被监控设备若被干扰到,应该会在监控页面上显示为断线(因为通信中断);这是判断ARP发作的必要条件;
2、发现有设备断线,需要telnet到核心或者分中心3928交换机上,打开“信息中心”(info-center enable),让交换机检测冲突,如有冲突,会有如下显示(借用了网友的信息,谢谢):

#May 10 21:15:01:261 2000 Quidway ARP/5/DUPIP:- 1 -IP address 192.168.10.185 collision detected, sourced by 0011-2550-10b2 on Ethernet1/0/8 of VLAN5 and 0010-c6a8-7ff1 on Ethernet1/0/10 of VLAN5
%May 10 21:15:01:264 2000 Quidway ARP/5/DUPIP:- 1 -IP address 192.168.10.185 collision detected, sourced by 0011-2550-10b2 on Ethernet1/0/8 of VLAN5 and 0010-c6a8-7ff1 on Ethernet1/0/10 of VLAN5
#May 10 21:15:10:777 2000 Quidway ARP/5/DUPIP:- 1 -IP address 192.168.10.185 collision detected, sourced by 0010-c6a8-7ff1 on Ethernet1/0/8 of VLAN5 and 0011-2550-10b2 on Ethernet1/0/8 of VLAN5
%May 10 21:15:10:779 2000 Quidway ARP/5/DUPIP:- 1 -IP address 192.168.10.185 collision detected, sourced by 0010-c6a8-7ff1 on Ethernet1/0/8 of VLAN5 and 0011-2550-10b2 on Ethernet1/0/8 of VLAN5
#May 10 21:15:19:557 2000 Quidway ARP/5/DUPIP:- 1 -IP address 192.168.10.186 collision detected, sourced by 0011-2550-10b2 on Ethernet1/0/8 of VLAN5 and 0050-04b7-0b3c on Ethernet1/0/10 of VLAN5
%May 10 21:15:19:560 2000 Quidway ARP/5/DUPIP:- 1 -IP address 192.168.10.186 collision detected, sourced by 0011-2550-10b2 on Ethernet1/0/8 of VLAN5 and 0050-04b7-0b3c on Ethernet1/0/10 of VLAN5
#May 10 21:15:29:79 2000 Quidway ARP/5/DUPIP:- 1 -IP address 192.168.10.186 collision detected, sourced by 0050-04b7-0b3c on Ethernet1/0/8 of VLAN5 and 0011-2550-10b2 on Ethernet1/0/8 of VLAN5
%May 10 21:15:29:81 2000 Quidway ARP/5/DUPIP:- 1 -IP address 192.168.10.186 collision detected, sourced by 0050-04b7-0b3c on Ethernet1/0/8 of VLAN5 and 0011-2550-10b2 on Ethernet1/0/8 of VLAN5
#May 10 21:15:37:857 2000 Quidway ARP/5/DUPIP:- 1 -IP address 192.168.10.187 collision detected, sourced by 0011-2550-10b2 on Ethernet1/0/8 of VLAN5 and 0016-e67b-a7e4 on Ethernet1/0/4 of VLAN5
%May 10 21:15:37:859 2000 Quidway ARP/5/DUPIP:- 1 -IP address 192.168.10.187 collision detected, sourced by 0011-2550-10b2 on Ethernet1/0/8 of VLAN5 and 0016-e67b-a7e4 on Ethernet1/0/4 of VLAN5
#May 10 21:15:47:376 2000 Quidway ARP/5/DUPIP:- 1 -IP address 192.168.10.187 collision detected, sourced by 0016-e67b-a7e4 on Ethernet1/0/8 of VLAN5 and 0011-2550-10b2 on Ethernet1/0/8 of VLAN5
%May 10 21:15:47:379 2000 Quidway ARP/5/DUPIP:- 1 -IP address 192.168.10.187 collision detected, sourced by 0016-e67b-a7e4 on Ethernet1/0/8 of VLAN5 and 0011-2550-10b2 on Ethernet1/0/8 of VLAN5
#May 10 21:15:56:150 2000 Quidway ARP/5/DUPIP:- 1 -IP address 192.168.10.188 collision detected, sourced by 0011-2550-10b2 on Ethernet1/0/8 of VLAN5 and 0014-2264-c948 on Ethernet1/0/4 of VLAN5
%May 10 21:15:56:153 2000 Quidway ARP/5/DUPIP:- 1 -IP address 192.168.10.188 collision detected, sourced by 0011-2550-10b2 on Ethernet1/0/8 of VLAN5 and 0014-2264-c948 on Ethernet1/0/4 of VLAN5
#May 10 21:16:05:666 2000 Quidway ARP/5/DUPIP:- 1 -IP address 192.168.10.188 collision detected, sourced by 0014-2264-c948 on Ethernet1/0/8 of VLAN5 and 0011-2550-10b2 on Ethernet1/0/8 of VLAN5
%May 10 21:16:05:668 2000 Quidway ARP/5/DUPIP:- 1 -IP address 192.168.10.188 collision detected, sourced by 0014-2264-c948 on Ethernet1/0/8 of VLAN5 and 0011-2550-10b2 on Ethernet1/0/8 of VLAN5
#May 10 21:16:14:446 2000 Quidway ARP/5/DUPIP:- 1 -IP address 192.168.10.189 collision detected, sourced by 0011-2550-10b2 on Ethernet1/0/8 of VLAN5 and 0011-2570-70ed on Ethernet1/0/4 of VLAN5
%May 10 21:16:14:449 2000 Quidway ARP/5/DUPIP:- 1 -IP address 192.168.10.189 collision detected, sourced by 0011-2550-10b2 on Ethernet1/0/8 of VLAN5 and 0011-2570-70ed on Ethernet1/0/4 of VLAN5
#May 10 21:16:23:968 2000 Quidway ARP/5/DUPIP:- 1 -IP address 192.168.10.189 collision detected, sourced by 0011-2570-70ed on Ethernet1/0/8 of VLAN5 and 0011-2550-10b2 on Ethernet1/0/8 of VLAN5
%May 10 21:16:23:971 2000 Quidway ARP/5/DUPIP:- 1 -IP address 192.168.10.189 collision detected, sourced by 0011-2570-70ed on Ethernet1/0/8 of VLAN5 and 0011-2550-10b2 on Ethernet1/0/8 of VLAN5
#May 10 21:16:32:743 2000 Quidway ARP/5/DUPIP:- 1 -IP address 192.168.10.190 collision detected, sourced by 0011-2550-10b2 on Ethernet1/0/8 of VLAN5 and 0010-c6a8-7c76 on Ethernet1/0/4 of VLAN5
%May 10 21:16:32:745 2000 Quidway ARP/5/DUPIP:- 1 -IP address 192.168.10.190 collision detected, sourced by 0011-2550-10b2 on Ethernet1/0/8 of VLAN5 and 0010-c6a8-7c76 on Ethernet1/0/4 of VLAN5
#May 10 21:16:42:258 2000 Quidway ARP/5/DUPIP:- 1 -IP address 192.168.10.190 collision detected, sourced by 0010-c6a8-7c76 on Ethernet1/0/8 of VLAN5 and 0011-2550-10b2 on Ethernet1/0/8 of VLAN5
%May 10 21:16:42:261 2000 Quidway ARP/5/DUPIP:- 1 -IP address 192.168.10.190 collision detected, sourced by 0010-c6a8-7c76 on Ethernet1/0/8 of VLAN5 and 0011-2550-10b2 on Ethernet1/0/8 of VLAN5
#May 10 21:16:51:39 2000 Quidway ARP/5/DUPIP:- 1 -IP address 192.168.10.191 collision detected, sourced by 0011-2550-10b2 on Ethernet1/0/8 of VLAN5 and 0017-a44f-a6d1 on Ethernet1/0/8 of VLAN5
%May 10 21:16:51:42 2000 Quidway ARP/5/DUPIP:- 1 -IP address 192.168.10.191 collision detected, sourced by 0011-2550-10b2 on Ethernet1/0/8 of VLAN5 and 0017-a44f-a6d1 on Ethernet1/0/8 of VLAN5
#May 10 21:17:00:556 2000 Quidway ARP/5/DUPIP:- 1 -IP address 192.168.10.191 collision detected, sourced by 0017-a44f-a6d1 on Ethernet1/0/8 of VLAN5 and 0011-2550-10b2 on Ethernet1/0/8 of VLAN5
%May 10 21:17:00:558 2000 Quidway ARP/5/DUPIP:- 1 -IP address 192.168.10.191 collision detected, sourced by 0017-a44f-a6d1 on Ethernet1/0/8 of VLAN5 and 0011-2550-10b2 on Ethernet1/0/8 of VLAN5
#May 10 21:17:09:382 2000 Quidway ARP/5/DUPIP:- 1 -IP address 192.168.10.192 collision detected, sourced by 0011-2550-10b2 on Ethernet1/0/8 of VLAN5 and 0017-a4f9-1dfb on Ethernet1/0/8 of VLAN5
%May 10 21:17:09:385 2000 Quidway ARP/5/DUPIP:- 1 -IP address 192.168.10.192 collision detected, sourced by 0011-2550-10b2 on Ethernet1/0/8 of VLAN5 and 0017-a4f9-1dfb on Ethernet1/0/8 of VLAN5
#May 10 21:17:18:903 2000 Quidway ARP/5/DUPIP:- 1 -IP address 192.168.10.192 collision detected, sourced by 0017-a4f9-1dfb on Ethernet1/0/8 of VLAN5 and 0011-2550-10b2 on Ethernet1/0/8 of VLAN5
%May 10 21:17:18:905 2000 Quidway ARP/5/DUPIP:- 1 -IP address 192.168.10.192 collision detected, sourced by 0017-a4f9-1dfb on Ethernet1/0/8 of VLAN5 and 0011-2550-10b2 on Ethernet1/0/8 of VLAN5

3、分析交换机给出的信息,做统计分析,列出高概率出现的MAC,上DHCP服务器上查,查到对应机器,断开网线,继续检查,直至全部清除;上面信息中“0011-2550-10b2”出现概率最高,先检查之,确实是一台中毒机器,杀毒后ARP干扰消失;
4、若使用抓包,也可以套用上面分析的特点;
5、综合使用各种手段,力争在最短的时间将ARP控制在最小的范围之内;
6、我没有在交换机上做MAC-IP绑定,客户机上也没有做此类操作,使用DHCP分派IP地址,客户端没有使用arpguard、AntiArpSniffer之类的保护工具,用户基本没有什么安全意识,有些甚至连杀软也没有。
7、上面文字仅作抛砖,希望能引出玉来,谢谢。













ARP病毒终极解决方案

(姜道友 2007-03-02)


说明:
       现在网络上ARP类病毒及其变种越来越多,导致网络时断时续,严重影响到公司关健业务如ARP/CRM/OA/APS等应用系统的运行。同时很多用户投诉我们网络部,而我们有苦难言。在采取了一定的技术手段后,目前一切运行正常。即使有ARP病毒发作,影响面很少。针对ARP类病毒,我个人观点如下:
一、
检查ARP病毒       检查网络中是否有ARP类病毒,有如下方法:
1、
PC电脑上,输入arp –a 如果看到的网关的MAC和实际不一样,则可以是感染了ARP类病毒
2、
在中心交换机上,输入:sh arp 看到很多IP地址对应的MAC一样,则说明那个MAC的电脑感染了病毒 (远程VPN用户的IP地址除外,因为VPN用户拨入成功并获取IP地址后,IP对应的是VPN服务器上的MAC地址)
3、
也可以在路由器或交换机上使用debug arp查看或sh logging显示有IP地址冲突信息
4、
如果网关为linux,可以使用命令:tcpdump -nn –i eth0 arp检测,如果出现如下信息,则说明192.168.0.2感染了arp病毒。
15:01:53.597121 arp who-has 192.168.0.1 tell 192.168.0.2
15:01:53.597125 arp who-has 192.168.0.1 tell 192.168.0.2
15:01:53.617436 arp who-has 192.168.0.2 tell 192.168.0.2
15:01:53.617440 arp who-has 192.168.0.2 tell 192.168.0.2
15:01:53.637942 arp who-has 192.168.0.3 tell 192.168.0.2
15:01:53.637946 arp who-has 192.168.0.3 tell 192.168.0.2
15:01:53.658452 arp who-has 192.168.0.4 tell 192.168.0.2
15:01:53.658456 arp who-has 192.168.0.4 tell 192.168.0.2
15:01:53.678963 arp who-has 192.168.0.5 tell 192.168.0.2
15:01:53.678967 arp who-has 192.168.0.5 tell 192.168.0.2
15:01:53.699464 arp who-has 192.168.0.6 tell 192.168.0.2
…………………
5、
使用sniffer,并在交换机上配置SPAN口抓包分析。具体操作可以参考我的其它文章
6、
安装Anti ARP sniffer等之类的软件也可以检测,也可以使用NBTSCAN检测。
7、
如果网络一会断开,一会又好了,很可能是arp病毒在作怪(当然也可能是其它网络故障,如STP问题,特此声明喜欢钻牛角尖的人找我面谈,我给他吃一块钻头)
8、
其它
二、
防范ARP病毒可采取如下措施:
1、
如果条件允许,可以在交换机上配置port-security特性,即某个端口仅允许某个或某些MAC进出,这样即使中了ARP病毒,也不会影响网络,命令如下:
interface FastEthernet0/1
port security max-mac-count 1
mac-address-table secure 0000.0000.0010 FastEthernet0/1 vlan 1

。。。。。。。。。
(因大部分公司网络不可能都是中高端交换机,不具有此项管理功能。因此无法配置端口安全)
2、
在交换机或网关路由器上进行IP地址与MAC地址的绑定,命令如下:
arp 192.168.1.x
000d.bcb9.d480
arpa

……………
3、
通过组策略使用计算机启动时自动进行静态ARP绑定,如建立一下antiarp.bat,内容如下:
@echo off
arp -d
arp -s 192.168.1.254

00-03-47-e0-8e-1e
此为网关

arp -s 192.168.1.253
00-18-19-00-40-00
此为VPN线路网关

arp -s 192.168.1.1

00-0d-bc-b9-d4-80
此为ERP服务器

…………………
@echo on
注:一般仅绑定网关即可
4、
也可以在电脑上安装防arp病毒之类的软件,如Anti ARP Sniffer等。
5、
如果小公司的网关路由器具有防arp欺骗功能,则可以开启此功能,有一定的效果
6、
防病毒软件虽然基本上每台电脑都会安装的,但对它不要抱太大希望,根据本人的经验,一般防病毒软件不能防止ARP类病毒
7、
管理员定期检查网络。(可以编写一个脚本,定期检查网络,发现断开就立即进行邮件提醒)
8、
使用防火墙监控网络或网络管理软件进行监控。
9、
其它
注:以上方法都用,乃ARP病毒终极解决方法。

Dhcp+arp inspection.rar

347.48 KB, 下载次数: 30

发表于 2007-6-6 23:51:55 | 显示全部楼层

跟个帖

我来跟一个.不错

[size=+0]十一黄金周 网络安全防范措施早准备
】来源: 时间:2007-09-27 15:45:47 浏览 28人次

    近期统计发现,近来最常见的威胁网络安全的攻击仍以ARPDoS为主,假如这样的攻击事件在黄金周期间发生,那和谐的节日气氛将不再存在。为确保节假日期间的网络安全,节前应提早准备好应对措施。针对马上即将到来的十一黄金周,本文将一一向用户介绍对最新ARP、DoS攻击而进行的防范措施。   “双向绑定”轻松应对ARP攻击
  简单的ARP攻击是伪装成网关IP,转发讯息,盗取用户名及密码之用,不会造成掉线。这种ARP攻击,只会造成封包的遗失,或是Ping值提高,并不会造成严重的掉线或是大范围掉线。
  这种ARP攻击的防范方式是以ARP ECHO指令方式应对,可以解决只是为了盗宝为目的传统ARP攻击。对于整体网络不会有影响。互联网上可以很容易找到相关的信息。
  在ARP ECHO的解决方法提出后,ARP攻击开始进行演化。新的ARP攻击方式,使用更高频率的ARP ECHO,压过用户的ARP ECHO广播。由于发出广播包的次数太多,因此会使整个局域网变慢,或占用网关运算能力,发生内网很慢或上网卡的现象。如果严重时,通常就发生瞬断或全网掉线的情况。
  对付这种较严重的ARP攻击,近来有不同解决方法提出,例如从路由器下载某个imf文件,更改网络堆栈,但效果有限。有些解决方式则在用户与网关间建立PPPoE联机,则配置功夫大又耗费运算能力。Qno侠诺去年10月提出的“双向绑定方式”,如今看来仍是解决ARP攻击的简单有效的手段,有效地缩小了影响层面。
  此外,内网IP欺骗是在ARP攻击另一个变型攻击方式。攻击计算机会伪装成一样的IP,让受攻击的计算机产生IP冲突,无法上网。这种攻击,往往影响的计算机有限,而不是大规模影响。
  内网IP欺骗采用双向绑定方式,可以有效解决。先作好绑定配置的计算机,不会受到后来的伪装计算机的影响。因此,等于一次因应ARP及内网IP欺骗解决。若是采用其它的ARP防制方法,则要采用另行的方法应对。
“动态智能带宽管理”防范DoS攻击

  DoS攻击是从发出大量网络包,占用内网带宽或是路由器运算能力来进行攻击。
  当网管发现内网很慢,Ping路由掉包,不知是那一台影响时,通常就是受到DoS攻击。很多内网攻击的原因经常是用户安装了外挂软件,变成发出攻击的计算机。有的内网攻击会自行变换IP,让网管更难找出是谁发出的网络包。
  Qno侠诺提出内网攻击的解决方案,是从路由器判别,阻断发出网络包计算机的上网能力。因此用户会发现如果用攻击程序测试,立刻就发生掉线的情况,这就是因为被路由器认定为发出攻击计算机,自动被切断所致。正确的测试方法是用两台测试,一台发出攻击包给路由器,另一台看是否能上网。对于内网攻击,另外的解决之道是采用联防的交换机,直接把不正常计算机的实体联机切断,不过具联防能力交换器的成本较高,有时比路由器还要贵。
  DoS的另外一种形式是外网攻击。外网攻击是从外部来的攻击,通常发生在使用固定IP的用户。很多网吧因为使用固定IP的光纤,经常成为外网攻击的目标。同时又因为外网攻击常常持续变换IP,也不容易加以阻绝或追查。它的现象是看内网流量很正常,但是上网很慢或上不了;观看路由器的广域网流量,则发现下载的流量被占满,造成宽带接入不顺畅。
  外网流量攻击,可以用联机数加以辅助判断,但是不容易解决。有些地区可以要求ISP更换IP,但经常是几天后攻击又来了。有些用户搭配多条动态IP拨接的ADSL备援,动态IP就较不易成为攻击的目标。外网流量攻击属于犯法行为,可通知ISP配合执法单位追查,但现在看起来效果并不大。
  侠诺推出的SmartQoS功能,就是一个针对上述的需求而研发的新功能。“动态智能QoS”主要配置参数为整体对外带宽大小及单一用户最多可占用带宽大小,路由器就可进行动态的智能管理,突发的带宽需要会被允许,只有真的持续占用带宽的用户会被限制,同时又能提高路由器效能。
  虽然配置简单,但“动态智能带宽管理”结合了联机数限制、SPI包检测、二次惩罚机制等多种先进技术来完成。其中二次惩罚机制容许内网用户短期间占用大带宽,但是若是持续占用,路由器会不断缩小其可使用的带宽,直至无法上网为止。这个机制对于新式攻击软件,可以起到有效管制的作用。
  小结
  以上ARP及DoS是现今常见的网吧攻击,仅供网吧技术网管参考。此外,其实很多企业也会遇到类似的攻击,企业网管也需要掌握相关的防范手段,未雨绸缪!安心度过即将到来的十一长假,让领导放心,让自己省心!
















Arp病毒专杀工具下载及其防治解决方案

最近,Arp病毒在局域网中传播得很疯狂,学校的网络中心还特别发布了防护公告。很少见的事。

感染了Arp欺骗病毒(木马)的电脑的症状表现如下:

该机一开机上网就不断发Arp欺骗报文,即以假冒的网卡物理地址向同一子网的其它机器发送Arp报文,甚至假冒该子网网关物理地址蒙骗其它机器,使网内其它机器改经该病毒主机上网,这个由真网关向假网关切换的过程中其它机器会断一次网。倘若该病毒机器突然关机或离线,则其它机器又要重新搜索真网关,于是又会断一次网。所以会造成某一子网只要有一台或一台以上这样的病毒机器,就会使其他人上网断断续续,严重时将使整个网络瘫痪。这种病毒(木马)除了影响他人上网外,也以窃取病毒机器和同一子网内其它机器上的用户帐号和密码(如QQ和网络游戏等的帐号和密码)为目的,而且它发的是Arp报文,具有一定的隐秘性,如果占系统资源不是很大,又无防病毒软件监控,一般用户不易察觉。这种病毒开学初主要发生在学生宿舍,据最近调查,现在已经在向办公区域和教工住宅区域蔓延,而且呈越演越烈之势。
经抽样测试,学校提供的赛门铁克防病毒软件企业版10.0能有效查杀已知的Arp欺骗病毒(木马)病毒。恶意软件由于国际上未有明确界定,目前暂无一款防病毒软件能提供100%杜绝其发作的解决方案,需要借助某些辅助工具进行清理。

Arp病毒专杀工具下载

这里推荐两款恶意软件专杀工具(可查杀Arp病毒):
1、恶意软件清理助手下载:该软件是绿色免费软件,无需安装,可升级特征库。
2、360安全卫士由此下载:免费软件,需要安装,可升级特征库。注意该软件宣称的附送卡巴斯基v6.0可升级时间是有限的,请不要随便安装在已有防病毒软件的机器上。

关于Arp病毒(木马)专杀工具的附加说明:
以上两款软件虽然较同类软件优秀,但由于是免费软件,其后续服务是否有保障和对系统有无其它负面影响还有待进一步观察,且它们对恶意软件查杀的有效性也不一定是100%,请用户慎重使用。

Arp病毒防治解决方案
为了减少感染了Arp欺骗病毒(木马)的机器对正常机器上网的影响,请各用户静态绑定网关的IP和物理地址,具体操作是:
在能正常上网时,进入MS-DOS窗口,输入命令:arp -a,查看网关的IP对应的正确物理地址,并将其记录下来。如果您不能确定查到的网关物理地址是否为真实的网关物理地址,也可咨询网络中心。建立一个批处理文件arpbinding.bat,内容如下:
@echo off
arp -d
arp -s 网关IP 网关物理地址
(注意,上述批处理文件中“网关IP”和“网关物理地址”要用您查到的“网关IP”和“网关物理地址”替换)保存后运行此批处理文件 并将这个批处理文件拖到“Windows→开始→程序→启动”中。
发表于 2007-6-21 17:47:50 | 显示全部楼层

回复 #1 network 的帖子

高,实在是高



ARP命令参数详解:
Arp
显示和修改“地址解析协议 (ARP)”缓存中的项目。ARP 缓存中包含一个或多个表,它们用于存储 IP 地址及其经过解析的以太网或令牌环物理地址。计算机上安装的每一个以太网或令牌环网络适配器都有自己单独的表。如果在没有参数的情况下使用,则 arp 命令将显示帮助信息。

语法
arp[-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]]

参数
-a[ InetAddr] [ -N IfaceAddr]

显示所有接口的当前 ARP 缓存表。要显示特定 IP 地址的 ARP 缓存项,请使用带有 InetAddr 参数的 arp -a,此处的 InetAddr 代表 IP 地址。如果未指定 InetAddr,则使用第一个适用的接口。要显示特定接口的 ARP 缓存表,请将 -N IfaceAddr 参数与 -a 参数一起使用,此处的 IfaceAddr 代表指派给该接口的 IP 地址。-N 参数区分大小写。

-g[ InetAddr] [ -N IfaceAddr]

与 -a 相同。

-d InetAddr [IfaceAddr]

删除指定的 IP 地址项,此处的 InetAddr 代表 IP 地址。对于指定的接口,要删除表中的某项,请使用 IfaceAddr 参数,此处的 IfaceAddr 代表指派给该接口的 IP 地址。要删除所有项,请使用星号 (*) 通配符代替 InetAddr。

-s InetAddr EtherAddr [IfaceAddr]

向 ARP 缓存添加可将 IP 地址 InetAddr 解析成物理地址 EtherAddr 的静态项。要向指定接口的表添加静态 ARP 缓存项,请使用 IfaceAddr 参数,此处的 IfaceAddr 代表指派给该接口的 IP 地址。

/?

在命令提示符下显示帮助。

注释
• InetAddr 和 IfaceAddr 的 IP 地址用带圆点的十进制记数法表示。

• EtherAddr 的物理地址由六个字节组成,这些字节用十六进制记数法表示并且用连字符隔开(比如,00-AA-00-4F-2A-9C)。

• 通过 -s 参数添加的项属于静态项,它们不会 ARP 缓存超时。如果终止 TCP/IP 协议后再启动,这些项会被删除。要创建永久的静态 ARP 缓存项,请将适当的 arp 命令置于批处理文件中,并使用“任务计划”在启动时运行该批处理文件。


示例
要显示所有接口的 ARP 缓存表,可键入:

arp -a

对于指派的 IP 地址为 10.0.0.99 的接口,要显示其 ARP 缓存表,可键入:

arp -a -N 10.0.0.99

要添加将 IP 地址 10.0.0.80 解析成物理地址 00-AA-00-4F-2A-9C 的静态 ARP 缓存项,可键入:

arp -s 10.0.0.80 00-AA-00-4F-2A-9C


arp 命令
处理系统的 ARP 缓存,可以清除缓存中的地址映射,建立新的地址映射;
语法:arp [-v][-n][-H type][-i if] -a [hostname]
      arp [-v][-i if] -d hostname [pub]
      arp [-v][-H type][-i if] -s hostname hw_addr [temp]
      arp [-v][-H type][-i if] -s hostname hw_addr [netmask nm] pub
      arp [-v][-H type][-i if] -Ds hostname ifa [netmask nm] pub
      arp [-v][-n][-D][-H type][-i if] -f [filename]
该命令的各选项含义如下:
-v  显示详细信息;
-n  以数字地址形式显示;
-i  If选择界面;
-H  type设置和查询arp缓存时检查 type 类型的地址;
-a [hostname]  显示指定 hostname 的所有入口;
-d hostname  删除指定 hostname 的所有入口;
-D  使用ifa硬件地址界面;
-s hostname hw_addr  手工加入 hostname 的地址映射;
-f filename  从指定文件中读入 hostname 和硬件地址信息。




ARP病毒解决办法[1]
http://www.csai.cn 作者:不详 来源:lhk.3322.org 2007年4月11日 发表评论 进入社区
  ARP病毒病毒发作时候的特征为,中毒的机器会伪造某台电脑的MAC地址,如该伪造地址为网关服务器的地址,那么对整个网络均会造成影响,用户表现为上网经常瞬断。

  例子中的IP地址均为假设

  一、在任意客户机上进入命令提示符(或MS-DOS方式),用arp –a命令查看:
C:WINNTsystem32>arp -aInterface: 192.168.100.93 on Interface 0x1000003Internet Address Physical Address Type192.168.100.1 00-50-da-8a-62-2c dynamic192.168.100.23 00-11-2f-43-81-8b dynamic192.168.100.24 00-50-da-8a-62-2c dynamic192.168.100.25 00-05-5d-ff-a8-87 dynamic192.168.100.200 00-50-ba-fa-59-fe dynamic

  可以看到有两个机器的MAC地址相同,那么实际检查结果为 00-50-da-8a-62-2c为192.168.0.24的MAC地址,192.168.100.1的实际MAC地址为00-02-ba-0b-04-32,我们可以判定192.168.100.24实际上为有病毒的机器,它伪造了192.168.100.1的MAC地址。

  二、在192.168.100.24上进入命令提示符(或MS-DOS方式),用arp –a命令查看:
C:WINNTsystem32>arp -aInterface: 192.168.100.24 on Interface 0x1000003Internet Address Physical Address Type192.168.100.1 00-02-ba-0b-04-32 dynamic192.168.100.23 00-11-2f-43-81-8b dynamic192.168.100.25 00-05-5d-ff-a8-87 dynamic192.168.100.193 00-11-2f-b2-9d-17 dynamic192.168.100.200 00-50-ba-fa-59-fe dynamic

  可以看到带病毒的机器上显示的MAC地址是正确的,而且该机运行速度缓慢,应该为所有流量在二层通过该机进行转发而导致,该机重启后所有电脑都不能上网,只有等arp刷新MAC地址后才正常,一般在2、3分钟左右。

  三、如果主机可以进入dos窗口,用arp –a命令可以看到类似下面的现象:
C:WINNTsystem32>arp -aInterface: 192.168.100.1 on Interface 0x1000004Internet Address Physical Address Type192.168.100.23 00-50-da-8a-62-2c dynamic192.168.100.24 00-50-da-8a-62-2c dynamic192.168.100.25 00-50-da-8a-62-2c dynamic192.168.100.193 00-50-da-8a-62-2c dynamic192.168.100.200 00-50-da-8a-62-2c dynamic

  该病毒不发作的时候,在代理服务器上看到的地址情况如下:
C:WINNTsystem32>arp -aInterface: 192.168.100.1 on Interface 0x1000004Internet Address Physical Address Type192.168.0.23 00-11-2f-43-81-8b dynamic192.168.100.24 00-50-da-8a-62-2c dynamic192.168.100.25 00-05-5d-ff-a8-87 dynamic192.168.100.193 00-11-2f-b2-9d-17 dynamic192.168.100.200 00-50-ba-fa-59-fe dynamic

  病毒发作的时候,可以看到所有的ip地址的mac地址被修改为00-50-da-8a-62-2c,正常的时候可以看到MAC地址均不会相同。


解决办法:
  一、采用客户机及网关服务器上进行静态ARP绑定的办法来解决。

  1. 在所有的客户端机器上做网关服务器的ARP静态绑定。

  首先在网关服务器(代理主机)的电脑上查看本机MAC地址
C:WINNTsystem32>ipconfig /allEthernet adapter 本地连接 2:Connection-specific DNS Suffix . escription . . . . . . . . . . . : Intel(R) PRO/100B PCI Adapter (TX)Physical Address. . . . . . . . . : 00-02-ba-0b-04-32Dhcp Enabled. . . . . . . . . . . : NoIP Address. . . . . . . . . . . . : 192.168.100.1Subnet Mask . . . . . . . . . . . : 255.255.255.0

  然后在客户机器的DOS命令下做ARP的静态绑定

  C:WINNTsystem32>arp –s 192.168.100.1 00-02-ba-0b-04-32

  注:如有条件,建议在客户机上做所有其他客户机的IP和MAC地址绑定。

  2. 在网关服务器(代理主机)的电脑上做客户机器的ARP静态绑定

  首先在所有的客户端机器上查看IP和MAC地址,命令如上。

  然后在代理主机上做所有客户端服务器的ARP静态绑定。如:
C:winntsystem32> arp –s 192.168.0.23 00-11-2f-43-81-8bC:winntsystem32> arp –s 192.168.0.24 00-50-da-8a-62-2cC:winntsystem32> arp –s 192.168.0.25 00-05-5d-ff-a8-87。。。。。。。。。

  3. 以上ARP的静态绑定最后做成一个windows自启动文件,让电脑一启动就执行以上操作,保证配置不丢失。

  二、有条件的网吧可以在交换机内进行IP地址与MAC地址绑定

  三、IP和MAC进行绑定后,更换网卡需要重新绑定,因此建议在客户机安装杀毒软件来解决此类问题:发现的病毒是变速齿轮2.04B中带的,病毒程序在 http://www.wgwang.com/list/3007.html下载到:

  1、KAV(卡巴斯基),可杀除该病毒,病毒命名为:TrojanDropper.Win32.Juntador.c杀毒信息:07.02.2005 10:48:00 Cocuments and SettingsAdministratorLocal SettingsTemporary Internet FilesContent.IE5B005Z0K9Gear_Setup[1].exe infected TrojanDropper.Win32.Juntador.c

  2、瑞星可杀除该病毒,病毒命名为:TrojanDropper.Win32.Juntador.f

  3、另:别的地市报金山毒霸和瑞星命名:“密码助手”木马病毒(Win32.Troj.Mir2)或Win32.Troj.Zypsw.33952的病毒也有类似情况。

  附:“密码助手”病毒及TrojanDropper.Win32.Juntador.c 病毒介绍地址:

  http://db.kingsoft.com/c/2004/11/22/152800.shtml
  http://www.pestpatrol.com/pest_info/zh/t/trojandropper_win32_juntador_c.asp
 楼主| 发表于 2007-6-22 15:10:03 | 显示全部楼层
什么是ARP?
ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。

什么是ARP欺骗?
从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。

近期,一种新型的“ ARP 欺骗”木马病毒正在校园网中扩散,严重影响了校园网的正常运行。感染此木马的计算机试图通过“ ARP 欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。ARP欺骗木马的中毒现象表现为:使用校园网时会突然掉线,过一段时间后又会恢复正常。比如客户端状态频频变红,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。如果校园网是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp -d后,又可恢复上网。ARP欺骗木马十分猖狂,危害也特别大,各大学校园网、小区网、公司网和网吧等局域网都出现了不同程度的灾情,带来了网络大面积瘫痪的严重后果。ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。

如何检查和处理“ ARP 欺骗”木马的方法
1 .检查本机的“ ARP 欺骗”木马染毒进程

同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键,选择“任务管理器”,点选“进程”标签。察看其中是否有一个名为“ MIR0.dat ”的进程。如果有,则说明已经中毒。右键点击此进程后选择“结束进程”。参见右图。

2 .检查网内感染“ ARP 欺骗”木马染毒的计算机
在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令:
ipconfig
记录网关 IP 地址,即“ Default Gateway ”对应的值,例如“ 59.66.36.1 ”。再输入并执行以下命令:
arp ?Ca
在“ Internet Address ”下找到上步记录的网关 IP 地址,记录其对应的物理地址,即“ Physical Address ”值,例如“ 00-01-e8-1f-35-54 ”。在网络正常时这就是网关的正确物理地址,在网络受“ ARP 欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。
也可以扫描本子网内的全部 IP 地址,然后再查 ARP 表。如果有一个 IP 对应的物理地址与网关的相同,那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。

3 .设置 ARP 表避免“ ARP 欺骗”木马影响的方法
本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上边介绍的方法确定正确的网关 IP 地址和网关物理地址,然后在 “命令提示符”窗口中输入并执行以下命令:
arp ?Cs 网关 IP 网关物理地址

4.态ARP绑定网关
步骤一:
在能正常上网时,进入MS-DOS窗口,输入命令:arp -a,查看网关的IP对应的正确MAC地址, 并将其记录下来。
注意:如果已经不能上网,则先运行一次命令arp -d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话)。一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp -a。
步骤二:
如果计算机已经有网关的正确MAC地址,在不能上网只需手工将网关IP和正确的MAC地址绑定,即可确保计算机不再被欺骗攻击。
要想手工绑定,可在MS-DOS窗口下运行以下命令:
arp -s 网关IP 网关MAC
例如:假设计算机所处网段的网关为192.168.1.1,本机地址为192.168.1.5,在计算机上运行arp -a后输出如下:
Cocuments and Settings>arp -a
Interface:192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 dynamic
其中,00-01-02-03-04-05就是网关192.168.1.1对应的MAC地址,类型是动态(dynamic)的,因此是可被改变的。
被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC。如果希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找该攻击的机器做准备。
手工绑定的命令为:
arp -s 192.168.1.1 00-01-02-03-04-05
绑定完,可再用arp -a查看arp缓存:
Cocuments and Settings>arp -a
Interface: 192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 static
这时,类型变为静态(static),就不会再受攻击影响了。
但是,需要说明的是,手工绑定在计算机关机重启后就会失效,需要再次重新绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,把病毒杀掉,才算是真正解决问题。

5 .作批处理文件
在客户端做对网关的arp绑定,具体操作步骤如下:
步骤一:
查找本网段的网关地址,比如192.168.1.1,以下以此网关为例。在正常上网时,“开始→运行→cmd→确定”,输入:arp -a,点回车,查看网关对应的Physical Address。
比如:网关192.168.1.1 对应00-01-02-03-04-05。
步骤二:
编写一个批处理文件rarp.bat,内容如下:
@echo off
arp -d
arp -s 192.168.1.1 00-01-02-03-04-05
保存为:rarp.bat。
步骤三:
运行批处理文件将这个批处理文件拖到“Windows→开始→程序→启动”中,如果需要立即生效,请运行此文件。
注意:以上配置需要在网络正常时进行

6.使用安全工具软件
及时下载Anti ARP Sniffer软件保护本地计算机正常运行。具体使用方法可以在网上搜索。
如果已有病毒计算机的MAC地址,可使用NBTSCAN等软件找出网段内与该MAC地址对应的IP,即感染病毒的计算机的IP地址,然后报告单位的网络中心对其进行查封。
或者利用单位提供的集中网络防病毒系统来统一查杀木马。另外还可以利用木马杀客等安全工具进行查杀。

7.应急方案
网络管理管理人员利用上面介绍的ARP木马检测方法在局域网的交换机上查出受感染该病毒的端口后,立即关闭中病毒的端口,通过端口查出相应的用户并通知其彻底查杀病毒。而后,做好单机防范,在其彻底查杀病毒后再开放相应的交换机端口,重新开通上网。
附录一
清华大学校园网络安全响应小组编的一个小程序
下载地址: [url=ftp://166.111.8.243/tools/ArpFix.rar]ftp://166.111.8.243/tools/ArpFix.rar[/url]

清华大学校园网络安全响应小组编了一个小程序,它可以保护您的计算机在同一个局域网内部有ARP欺骗木马计算机的攻击时,保持正常上网。具体使用方法:
1、 程序运行后请先选择网卡,选定网卡后点击“选定”按钮。
2、 选定网卡后程序会自动获取您机器的网关地址。
3、获得网关地址后请点击获取MAC地址按钮获取正确的网关MAC地址。
4、 确认网关的MAC地址后请点击连接保护,程序开始保护您的机器。
5、 点击程序右上角的叉,程序自动隐藏到系统托盘内。
6、要完全退出程序请在系统托盘中该程序图标上点击右键选择EXIT。
注意:
1、这个程序只是一个ARP攻击保护程序,即受ARP木马攻击时保持自己计算机的MAC地址不被恶意篡改,从而在遭受攻击时网络不会中断。本程序并不能清除已经感染的ARP木马,要预防感染或杀除木马请您安装正版的杀毒软件!


附录二
Anti Arp Sniffer 的用法
下载地址:[url=http://www.wipe.edu.cn/Files/wlzx/Antiarp.rar]http://www.wipe.edu.cn/Files/wlzx/Antiarp.rar[/url]

双击Antiarp文件,出现图二所示对话框。

图二
输入网关地址(网关地址获取方式:[开始] -->[程序]--> [附件]菜单下调出“命令提示符”,输入ipconfig,其中Default Gateway即为网关地址);点击获取网关MAC地址,点击自动防护保证当前网卡与网关的通信不被第三方监听。
点击恢复默认,然后点击防止地址冲突,如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数据包。

右击[我的电脑]-->[管理]-->点击[事件查看器]-->点击[系统]-->查看来源为[TcpIP]--->双击事件可以看到显示地址发生冲突,并记录了该MAC地址,请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-),输入完成之后点击[防护地址冲突],为了使MAC地址生效请禁用本地网卡然后再启用网卡,在CMD命令行中输入Ipconfig /all,查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符,如果成功将不再会显示地址冲突。
注:1、如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡;本软件不支持多网卡,部分网卡可能更改MAC会无效。





你的网络是否经常掉线?
你是否担心通讯数据受到监控(如MSN、QQ、EMAIL)?
你是否深受各种ARP攻击软件之苦(如网络执法官、网络剪刀手、局域网终结者)?
     以上各种问题的根源都是ARP欺骗(ARP攻击)。在没有ARP欺骗之前,数据流向是这样的:网关<->本机。ARP欺骗之后,数据流向是这样的:网关<->攻击者(“网管”)<->本机,本机与网关之间的所有通讯数据都将流经攻击者(“网管”),所以“任人宰割”就在所难免了。
    目前很多种木马、蠕虫为了嗅探网络信息,都采用ARP欺骗的方式来劫持网关IP。这些恶意程序统称为ARP病毒。ARP病毒在网吧、校园网、企业网等局域网中广泛传播。感染该病毒后,会影响整个网段(宿舍区整单元、办公区整个楼层)计算机的正常上网,出现同一网段的大面积断网断线。 本软件就是为了抵御ARP病毒的欺骗包侵扰而制作的。软件运行时将网关IP地址与MAC地址静态绑定。以达到抵御攻击影响的效果。
    第一次运行本软件,默认状态将设定为随系统启动自运行。
    软件运行后将自动退出,再不占用任何系统资源。
注意事项:
   请保证第一次运行时可以正常上网(未收到ARP欺骗包影响的状态)。


BLXarpfw.exe

30.75 KB, 下载次数: 10

 楼主| 发表于 2007-6-22 17:01:43 | 显示全部楼层
解决ARP攻击

解决ARP攻击一例


当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。
切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。

由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。



【故障原因】

局域网内有人使用ARP欺骗的木马程序(比如:传奇盗号的软件,某些传奇外挂中也被恶意加载了此程序)。


【故障原理】

要了解故障原理,我们先来了解一下ARP协议。
在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如下表所示。

主机 IP地址 MAC地址
A 192.168.1.1 aa-aa-aa-aa-aa-00
B 192.168.1.2 bb-bb-bb-bb-bb-11
C 192.168.1.3 cc-cc-cc-cc-cc-22
D 192.168.1.4 dd-dd-dd-dd-dd-33

我们以主机A(192.168.1.1)向主机B(192.168.1.2)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.1.2的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-11”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。

从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗,A去Ping主机C却发送到了DD-DD-DD-DD-DD-33这个地址上。如果进行欺骗的时候,把C的MAC地址骗为DD-DD-DD-DD-DD-33,于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么,嗅探成功。

A对这个变化一点都没有意识到,但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。做“man in the middle”,进行ARP重定向。打开D的IP转发功能,A发送过来的数据包,转发给C,好比一个路由器一样。不过,假如D发送ICMP重定向的话就中断了整个计划。
D直接进行整个包的修改转发,捕获到A发送给C的数据包,全部进行修改后再转发给C,而C接收到的数据包完全认为是从A发送来的。不过,C发送的数据包又直接传递给A,倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了,对于A和C之间的通讯就可以了如指掌了。


他网吧用的路由器是TP-link 480+,因为对这个设备不了解(我从来都不用这个牌子的,无论是路由器还是交换机,因为以前我局用Tp-link400的时候被这路由搞晕死了,所以自从那之后就建议公司把这些垃圾全部清除,呵呵,是这些厂家的同志别打我,因为这是我个人的感觉,嘿嘿。。。)言归正状刚好我公司有申请一批路由,本来我的意思是买VIGOR系列的,可是这个本分公司没办法做主,总公司分给我们的是HIPER 3300NB

刚好看了HIPER网站的资料,他们有防止ARP这块,嘿嘿,那好,就拿来试试了,于是就开始我们侦察工作了


【HiPER用户快速发现ARP欺骗木马】

在路由器的“系统历史记录”中看到大量如下的信息(440以后的路由器软件版本中才有此提示):
MAC Chged 10.128.103.124
MAC Old 00:01:6c:36:d1:7f
MAC New 00:05:5d:60:c7:18
这个消息代表了用户的MAC地址发生了变化,在ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址),同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。
如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时,主机在路由器上恢复其真实的MAC地址)。

【在局域网内查找病毒主机】

在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址,那么我们就可以使用NBTSCAN(可以到百度搜索下载)工具来快速查找它。

NBTSCAN可以取到PC的真实IP地址和MAC地址,如果有”传奇木马”在做怪,可以找到装有木马的PC的IP/和MAC地址。
命令:“nbtscan -r 192.168.1.0/24”(搜索整个192.168.1.0/24网段, 即192.168.1.1-192.168.1.254);或“nbtscan 192.168.1.25-127”搜索192.168.1.25-127 网段,即192.168.1.25-192.168.1.127。输出结果第一列是IP地址,最后一列是MAC地址。
NBTSCAN的使用范例:
假设查找一台MAC地址为“000d870d585f”的病毒主机。
1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:\下。
2)在Windows开始—运行—打开,输入cmd(windows98输入“command”),在出现的DOS窗口中输入:C:\nbtscan -r 192.168.1.1/24(这里需要根据用户实际网段输入),回车。

C:\Documents and Settings\ly>C:\nbtscan -r 192.168.1.1/24
Warning: -r option not supported under Windows. Running without it.
Doing NBT name scan for addresses from 192.168.1.1/24
IP address NetBIOS Name Server User MAC address
------------------------------------------------------------------------------
192.168.1.0 Sendto failed: Cannot assign requested address
192.168.1.50 SERVER 00-e0-4c-4d-96-c6
192.168.1.111LLF ADMINISTRATOR 00-22-55-66-77-88
192.168.1.121UTT-HIPER 00-0d-87-26-7d-78
192.168.1.175JC 00-07-95-e0-7c-d7
192.168.1.223test123 test123 00-0d-87-0d-58-5f

3)通过查询IP--MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“192.168.1.223”。



【解决思路】

1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。
2、设置静态的MAC-->IP对应表,不要让主机刷新你设定好的转换表。
3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
5、使用"proxy"代理IP的传输。
6、使用硬件屏蔽主机。设置好你的路由,确保IP地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
7、管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。
8、管理员定期轮询,检查主机上的ARP缓存。
9、使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。


嘿嘿,原理HIPER还有给出解决方案

【HiPER用户的解决方案】

建议用户采用双向绑定的方法解决并且防止ARP欺骗。
1、在PC上绑定路由器的IP和MAC地址:
1)首先,获得路由器的内网的MAC地址(例如HiPER网关地址192.168.1.254的MAC地址为0022aa0022aa)。
2)编写一个批处理文件rarp.bat内容如下:
@echo off
arp -d
arp -s 192.168.1.254 00-22-aa-00-22-aa
将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。
将这个批处理软件拖到“windows--开始--程序--启动”中。
3)如果是网吧,可以利用收费软件服务端程序(pubwin或者万象都可以)发送批处理文件rarp.bat到所有客户机的启动目录。Windows2000的默认启动目录为“C:\Documents and Settings\All Users「开始」菜单程序启动”。
2、在路由器上绑定用户主机的IP和MAC地址(440以后的路由器软件版本支持):
在HiPER管理界面--高级配置--用户管理中将局域网每台主机均作绑定。
 楼主| 发表于 2007-6-22 17:02:02 | 显示全部楼层
近些天,ARP病毒入侵网络,使大多网吧及家庭都陷入苦难!!中招现象:掉线~~~~~~`

上周公司局域网有部分机器发身了掉线现象,但是故障不清晰,不明显,有时候刷新浏览器或者重新启动机器就可以了,而且不是经常断线,偶尔一次,我拿着我的本子是试验的时候一切正常,怀疑线路的故障也排除了.当时就认为他们机器长时间不关机或者操作不当引起的,告诫的方法就是重新启动机器.

  但是本周这个事情发生的频率和现象明显多了,,就联我的机器也不幸免,短的时候大约3分钟就掉线,长的时候有时候是2个多小时,,这个时候ping任何服务器,网关都不通,ping 本机是通的,ping 127.0.0.1也是通的,网卡应该没什么问题,机器是新的呀.但是还偶尔可以ping 通局域网的其他机器.

刚开始解决的方法就是重新启动机器,一般都可以解决,但是如此频繁的掉线也不可能就用这个方法,一定的找到原因,才可以解决,找了一些相关的资料,又询问了圈内一些人,大都说的较含糊,没有明确的答复.超级郁闷.

  当时考虑既然重新启动机器可以,就是他清除了一些缓存的东西,网卡启用了一次,出现掉线的时候我就试着把网卡停用在启用一次,上网也正常了.因为重新开机和重新启动网卡可以解决,当时考试是不是dhcp出现了问题,检查了一下dhcp,租约是在2008年,因改不会有问题,死马当活马医.把本机的ip手工更改了,当时大约1个小时都没有掉线,认为问题已经解决,但是正准备推广这个办法的时候,又掉线了.
  这个也解决不了问题,上不去网络的时候后来用修复网上连接的办法发现也可以解决,仔细观察了一下修复的内容,刷新ARP缓存、刷新NetBIOS缓存、刷新DNS缓存、重新在WINS上注册NetBIOS名称和IP地址、重新在DNS上注册计算机名称和IP地址(ipconfig /registerdns),因为本身是链接的ip,排除了dns,发现最为可疑的是arp.
这个时候就把重点放在arp上,在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。

  ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。

  每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如下表所示。  

  主机 IP地址 MAC地址

  A 192.168.16.1 aa-aa-aa-aa-aa-aa

  B 192.168.16.2 bb-bb-bb-bb-bb-bb

  C 192.168.16.3 cc-cc-cc-cc-cc-cc

  D 192.168.16.4 dd-dd-dd-dd-dd-dd  

  我们以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.16.2的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。

  从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗,A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候,把C的MAC地址骗为DD-DD-DD-DD-DD-DD,于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么,嗅探成功。

运行cmd  键入arp -a ,发现不能上网的时候网关192.168.150.33  变成了00-00-00-00-00-00,正常的应该网关 192.168.150.33   mac 00-0f-e2-18-9c-d1,修复网上连接后正常的是网关 192.168.150.33   mac 00-0f-e2-18-9c-d1,在接着不能上网的时候arp -d 删除,发现也可以上网.这样这个问题基本思路定下来了,就是arp攻击,或者认为或者木马,为了证实我的想法,我把本机绑定了网关的ip和mac,(arp  -s  ip mac),整天都上网正常,这个时候别的还有机器是掉线频频,这样就证实了这个思路是正确的.
我就观察快掉线的时候看到网关192.168.150.33的mac变成了00-11-25-2c-d1-03,现在这个mac地址的机器最为可疑,我就通过一个扫描mac地址的一个软件扫描了一下,找到了这个mac地址的ip和用户名,也就找到了这个机器,杀毒,发现了病毒无数.杀毒后解决.

  为了总结这次事情,又在网上找了找相关资料,下载了一个arp补丁免疫,如果一时找不到有病毒或使用arp攻击的机器,就把这个补丁打上,就不会篡改网关ip mac了.一定在机器上安装防病毒软件,系统保持最新,打上补丁,不给别人或者病毒一些机会.
arp免疫    http://hudongjian.bokee.com/inc/arp%C3%E2%D2%DF.mp3  arp免疫换成rar
 楼主| 发表于 2007-6-22 17:02:18 | 显示全部楼层
随着校园网应用的深入和终端用户的增加,在用户管理和安全管理上的问题凸现出来,其中乱设IP现象特别明显,使合法用户不能使用网络资源,造成网络工作不正常。解决IP冲突,实现用户的唯一性确定,成为维护网络健康、安全运行的重要任务。
    一、IP地址与MAC地址的关系

    IP地址是根据现在的IPv4标准指定的,不受硬件限制比较容易记忆的地址,长度4个字节。而 MAC地址却是用网卡的物理地址,保存在网卡的EPROM里面,与硬件有关系,比较难于记忆,长度为6个字节。

    虽然在TCP/IP网络中,计算机往往需要设置IP地址后才能通讯,然而,实际上计算机之间的通讯并不是通过IP地址,而是借助于网卡的MAC地址。IP地址只是被用于查询欲通讯的目的计算机的MAC地址。

    ARP协议是用来向对方的计算机、网络设备通知自己IP对应的MAC地址的。在计算机的  ARJ缓存中包含一个或多个表,用于存储IP地址及其经过解析的以太网MAC地址。一台计算机与另一台IP地址的计算机通讯后,在ARP缓存中会保留相应的MAC地址。所以,下次和同一个IP地址的计算机通讯,将不再查询MAC地址,而是直接引用缓存中的MAC地址。

    在交换式网络中,交换机也维护一张MAC地址表,并根据MAC地址,将数据发送至目的计算机。

    二、windows对IP地址冲突的自动检测过程

    重复IP地址(duplicate IP address)可以导致网络上的严重破坏,因而对重复IP地址的检测是Windows TCP/IP的一个重要特性。计算机启动时,首次初始化TCP/IP,广播ARP请求,以便为IP地址请求IP地址解析。如果另一个主机回答此ARP请求分组中的任何一个,就表示该主机已经在使用此IP地址。这称为重复地址测试(Dupli-cate Address Test,DAT)。检测到重复地址时,Windows计算机照样引导,但禁用此广播ARP请求的计算机上的重复IP地址,并显示一条IP地址冲突的错误信息。为修复其它计算机中的ARP缓存表可能出现的崩溃,发送ARP请求的计算机重新广播另外一个ARP,但用发送ARP应答的计算机的硬件地址填充ARP请求的源硬件地址(Hardware Address,HA)字段。此技术很有希望可以修复其它计算机的ARP缓存表的崩溃问题,以使正在使用该IP地址的计算机能够正常工作。

    在网络监视器中设置一个捕获过滤器,使之仅捕获与IP相关的流量,指定捕获过滤器文件的名字为test.cap。下面通过捕获到的分组信息进行分析。正常情况下,计算机广播一个带有目标IP地址的ARP请求,其分组中包含以下字段:

    Sender's Hardware Address=0060083671DE

    Sender's Protocl Address=192.168.3.10

    Target's Hardware Address=000000000000

    Target's Protocol Address=192.168.3.18

    ARP回答直接发送到ARP请求方,其分组中包含以下字段:

    Sender's Hardware Address=00A024ABDlE6 Answer)

    Sender's Protocol Address=192.168.3.18

    Target's Hardware Address=0060083671DE

   Target's Protocol Address=192.168.3.10

    这样,发送ARP请求的计算机,找到了目标计算机的MAC址。计算机启动时,发送一个ARJ请求以解析自己的IP地址。其分组中包含以下字段:

    Sender's Hardware Address=0060083671DE

    Sender's Protocol Address=192.168.3.10

    Target's HardWare  Address=000000000000

    T明et's ProtocolAddress=192.168.3.10

    如果其它站没有设为192.168.3.10的IP地址,则没有ARP应答。当网络中存在一个重复IP地址为192.168.3.10,则此站会发送一个ARP应答。其分组中包含以下字段:

    Sender's Hardware Address=00A024ABDlE6 (/hnswer)

   Sender's  ProtocolAdd  ress=192.168.3.10

   Target's Hardware Address=000000000000

   Tagrgt's Protocol  Address=192.168.3.10

当一个站看到来自重复IP站的ARP应答时,此站在计算机屏幕上报告这一问题。在windows2000的系统日志上可查看到错误信息。

三、IP地址冲突的解决方案

通过IP地址与MAC地址绑定,MAC地址与交换机端口绑定,可有效地防止用户更改IP地址和MAC地址现象,较好地解决网络中IP冲突问题。

1.计算机IP地址与MAC绑定

ARP缓存表保存了MAC地址与IP地址之间的绑定,局域网用户通常通过代理服务的方式访问Internet,在代理服务器的ARP缓存表中保存了所有用户的MAC和IP信息。因此,可在代理服务器上将局域网用户的IP地址与MAC地址静态绑定,使得乱设IP址的计算机不能访问Internet。

在CMD方式下,键入以下命令:

ARP—s IP地址MAC地址

例:ARP—s192.168.3.1000—AB一4C一60—08—68 这样,就将静态IP地址192.168.3.10与网卡地址为00—AB—4C—60—08—68的计算机绑定在一起了,即使别人盗用您的IP地址192.168.3.10,也无法通过代理服务器上网。

另外,需要注意的是,通过"—s"参数添加的项属于静态项,不会造成ARP缓存超时。只有终止TCP/IP协议后再启动,这些项才会被删除。通常编辑一批处理文件,包含所有IP与MAC绑定的命令,当系统重启或终止TCP/IP协议后再启动时,运行该批处理文件即可。

2.交换机端口与MAC绑定

交换机工作在数据链路层的MAC子层,传输的是帧,通常用于连接两个或多个以太网段。交换机在接收到以太帧后,从以太帧的源MAC地址字段"逆向"学习到去源站的路径,并生成、完善和维护着一个MAC地址与端口的映射表,在这个表中记录着交换机每个端口绑定的MAC地址。交换机以帧中的目的地址查找MAC地址表各项,如有匹配项则按该表项指定的端口路径转发帧,如无相应表项则向除源端口以外的所有端口广播转发帧。帧中的源和目的地址都是物理地址,即MAC地址。

将交换机的MAC地址与端口绑定,终端用户如果擅自改动本机网卡的MAC地址,该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现,自然也就不会对局域网造成干扰了。

以思科2950—A交换机为例、登录进入交换机,输入管理口令进入全局配置模式,键入命令:

(config) #mac—address—table static<MAC地址>vlan<VLAN号>interface<模块号/端口号表> 该命令可分配一个静态的MAC地址给某些端口,即使重自交换饥,这个地址也仍然会存在。从此。该端口只允许这个MAC地址对应的设备连接在该端口上送行通信。用户通过注册表等方式更改MAC地址后,交换机拒绝为其通信。

四、IP地址和MAC地址的获取

校园网IP地址可以由学校网络管理部门强制进行分配,但MAC地址必须从本机或借助一些软件获取。一是从本机获取。对于Windows98/Me,运行"winipcfg",在对话框就可看到IP地址,而"适配器地址"就是网卡的MAC地址。对于windows NT/2000/XP,需在命令提示符下输入"ipconfig/all",显示列表中的"Physical Address"就是MAC地址,"IP Address"就是IP地址。

二是通过一些网管软件获取。如"MAC扫描器""NetSuper"等。另外在同一局域网内的,可以用ping IP或者ping主机名,然后用arp—a来获得其它计算机的MAC地址。

参考文献:

[1]Karanjit Siyan Windows 2000 TCP/IP实用全书[M].北京:电子工业出版社,2001

[2]蒋理等.计算机网络实验操作教程[M]西安:西安电子科技大学出版社,2003

   

摘自《中国电化教育》2004年第7期

Linux下ARP绑定
机器全开
#arp -a > /etc/ethers
#vi ethers
改成形式ip mac
#vi /etc/rc.d/rc.local
加上一行
arp -f
保存
执行arp -f

这样服务器将不再接收arp包,平时做好mac同IP收集工作,这样很容易查到破坏者,并送交公安机关,如果是学生就无办法啦,我这边这次是个学生

ps:绑定后有可能还会出现发生冲突,但是不会断线,影响至最小,可以通过双机arp -a发现破坏者,网络执法官也是个好工具,网管不妨先装上24小时开着
  arp -f时如果环境是FreeBSD的话要指定文件路径
 楼主| 发表于 2007-6-22 17:02:27 | 显示全部楼层
关于arp的详细资料请读者自行查找参考,鉴于arp的危害性本文不详细介绍攻击方法.
我们首先要知道以太网内主机通信是靠MAC地址来确定目标的.arp协议又称"地址解析协议",它负责通知电脑要连接的目标的地址,这里说的地址在以太网中就是MAC地址,简单说来就是通过IP地址来查询目标主机的MAC地址.一旦这个环节出错,我们就不能正常和目标主机进行通信,甚至使整个网络瘫痪.
ARP的攻击主要有以下几种方式
一.简单的欺骗攻击
这是比较常见的攻击,通过发送伪造的ARP包来欺骗路由和目标主机,让目标主机认为这是一个合法的主机.便完成了欺骗.这种欺骗多发生在同一网段内,因为路由不会把本网段的包向外转发,当然实现不同网段的攻击也有方法,便要通过ICMP协议来告诉路由器重新选择路由.
二.交换环境的嗅探
在最初的小型局域网中我们使用HUB来进行互连,这是一种广播的方式,每个包都会经过网内的每台主机,通过使用软件,就可以嗅谈到整个局域网的数据.现在的网络多是交换环境,网络内数据的传输被锁定的特定目标.既已确定的目标通信主机.在ARP欺骗的基础之上,可以把自己的主机伪造成一个中间转发站来监听两台主机之间的通信.
三.MAC Flooding
这是一个比较危险的攻击,可以溢出交换机的ARP表,使整个网络不能正常通信
四.基于ARP的DOS
这是新出现的一种攻击方式,D.O.S又称拒绝服务攻击,当大量的连接请求被发送到一台主机时,由于主机的处理能力有限,不能为正常用户提供服务,便出现拒绝服务.这个过程中如果使用ARP来隐藏自己,在被攻击主机的日志上就不会出现真实的IP.攻击的同时,也不会影响到本机.


防护方法:

1.IP+MAC访问控制.

单纯依靠IP或MAC来建立信任关系是不安全,理想的安全关系建立在IP+MAC的基础上.这也是我们校园网上网必须绑定IP和MAC的原因之一.


2.静态ARP缓存表.

每台主机都有一个临时存放IP-MAC的对应表ARP攻击就通过更改这个缓存来达到欺骗的目的,使用静态的ARP来绑定正确的MAC是一个有效的方法.在命令行下使用arp -a可以查看当前的ARP缓存表.以下是本机的ARP表
C:\Documents and Settings\cnqing>arp -a

Interface: 210.31.197.81 on Interface 0x1000003
Internet Address Physical Address Type
210.31.197.94 00-03-6b-7f-ed-02 dynamic
其中"dynamic" 代表动态缓存,即收到一个相关ARP包就会修改这项.如果是个非法的含有不正确的网关的ARP包,这个表就会自动更改.这样我们就不能找到正确的网关MAC,就不能正常和其他主机通信.静态表的建立用ARP -S IP MAC.
执行"arp -s 210.31.197.94 00-03-6b-7f-ed-02"后,我们再次查看ARP缓存表.
C:\Documents and Settings\cnqing>arp -a

Interface: 210.31.197.81 on Interface 0x1000003
Internet Address Physical Address Type
210.31.197.94 00-03-6b-7f-ed-02 static
此时"TYPE"项变成了"static",静态类型.这个状态下,是不会在接受到ARP包时改变本地缓存的.从而有效的防止ARP攻击.静态的ARP条目在每次重启后都要消失需要重新设置.
3.ARP 高速缓存超时设置
在ARP高速缓存中的表项一般都要设置超时值,缩短这个这个超时值可以有效的防止ARP表的溢出.
4.主动查询
在某个正常的时刻,做一个IP和MAC对应的数据库,以后定期检查当前的IP和MAC对应关系是否正常.定期检测交换机的流量列表,查看丢包率.

总结:ARP本省不能造成多大的危害,一旦被结合利用,其危险性就不可估量了.由于ARP本身的问题.使得防范ARP的攻击很棘手,经常查看当前的网络状态,监控流量对一个网管员来说是个很好的习惯.
 楼主| 发表于 2007-6-22 17:02:36 | 显示全部楼层
ARP攻击1、ARP攻击
   针对ARP的攻击主要有两种,一种是DOS,一种是Spoof。
   ARP欺骗往往应用于一个内部网络,我们可以用它来扩大一个已经存在的网络安全漏洞。
   如果你可以入侵一个子网内的机器,其它的机器安全也将受到ARP欺骗的威胁。同样,利用APR的DOS甚至能使整个子网瘫痪。
   2、对ARP攻击的防护
   防止ARP攻击是比较困难的,修改协议也是不大可能。但是有一些工作是可以提高本地网络的安全性。
   首先,你要知道,如果一个错误的记录被插入ARP或者IP route表,可以用两种方式来删除。
   a.    使用arp –d host_entry
   b.    自动过期,由系统删除
   这样,可以采用以下的一些方法:
     1).    减少过期时间
#ndd  –set /dev/arp  arp_cleanup_interval 60000
#ndd  -set /dev/ip ip_ire_flush_interval 60000
60000=60000毫秒  默认是300000
    加快过期时间,并不能避免攻击,但是使得攻击更加困难,带来的影响是在网络中会大量的出现ARP请求和回复,请不要在繁忙的网络上使用。
     2).    建立静态ARP表
    这是一种很有效的方法,而且对系统影响不大。缺点是破坏了动态ARP协议。可以建立如下的文件。
      test.nsfocus.com  08:00:20:ba:a1:f2
      user. nsfocus.com  08:00:20:ee:de:1f
    使用arp –f filename加载进去,这样的ARP映射将不会过期和被新的ARP数据刷新,除非使用arp –d才能删除。但是一旦合法主机的网卡硬件地址改变,就必须手工刷新这个arp文件。这个方法,不适合于经常变动的网络环境。
     3).禁止ARP
     可以通过ifconfig interface –arp 完全禁止ARP,这样,网卡不会发送ARP和接受ARP包。但是使用前提是使用静态的ARP表,如果不在apr表中的计算机 ,将不能通信。这个方法不适用与大多数网络环境,因为这增加了网络管理的成本。但是对小规模的安全网络来说,还是有效和可行的。
 楼主| 发表于 2007-6-22 17:02:46 | 显示全部楼层
1。软件网页:http://hack309.ful.cn/more.asp?name=hack309&id=152978
此软件的可运行于win2000,98,xp系统下,对交换机,网关路由无特定要求,只要在客户端机器上安装后,即
可实现对ARP欺骗类攻击的防护,并且占用的资源几乎可以忽略不计,是网吧管理员的必备利器。
使用方法:
把本软件置于电脑任何路径,双击运行,下次重启系统即可随电脑自动运行,主窗口中有关于网关的IP及网关
mac地址及是否受攻击的一些信息,启动5秒钟后自动缩为托盘图标,右击托盘图标为弹出主窗口,左击弹出相
关的菜单。

2。最近arp真的很猖獗,本人快被arp弄崩溃了,arp就是我的噩梦

这里先说一下xp的arp防护吧,真的很简单,一个小小的arp –s就搞定了,我这里就不赘述了

看了很多关于arp的贴子,发了很多个人关于arp的看法,也试了很多防止arp的办法,arp –s 在2000上真的没有任何实际意义,本人同时在2000和xp上测试无数次。还有高颖兄的每秒钟做一次arp绑定,呵呵,(这个本人测试也是失败,也许我中间什么地方做得不对吧)但是正是这个贴子里的http://bj1.bbs.txwm.com/dispbbs.asp?BoardID=190&ID=299424,wjc826194兄弟的一句话“傻着,把网关IP改掉。开机运行批处理修改网关。。很简单就KILL了ARP”,(以前真的一直没有看到过这种说法),使我有了现在的想法。

具体办法有两个,第一个可以保证你在不断网的情况下完成,第二个必须要断网,但是不用修改客户机上的网关ip

方法一:

1:先手动修改你客户机的网关地址为任意ip地址

2:写个批处理开机自动执行,批处理内容如下

route delete 0.0.0.0

route add 0.0.0.0 mask 0.0.0.0 192.168.0.1 metric 1

route change 0.0.0.0 mask 0.0.0.0 192.168.0.1 metric 1

这里的192.168.0.1是你的真实网关ip

3.这样就已经解决了arp了,吼吼,噩梦远离我~~

4.这个办法对现在网页上存在的ok.exe有效,经过本人测试成功。恶意arp攻击只需随便找个2000以上服务器做好底下所有客户机的ip-mac绑定,手动也行,用网盟好多前辈发的那些软件绑定也行。

方法二:

1:修改你上网服务器的内网ip

2:剩下的跟上面没什么区别了


这样就解决了现在的arp欺骗了,其实道理很简单,就是大家一直没有注意到而已,当你执行完这个批处理后你就会发现,你在你的网络属性里看到的还是假得网关ip,但是你真正的网关ip已经是192.168.0.1了,哈哈.

希望用2000的各位能用这个办法解决arp,解决吊线,解决顾客的“网管,XXXXXXXX
参考资料:http://bbs.txwm.com/dispbbs.asp?boardid=190&id=299907
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-13 14:28 , Processed in 0.111878 second(s), 19 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表