ARP 欺骗攻击解决

network

360ARP防火墙v1.1试用手记（多图）okmjok200
应大家的要求，附上下载地址，不知道还有没有比这个更新的版本，有的话跟我说一声，(*^__^*)
下载地址：360ARP防火墙v1.1beta

这几天看到360的官方网站说 ARP防火墙1.1发布了貌似是说用了新的内核驱动技术了。与是卸掉原来装的1.0（说实在的确实有点不好用）版本，
下载并安装了360ARP防火墙1.1版。（正好是11月11自光棍节 呵呵~~这个1.1的版本号很幽默）
:kdtiaopi;安装过程不用说，都是360一直以来的风格，那个安装程序的图标就不舍得换一下-.-0
虽然还是没有做可爱的皮肤，但看出来 比上版功能大大提高了，刚装上 ，我让我单位同事的小王上一下他平时上的一个**网站，叫什么什么xp。com
结果就中毒情况就出来了，于是我这里立刻收到了非常多的拦截次数统计，（呵呵 估计是超高速发的arpi包啊）
我还以为360要和以前一样跳警告不停了呢 ，谁知只弹出一次 我一确认 后几分再不跳了 只是默默的统计和拦截，貌似是10分钟还是多少分钟再警告一次 ，没太留意。不错 呵呵 这样玩游戏的就不怕被烦死了。
短短2分钟，拦了上千次，值得表扬 呵呵。

在看看设置，增加了自定义保护网关 可以保护多个网关 也可以用于自动获取不准的时候，
我们单位的网关是固定的 所以我就干脆手工指定 这样保险 呵呵。


:kdtiaopi;
好了 很不错哦。
看看攻击记录吧


看起来有点乱 呵呵 建议360把这个攻击列表最好排列下

虽然界面不好看，但是功能上确实比上一个版本大幅度提高了！
而让小王开启了这个版本的，他的界面提示到 他的电脑正在攻击他人 呵呵
这个时候我这里就没有再收到攻击了。看来360搞的这个东西双向拦截 不是盖的。
目前我的意见就是有些太丑啦。功能第一是好事，界面也要加油了 呵呵！

暂时还没想到其他的什么，等想到了 再出来给你们说吧。 值得一提的是，这个东西几乎不占资源，推荐中小企业网吧什么的都装上 以防万一嘛

network

很多企业网管人员都痛恨ARP攻击，原因是他们需要经常奔波在解决问题于排查问题之间，很多时候都无可奈何。本文介绍了一款第三方ARP防御软件：Anti ARP Sniffer的详细使用方法，希望本文对各位网络管理人员和51CTO广大网友有所帮助。最近经常接到用户电话抱怨，上网时断时续，反映有时系统还会提示连接受限、根本就无法获得IP，网关交换机无法ping通，而指示灯状态正常。重启交换机后客户机可以上网，但很快又涛声依旧！严重影响了企业网络正常使用，还有可能造成经济损失。
根据用户描述的情形和我们多次处理的经验，可以肯定是ARP攻击（ARP欺骗）所致。知道了问题所在，但如何解决呢？
虽然可以采用在交换机绑定MAC地址和端口、在客户机绑定网关IP和MAC地址的“双绑”办法预防，但由于网管的工作量太大，且不能保证所有的用户都在自己的电脑上绑定网关IP和MAC地址，所以我们采取以下措施来预防和查找ARP攻击。
这里推荐用户在自己的电脑上安装第三方工具软件：ColorSoft开发的ARP防火墙（原名Anti ARP Sniffer）。该软件最大的特点是在系统内核层拦截虚假ARP数据包，并且主动通告网关本机正确的MAC地址，这样可以保障安装该软件的电脑正常上网，并且拦截外部对本机的ARP攻击。
如果发现内部ARP攻击，直接处理本机就行了；如果发现外部ARP攻击，则根据实际情况通过攻击者的IP地址和/或MAC地址查找该攻击者电脑。下面就以实例介绍一下该软件的详细使用方法：
1、在同一网段的电脑上下载ARP防火墙、安装、运行。第一天，一切正常，没发现攻击行为。第二天，开机不到半小时就发现了ARP攻击，如图1

图1 ARP防火墙发现外部ARP攻击

2、为了不冤枉好人，进一步确认攻击者的MAC地址。进入核心交换机，查看该网段的MAC地址表。我们的核心交换机是华为的，键入命令“Display arp vlan xx”（xx为所要查找ARP攻击网段的VLAN号），回车。显示如图2所示结果。

图2 核心交换机上显示的MAC地址表

为了方便查看，我们将该数据拷贝到Word中并按MAC地址排序。在Word中，选中该数据，从“表格”菜单中选择“排序”菜单项，弹出“排序文字”窗口，“主要关键字”选“域 3”即MAC地址，如图3

图3 排序MAC地址表

排序后很容易就可以看到有四个IP地址对应于同一个MAC地址（如表1）！我们知道MAC地址是全球唯一的，这与ARP防火墙检测到的结果相吻合，现在MAC地址0011-5b2d-5c03所对应的电脑肯定有问题了。这些IP中应该只有xxx. xxx. xx.92是真实的，其余的都是伪造的。由于我们的电脑一直在监测，该攻击者电脑刚对外攻击，就被检测到了，所以它伪造的IP地址还不多，我曾经发现过伪造了近10个IP地址的情形，而该网段总共有二十多台电脑。

表1 伪造的IP地址

xxx. xxx. xx.178	0011-5b9d-7246
xxx. xxx. xx.188	0011-5b9d-7246
xxx. xxx. xx.197	0011-5b9d-7246
xxx. xxx. xx.92	0011-5b9d-7246

3、查找ARP攻击者
如果是静态IP，找出IP地址登记表，很容易就可找到发送ARP攻击的电脑。由于我们用的是动态IP，又没有每台电脑的MAC地址，所以虽然知道了攻击者的IP地址和MAC地址，但是万里长征还只迈出了第一步。
我们的DHCP服务器是基于Microsoft Windows 2003的，打开DHCP管理器，从地址租约里查看IP地址xxx. xxx. xx.92对应的计算机名，是随机的，没什么意义。
登录到有所要查找网段VLAN的各接入层交换机上，逐一查看该交换机上的MAC地址表。我们用的是安奈特的交换机，在Web界面下按VLAN查询MAC地址表，看是否有MAC地址为0011-5b9d-7246的记录。一直查到第15台交换机，才终于找到罪魁祸首，结果如图4，可以看出该MAC地址对应于交换机的第16口。别的厂家的可网管交换机也都有查看MAC地址的功能。

图4 接入层交换机上的MAC地址表

4、剩下工作的就简单了，先将该交换机的第16口Disable，然后查找用户上网登记信息，通知该用户处理自己的电脑。
最后，推荐几点防范ARP攻击的措施：
1、在交换机上划分VLAN，这样即使网络中存在ARP攻击，也仅影响该VLAN的用户，缩小受影响范围和查找范围。
2、要求用户安装ARP防火墙。既可防止来自外部的ARP攻击，也可防止本机向外发送ARP攻击。一旦发现攻击及时与网管联系。
（截至本文完稿，ARP防火墙的最新版本是v4.3.1，下载地址为http://www.antiarp.com/download.htm。）