博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
楼主: network

ARP病毒分析并解决方法大全

[复制链接]
 楼主| 发表于 2007-6-22 17:03:00 | 显示全部楼层
防止arp攻击的最有效解决办法

今天在论坛上转了转,发现有好多朋友问一些关于arp攻击和网吧掉线的问题!本人也曾经是arp攻击的受害者,所以在这里就总结出了几条经验供大家分享!也希望那些网吧经常掉线的朋友看了这篇文章,用了我这个东西以后,不再因为arp攻击或者网吧掉线而苦恼!
这两个东西,一个是监控 mac用的,一个是设置虚拟网关用的,都是用au3写出来的,有兴趣的朋友可以反编译一下看到其中的源码的!

我觉得防止arp攻击做到以下三点就足够了:
首先,随便找一台机器,装一个mac监控的软件就可以了,附件里有下的!
其次,设个虚拟的网关,如果攻击的话也是那个不存在的网关地址,嘻嘻~~
关于这个软件,附件里也有下的!
最后,绑定mac地址就OK啦,arp -s自己编个批处理,每次开机时运行!


防止arp攻击解决办法
首先,先介绍一下,总共是两个软件,一个是监控mac的软件,一个是设置虚拟网关的软件,
都是用au3写的,有兴趣的朋友可以使用au3工具反编译成源码的!
下面就来看一下怎样来使用!

1. arp的监控软件的主程序为GetAllMac文件夹里的getallmac.exe文件,可以将它放在
用于监控的机器上,不过这个比较占资源,特别是CPU占用的特别厉害!但是很有效,可以
第一时间判断出哪台机器的mac地址会和网关的mac发生冲突!所以才推荐使用!

2. 设置虚拟网关的东东,是我自己写的,呵呵,只是一小段代码而已,但是很有用!在使用
之前请先将你的本地连接上的网关随便设成一个不存在的IP地址,比如说192。168。0。161,
然后运行arp.reg,这个是在启动项里添加arp.exe用的,也就是说每次开机调用真实的网关
地址,那个本地连接的只是个假地址而已,呵呵,骗人用的!不信的话可以在dos里输上
ipconfig/all查一下,看网关是不是你的真实网关地址!

注意:本软件只对网关是192。168。0。1的网络有效,网关是其它的话请反编译本软件,然后
自行修改网关地址,


3. 捆绑IP,这个不用我多说,大家都会 arp -s !


我想通过这三个步骤的设置,你一定不会再为arp问题而苦恼,不会再因为网吧掉线而睡不着,
吃不好了,:)


还有,默认情况下,是把arp.exe放到e:\\这个位置,也就是E盘的根目录下!当然你也可以把它
放到其它地方,但是如果要把arp.exe文件放到其它地方的话,请注意修改arp.reg里的文件路径。
好了,有什么不明白的地方的话可以找我!
祝大家好运!

我想通过以上这三项设置,你就可以和arp攻击说bye bye了,:P
 楼主| 发表于 2007-6-22 17:03:16 | 显示全部楼层
ARP解决方法+ARP工具+快速解决ARP
ARP的分析与解决.

如果您的网络出现,整体突然掉线,或者有不定时的部分机器掉线,再或者出现一台一台机器的掉线.而且一般情况下几种掉线都会自动恢复.那我非常热切的恭喜您,您中奖啦.奖品是ARP欺骗.  不用高兴也不用激动,因为这个奖项量很大,很朋友都在深受其意.ARP到底咋回事,这里咱说道说道.

为了一个朋友"忘忧草"特意再加一段,"不掉线,一切看似正常的ARP"
   

ARP欺骗原理:
       在同一NET内的所以机器是通过MAC地址通讯。方法为,PC和另一台设备通讯,PC会先寻找对方的IP地址,然后在通过ARP表(ARP表里面有所以可以通讯IP和IP所对应的MAC地址)调出相应的MAC地址。通过MAC地址与对方通讯。也就是说在内网中各设备互相寻找和用来通讯的地址是MAC地址,而不是IP地址。
      但是当初ARP方式的设计没有考虑到过多的安全问题。给ARP留下很多的隐患,ARP欺骗就是其中一个例子。
      网内的任何一台机器都可以轻松的发送ARP广播,来宣称自己的IP和自己的MAC。这样收到的机器都会在自己的ARP表格中建立一个他的ARP项,记录他的IP和MAC地址。如果这个广播是错误的其他机器也会接受。例如: 192。168。1。11机器MAC是 00:00:00:11:11:11,他在内网广播自己的IP地址是192。168。1。254(其实是路由器的IP),MAC地址是00:00:00:11:11:11(他自己的真实MAC).这样大家会把给192。168。1。254的信息和发给00:00:00:11:11:11.也就是192。168。1。11..。 有了这个方法欺骗者只需要做一个软件,就可以在内网想骗谁就骗谁.而且软件网上到处都是,随便DWON随便用.要多随便有多随便啊...
       基于原理,ARP在技术上面又分为,对PC的欺骗和对路由的欺骗.他们的区别在后面的ARP解决里面仔细阐述.
    ARP欺骗的起因:
        网络游戏兴起后网络盗号,木马也跟着疯狂。ARP欺骗就是一种很好的盗号方式。欺骗者利用自己在网吧上网时,先找到内网网关的MAC地址,然后发送自己ARP欺骗,告送内网所以的机器自己是网关。例如:192。168。1。55 MAC00-14-6c-18-58-5a 机器为欺骗者的盗号机器,首先,他会先找到内网的网关(内网网关为 192。168。1。1  MAC为XX.XX.XX.XX.XX.XX)。之后他就会发送ARP广播,说自己的IP地址是192。168。1。1  MAC地址是00-14-6c-18-58-5a.这样,内网的所有收到他发信息得机器都会把它误认为内网的网关。所有上网信息都会通过他的MAC地址发给这个机器,由于找不到真正的网关,这些被骗的机器就无法上网。而发送的所有信息都会被这个盗号机器收到,通过分析收到的信息他可以在里面找到有用的信息,特别是有关于帐号的部分,从而得到正在游戏的玩家的帐号,发生盗号事件。
    ARP的发现:
    那我们网吧出现掉线了,是否是ARP呢?如何去判断.好,这里给出方法,但是请大家顶了再说.


   [之后的内容未被屏蔽,回复后可以查看]

    ARP的通病就是掉线,在掉线的基础上可以通过以下几种方式判别,1。一般情况下不需要处理1分钟之内就可以回复正常上网。因为ARP欺骗是由时限,过了期限就会自动的回复正常。而且现在大多数路由器都会在很短时间内不停广播自己的正确ARP,使受骗的机器回复正常。但是如果出现攻击性ARP欺骗(其实就是时间很短的量很大的欺骗ARP,1秒有个几百上千的),他是不断的通过非常大量ARP欺骗来阻止内网机器上网,即使路由器不断广播正确的包也会被他大量的错误信息给淹没。2。打开被骗机器的DOS界面,输入ARP -A命令会看到相关的ARP表,通过看到的网关的MAC地址可以去判别是否出现ARP欺骗,但是由于时限性,这个工作必须在机器回复正常之前完成。如果出现欺骗问题,ARP表里面会出现错误的网关MAC地址,和真实的网关MAC一对黑白立分.
   ARP解决:
     现在看到ARP解决方案,都感觉有点效率低下,而且不够稳定.本人对欣向路由较为了解,以他为例吧.
     

1.路由ARP广播.
      国内部分硬件路由有此功能,最早是在欣向的路由里面发现这个功能.感觉不错,挺有方法的,但是在软路由里面好像还未发现,软路由的兄弟们加把劲啦.他的原理是路由器不间断的广播正确的路由器ARP.例如:路由器的IP是192.168.1.1 MAC:11:12:13:14:15:16,那他就会不停的每秒广播自己的正确ARP.不管你内网机器是否喜欢收,1秒收一个一秒收一个,收到了就改一次ARP表收到了就改一次ARP表.无穷无尽无止无息,子子孙孙无穷亏也.....如果出现ARP欺骗,欺骗者发出欺骗信息,PC刚收到欺骗信息就收到了正确信息.所以问题也就解决了.但是有个隐患,就是广播风暴的问题.不间断的广播是否会应该内网的网络呢??? (带着问题请教了国内某厂家欣X的工程师,工程师很热情的解除了我的疑惑,感谢一下先).以每秒次的频率发送APR广播在内网是微乎其微的,因为任何一个机器都会有广播发生,多一个ARP最多相当于多几台机器的信息量,对内网是不会有影响的.但是这种方式有他的问题,当欺骗者加大欺骗ARP的频率超过路由时(在欺骗软件上面实现非常容易),还是会造成欺骗的效果.解决也应该很简单就是加大路由器的广播频率,但是欣X的工程师却否定了这种方法,原因请看第2条.
   

2.超量路由ARP广播.
      近期发现个别路由厂家宣传可以完全防止ARP问题.我抱着崇敬的心态去学习了一下处理方法,不得不让人失望,是非常失望和痛心.所谓完全防止其实就是前面的路由ARP广播,只是简单的把频率加大到每秒100.200.....次. 这种方法效果单看ARP方面确实比每秒一次要好.但是却是得不偿失,甚至有点.....不说了,免得让人骂.简单给大家分析一下,每秒100为例吧,也就是说,路由器1秒时间会发出100个ARP广播,200台的电脑,每台机器每秒处理100次.如果有10台交换机,就会有10个交换机处理100次.每次交换机都会把信息互相转发,这每秒ARP信息的处理量要按照10N次方*100去计算的.大家如果了解广播的模式就会清楚,交换家之间会互相不停的传递信息,你发给大家,我收到了,还会发给大家.大家收到了还是要发给大家.这样每台PC最终收到的信息每秒要上万条吧(这个量应该只小没大吧?).每秒都这样干100次.不知道网络内部要成为什么样子??PC的就没事老维护ARP表就不干别的了吗?为了一个ARP,7*24小时的折腾网络值得吗?网络性能要降低多少啊.人满时或者有点内网的小攻击时,网吧不瘫痪估计有点难啊,,,死字很容易写啊.当然平时你是感觉不到的.但是我要问一句想出此方法的工程师,你出这个方案,是为了解决问题吗?
   

3.极力推荐的方法.静态绑定.
     ARP解决最有效的方法,就是从根本杜绝他的欺骗途径。
     欺骗是通过ARP的动态实时的规则欺骗内网机器,所以我们把ARP全部设置为静态可以根本解决对内网PC的欺骗。
     方法为:找到路由器的lan口的MAC地址,把MAC地址通过静态的方式帮定到每台PC上面。通过命令,ARP -S 可以实现。 首先,建立一个批处理文件。内容只有一行命令,“ARP    -S     内网网关   网关的MAC地址 ”,例如:“ARP   -S    192.168.1.1       00-13-32-33-12-11   ”.把批处理文件放到启动里面,这样每次开机都会执行这个文件,即使出现ARP欺骗,由于我们设置的是静态方式,PC也不会去理会欺骗的ARP.


    如果设置成功会在PC上面通过执行  arp -a 可以看到相关的提示:
    Internet Address      Physical Address               Type(注意这里)                     
     192.168.1.1          00-0f-7a-05-0d-a4            static(静态)
      一般不绑定,在动态的情况下:
    Internet Address      Physical Address              Type
     192.168.1.1           00-0f-7a-05-0d-a4            dynamic(动态)


   ARP对路由的欺骗.
   做了静态绑定之后,为什么还会掉线呢?还是ARP吗?不幸的是,还是ARP( ARP对路由欺骗).
   因为有种情况下的问题,没有得到解决.大家设想一下,现在的处理方法如果碰到欺骗者不是冒充网关,而是冒充内网的PC会如何呢?答案是掉线,冒充谁,谁掉线.因为路由器收到欺骗ARP后找不到你了,转发给你的信息全部给了欺骗者的机器啦...  我们在PC上面可以绑定网关.难道在路由上面也绑定PC吗?  答案是否定的,难道我内网每台PC的MAC地址都在路由里面绑定,累死了,而且几百个MAC地址看着就眼晕,而且如果有任何改动都需要调整路由器,几百条记录也太累了吧.针对这个问题对多台设备进行了测试,包括3个版本的软路由,欣X,侠X,艾X等等的产品(大家也想测试的话,给当地的厂家代理商说你要试用,简单啊).最终结果不尽人意,软路由3种里面只有1种有可以解决的方法,而且是每台绑定方法.3款硬路由有1款是可以完全防范,2款需要绑定(提醒大家,2款产品都有绑定数量的限制,超过数量无法解决,采购时注意询问).对于1款可以防范的产品做了一些研究但是没有结果,再次打通了欣X的工程师电话,请教处理方法.工程师给出了答案,欣X路由是采用的WINDRIVER的VxWORKSII的操作系统.在效率与安全性要比免费LINUX系统的强很多,这套2代的系统本身就可以维护一个数据库不从硬件的数据库提取数据,数据表内容都是在PC上网时收集的,对于ARP欺骗根本就不予理睬,针对ARP对路由的欺骗在基础上面就已经给屏蔽了.而且内网可以随意的改动与调整.有点象厂家稿子啦..


   ARP的问题这里基本都提到了,如果还有想法请大家提出来.我们一起讨论.......

      后面在补充一种ARP欺骗的问题,他就是对交换机,很多带管理的交换机他们都有一张ARP表格需要维护,而且通过这张表来提高数据的交换效率.如果出现ARP欺骗,交换机就无法给目标IP发送数据啦,所以需要在交换机里面做静态ARP绑定.

为什么会有不掉线,一切看似正常的ARP     

      大家是否出现过网吧丢游戏号,丢QQ号,丢钱包的问题呢?

      特别是大面积的丢失帐号,很大部分就是ARP造成的.原理是:欺骗者,先骗了PC后骗了路由器.

这种情况下,PC把信息发给欺骗者,然后欺骗者把信息再转发给路由器.当欺骗者收到路由器回来的信息后再发给相对应的PC.这样就可以再不影响内网PC正常上网情况下,截获PC的上网信息,就可以盗你的游戏帐号,盗你的qq号.偷你的钱包他就要换另一个方法了(下一篇文章着重讨论防范偷钱包.)

大家问题的解决:

1。欣向不需要升级就可以解决ARP欺骗路由器的问题,因为他可以本身就防范,原因就是用了VxWorks II。

2。杀病毒还是重装系统都没有太多的意义,因为你能保证不在感染吗,能保证么有人在网络内主动运行吗?

3。对于那些各类的SERVER,确实比较头痛,因为不论是LIUXN还是WINDOWS都要面临各种内网的机器变动啊,调换啊之类的事情。但是有个好消息,欣向有一个类似网管的软件,好象可以解决类似问题。以欣向的技术估计软件不会差了。

4。有朋友提出改动内网PC的IP与MAC,设置为与路由冲突,使路由DWON掉。这个问题超出了ARP的范畴。但是,你说的方法确实破坏力很强,我之前的软路由确实很怕这个东西。但是用欣向的路由就没事啦。

大家有问题继续提,我会尽量和大家一起深入探讨的。。。

追加欣向ARP工具,并介绍使用方法与技巧。

经过这2天的测试与使用,发现欣向的这个工具还是非常适应潮流地,是大家需要地,是不错地,是个好同志地,是。。。。好了,先和大家探讨一下如何使用。

这里给大家推荐的工具包括:

1。欣向ARP工具。包括很全面的ARP防范的功能。(其中包括WinPcap_3_0.)

下载地址: http://www.nuqx.com/downcenter.asp

(试了1个小时,咱这论坛的上传功能实在是不会玩,大家去欣向下吧。)

2。抓包看包工具。ethereal-setup-0.10.8。

http://www.ethereal.com/distribu ... al-setup-0.10.8.exe

欣向ARP工具。(欣全向ARP工具.exe)

   共分5大功能 (软件中所有需要保存文件的功能都会保存在软件所在的目录中)

1。IP/MAC清单

   a。选择网卡。如果是单网卡不需要设置。如果是多网卡需要设置连接内网的那块网卡。

    b。IP/MAC扫描。这里会扫描目前网络中所有的机器的IP与MAC地址。请在内网运行正常时扫描,因为这个表格将作为对之后ARP的参照。

    之后的功能都需要这个表格的支持,如果出现提示无法获取IP或MAC时,就说明这里的表格里面没有相应的数据。

2。ARP欺骗检测

   这个功能会一直检测内网是否有PC冒充表格内的IP.你可以把主要的IP设到检测表格里面,例如,路由器,电影服务器,等需要内网机器访问的机器IP.

(补充")ARP欺骗记录"表如何理解:

  " time":发现问题时的时间;   

  "sender":发送欺骗信息的IP或MAC;

   "Repeat":欺诈信息发送的次数;

   " ARP info":是指发送欺骗信息的具体内容.如下面例子:

     time                  sender                  Repeat                      ARP info

22:22:22               192.168.1.22         1433                    192.168.1.1 is at 00:0e:03:22:02:e8

这条信息的意思是:在22:22:22的时间,检测到由192.168.1.22发出的欺骗信息,已经发送了1433次,他发送的欺骗信息的内容是:192.168.1.1的MAC地址是00:0e:03:22:02:e8.

  打开检测功能,如果出现针对表内IP的欺骗,会出现提示。可以按照提示查到内网的ARP欺骗的根源。提示一句,任何机器都可以冒充其他机器发送IP与MAC,所以即使提示出某个IP或MAC在发送欺骗信息,也未必是100%的准确。所有请不要以暴力解决某些问题。

3。主动维护(快速解决)

这个功能可以直接解决ARP欺骗的掉线问题,但是并不是理想方法。他的原理就在网络内不停的广播制定的IP的正确的MAC地址。

"制定维护对象"的表格里面就是设置需要保护的IP。发包频率就是每秒发送多少个正确的包给网络内所有机器。强烈建议尽量少的广播IP,尽量少的广播频率。一般设置1次就可以,如果没有绑定IP的情况下,出现ARP欺骗,可以设置到50-100次,如果还有掉线可以设置更高,即可以实现快速解决ARP欺骗的问题。但是想真正解决ARP问题,还是请参照上面绑定方法。

4。欣向路由器日志

收集欣向路由器的系统日志,等功能。

5。抓包

网吧很少接触到包级别的设置或问题。欣向的这个功能很可能把大家带到一个新技术高度,但是对于包的分析比一般的问题要复杂很多了,但是却可以提高对网络的把控力。

大家通过抓到的包可以分析内网的各种问题。具体这里不解释啦,基本所有的TCP/IP问题都可以分析。

     抓包功能里面的空白条是控制抓包规则的,ethereal软件就是给大家分析包用的,大家把包文件直接拖到ethereal里面就可以打开。ethereal即可以抓包也可以看包,如果有机会可以研究一下。
 楼主| 发表于 2007-6-22 17:03:30 | 显示全部楼层
ARP故障解决方法(二)



网络执法官简介 我们可以在局域网中任意一台机器上运行网络执法官的主程序NetRobocop.exe,它可以穿透防火墙、实时监控、记录整个局域网用户上线情况,可限制各用户上线时所用的IP、时段,并可将非法用户踢下局域网。
该软件适用范围为局域网内部,不能对网关或路由器外的机器进行监视或管理,适合局域网管理员使用 在代理服务器端 ??捆绑IP和MAC地址,解决局域网内盗用IP: ??ARP -s 192.168.10.59 00-50-ff-6c-08-75 ??解除网卡的IP与MAC地址的绑定: ??arp -d 网卡IP ?? 在网络邻居上隐藏你的计算机 ??net config server /hidden:yes ??net config server /hidden:no 则为开启 在网络执法官中,要想限制某台机器上网,只要点击"网卡"菜单中的"权限",选择指定的网卡号或在用户列表中点击该网卡所在行,从右键菜单中选择"权限",在弹出的对话框中即可限制该用户的权限。对于未登记网卡,可以这样限定其上线:只要设定好所有已知用户(登记)后,将网卡的默认权限改为禁止上线即可阻止所有未知的网卡上线。使用这两个功能就可限制用户上网。其原理是通过ARP欺骗发给被攻击的电脑一个假的网关IP地址对应的MAC,使其找不到网关真正的MAC地址,这样就可以禁止其上网。
二、ARP欺骗的原理 网络执法官中利用的ARP欺骗使被攻击的电脑无法上网,其原理就是使该电脑无法找到网关的MAC地址。那么ARP欺骗到底是怎么回事呢?知其然,知其所以然是我们《黑客X档案》的优良传统,下面我们就谈谈这个问题。 首先给大家说说什么是ARP,ARP(Address Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。 ARP原理:某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。 ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,当局域网中的某台机器B向A发送一个自己伪造的ARP应答,而如果这个应答是B冒充C伪造来的,即IP地址为C的IP,而MAC地址是伪造的,则当A接收到B伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通C!这就是一个简单的ARP欺骗。 网络执法官利用的就是这个原理!知道了它的原理,再突破它的防线就容易多了。
三、修改MAC地址突破网络执法官的封锁 根据上面的分析,我们不难得出结论:只要修改MAC地址,就可以骗过网络执法官的扫描,从而达到突破封锁的目的。下面是修改网卡MAC地址的方法: 在"开始"菜单的"运行"中输入regedit,打开注册表编辑器,展开注册表到:HKEY_LOCAL_MACHINE/System/CurrentControl Set/Control/Class/{4D36E972-E325-11CE-BFC1-08002BE103 18}子键,在子键下的0000,0001,0002等分支中查找DriverDesc(如果你有一块以上的网卡,就有0001,0002......在这里保存了有关你的网卡的信息,其中的DriverDesc内容就是网卡的信息描述,比如我的网卡是Intel 210 41 based Ethernet ontroller),在这里假设你的网卡在0000子键。 在0000子键下添加一个字符串,命名为"NetworkAddress",键值为修改后的MAC地址,要求为连续的12个16进制数。然后在"0000"子键下的NDI/params中新建一项名为NetworkAddress的子键,在该子键下添加名为"default"的字符串,键值为修改后的MAC地址。 在NetworkAddress的子键下继续建立名为"ParamDesc"的字符串,其作用为指定Network Address的描述,其值可为"MAC Address"。这样以后打开网络邻居的"属性",双击相应的网卡就会发现有一个"高级"设置,其下存在MAC Address的选项,它就是你在注册表中加入的新项"NetworkAddress",以后只要在此修改MAC地址就可以了。 关闭注册表,重新启动,你的网卡地址已改。打开网络邻居的属性,双击相应网卡项会发现有一个MAC Address的高级设置项,用于直接修改MAC地址。 MAC地址也叫物理地址、硬件地址或链路地址,由网络设备制造商生产时写在硬件内部。这个地址与网络无关,即无论将带有这个地址的硬件(如网卡、集线器、路由器等)接入到网络的何处,它都有相同的MAC地址,MAC地址一般不可改变,不能由用户自己设定。MAC地址通常表示为12个16进制数,每2个16进制数之间用冒号隔开,如:08:00:20:0A:8C:6D就是一个MAC地址,其中前6位16进制数,08:00:20代表网络硬件制造商的编号,它由IEEE分配,而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品(如网卡)的系列号。每个网络制造商必须确保它所制造的每个以太网设备都具有相同的前三字节以及不同的后三个字节。这样就可保证世界上每个以太网设备都具有唯一的MAC地址。 另外,网络执法官的原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地址,使其找不到网关真正的MAC地址。因此,只要我们修改IP到MAC的映射就可使网络执法官的ARP欺骗失效,就隔开突破它的限制。你可以事先Ping一下网关,然后再用ARP -a命令得到网关的MAC地址,最后用ARP -s IP 网卡MAC地址命令把网关的IP地址和它的MAC地址映射起来就可以了。
四、找到使你无法上网的对方 解除了网络执法官的封锁后,我们可以利用Arpkiller的"Sniffer杀手"扫描整个局域网IP段,然后查找处在"混杂"模式下的计算机,就可以发现对方了。具体方法是:运行Arpkiller然后点击"Sniffer监测工具",在出现的"Sniffer杀手"窗口中输入检测的起始和终止IP单击"开始检测"就可以了。 检测完成后,如果相应的IP是绿帽子图标,说明这个IP处于正常模式,如果是红帽子则说明该网卡处于混杂模式。它就是我们的目标,就是这个家伙在用网络执法官在捣乱。 扫描时自己也处在混杂模式,把自己不能算在其中哦! 找到对方后怎么对付他就是你的事了,比方说你可以利用网络执法官把对方也给封锁了!
 楼主| 发表于 2007-6-22 17:03:50 | 显示全部楼层
解决ARP攻击的方法



【故障原因】

  局域网内有人使用ARP欺骗的木马程序(比如:传奇盗号的软件,某些传奇外挂中也被恶意加载了此程序)。

【故障原理】

  要了解故障原理,我们先来了解一下ARP协议。

  在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。

  ARP协议是“Address Resolution
Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个
主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发
送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。

  每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如下表所示。
主机  IP地址 MAC地址 A 192.168.16.1 aa-aa-aa-aa-aa-aa B 192.168.16.2 bb-bb-bb-bb-bb-bb C 192.168.16.3 cc-cc-cc-cc-cc-cc D 192.168.16.4 dd-dd-dd-dd-dd-dd         
          
  我们以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是
否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地
址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:
“192.168.16.2的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:
“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息
了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表
中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。

  从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗,A去Ping主机C却发送
到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候,把C的MAC地址骗为DD-DD-DD-DD-DD-DD,于是A发送到C上的
数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么,嗅探成功。

  A对这个变化一点都没有意识到,但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。

  做“man in the middle”,进行ARP重定向。打开D的IP转发功能,A发送过来的数据包,转发给C,好比一个路由器一样。不过,假如D发送ICMP重定向的话就中断了整个计划。

  D直接进行整个包的修改转发,捕获到A发送给C的数据包,全部进行修改后再转发给C,而C接收到的数据包完全认为是从A发送来的。不过,C发送的数据
包又直接传递给A,倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了,对于A和C之间的通讯就可以了如指掌了。

【故障现象】

  当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。

  切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。

  由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。

【HiPER用户快速发现ARP欺骗木马】

  在路由器的“系统历史记录”中看到大量如下的信息(440以后的路由器软件版本中才有此提示):
  MAC Chged 10.128.103.124
  MAC Old 00:01:6c:36:d1:7f
  MAC New 00:05:5d:60:c7:18

  
这个消息代表了用户的MAC地址发生了变化,在ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的
MAC New地址都一致为病毒主机的MAC地址),同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。

  如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时,主机在路由器上恢复其真实的MAC地址)。

【在局域网内查找病毒主机】

      在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址,那么我们就可以使用NBTSCAN(点击下载)工具来快速查找它。

  NBTSCAN可以取到PC的真实IP地址和MAC地址,如果有”传奇木马”在做怪,可以找到装有木马的PC的IP/和MAC地址。

  命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即

  192.168.16.1-192.168.16.254);或“nbtscan
192.168.16.25-137”搜索192.168.16.25-137
网段,即192.168.16.25-192.168.16.137。输出结果第一列是IP地址,最后一列是MAC地址。

  NBTSCAN的使用范例:

  假设查找一台MAC地址为“000d870d585f”的病毒主机。

  1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。

  2)在Windows开始—运行—打开,输入cmd(windows98输入“command”),在出现的DOS窗口中输入:C:nbtscan -r 192.168.16.1/24(这里需要根据用户实际网段输入),回车。


Cocuments and SettingsALAN>C:nbtscan -r 192.168.16.1/24
Warning: -r option not supported under Windows. Running without it.

Doing NBT name scan for addresses from 192.168.16.1/24

IP address       NetBIOS Name     Server    User             MAC address
------------------------------------------------------------------------------
192.168.16.0   Sendto failed: Cannot assign requested address
192.168.16.50   SERVER
 楼主| 发表于 2007-6-22 17:04:01 | 显示全部楼层
ARP病毒问题的处理




有关ARP病毒问题的处理说明:

故障现象:机器以前可正常上网的,突然出现可认证,不能上网的现象(无法ping通网关),重启机器或在MSDOS窗口下运行命令ARP -d后,又可恢复上网一段时间。

故障原因:这是APR病毒欺骗攻击造成的。
  
引起问题的原因一般是由传奇外挂携带的ARP木马攻击。当在局域网内使用上述外挂时,外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上,向局域网内大量发送ARP包,从而致使同一网段地址内的其它机器误将其作为网关,这就是为什么掉线时内网是互通的,计算机却不能上网的原因。

临时处理对策:
  步骤一. 在能上网时,进入MS-DOS窗口,输入命令:arp –a 查看网关IP对应的正确MAC地址,将其记录下来。
      注:如果已经不能上网,则先运行一次命令arp –d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp –a。

步骤二. 如果已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令: arp –s 网关IP 网关MAC

例如:假设计算机所处网段的网关为218.197.192.254,本机地址为218.197.192.1在计算机上运行arp –a后输出如下:

C:\Documents and Settings>arp -a
Interface: 218.197.192.1 --- 0x2
Internet Address Physical Address Type
218.197.192.254 00-01-02-03-04-05 dynamic

其中00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址,类型是动态(dynamic)的,因此是可被改变。
被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC,如果大家希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找做准备。

手工绑定的命令为:
arp –s 218.197.192.254 00-01-02-03-04-05

绑定完,可再用arp –a查看arp缓存,
C:\Documents and Settings>arp -a
Interface: 218.197.192.1 --- 0x2
Internet Address Physical Address Type
218.197.192.254 00-01-02-03-04-05 static

这时,类型变为静态(static),就不会再受攻击影响了。但是,需要说明的是,手工绑定在计算机关机重开机后就会失效,需要再绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,令其杀毒,方可解决。找出病毒计算机的方法:

如果已有病毒计算机的MAC地址,可使用NBTSCAN软件找出网段内与该MAC地址对应的IP,即病毒计算机的IP地址,然后可报告校网络中心对其进行查封。

NBTSCAN的使用方法:
下载nbtscan.rar到硬盘后解压,然后将cygwin1.dll和nbtscan.exe两文件拷贝到c:\windows\system32(或system)下,进入MSDOS窗口就可以输入命令:

nbtscan -r 218.197.192.0/24 (假设本机所处的网段是218.197.192,掩码是255.255.255.0;实际使用该命令时,应将斜体字部分改为正确的网段) 。

注:使用nbtscan时,有时因为有些计算机安装防火墙软件,nbtscan的输出不全,但在计算机的arp缓存中却能有所反应,所以使用nbtscan时,还可同时查看arp缓存,就能得到比较完全的网段内计算机IP与MAC的对应关系。
 楼主| 发表于 2007-6-22 17:04:12 | 显示全部楼层
补充一下:
Anti ARP Sniffer 使用说明

一、功能说明:

    使用Anti ARP Sniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包。

二、使用说明:

    1、ARP欺骗:

     填入网关IP地址,点击[获取网关mac地址]将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。

    注意:如出现ARP欺骗提示,这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包,如果您想追踪攻击来源请记住攻击者的MAC地址,利用MAC地址扫描器可以找出IP 对应的MAC地址。

     2、IP地址冲突

     首先点击“恢复默认”然后点击“防护地址冲突”。      

     如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数据包,才会出现IP冲突的警告,利用Anti ARP Sniffer可以防止此类攻击。

    首先您需要知道冲突的MAC地址,Windows会记录这些错误。查看具体方法如下:

    右击[我的电脑]-->[管理]-->点击[事件查看器]-->点击[系统]-->查看来源为[TcpIP]--->双击事件可以看到显示地址发生冲突,并记录了该MAC地址,请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-),输入完成之后点击[防护地址冲突],为了使MAC地址生效请禁用本地网卡然后再启用网卡,在CMD命令行中输入Ipconfig /all,查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符,如果更改失败请与我联系。如果成功将不再会显示地址冲突。

   注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。


附件 1:  NbtScan1_5_1.rar (2006-8-2 02:00 PM, 737.34 K)
附件 2:  Antiarp.rar (2006-8-2 02:00 PM, 353.96 K)
 楼主| 发表于 2007-6-22 17:04:29 | 显示全部楼层
ARP欺骗一类的木马病毒,基本情况通报如下:

【故障现象】
  1、网络访问时断时继,掉线频繁,网络访问速度越来越慢。
  2、同一网段的所有上网机器无法正常连接网络。
  3、打开windows任务管理器,出现可疑进程,如”MIE0.dat”等进程。
  4、路由器的系统历史记录中看到大量的MAC更换信息。

【故障原理】
  故障原理需一定网络基础,详细资料大家可通过百度搜索”ARP”关键词进一步了解。因病毒有不断更改mac地址属性,中山教育城域网安全预警系统报警为“伪地址攻击”,中毒学校名单参看《中山教育城域网接入单位(学校)网络安全情况通报》。

【检测方法】
  1、已知中毒机器的MAC地址的情况下,可用NBTSCAN工具快速查找
  NBTSCAN可以取到PC的真实IP地址和MAC地址,如果有”传奇木马”在做怪,可以找到装有木马的PC的IP/和MAC地址。
  命令:“nbtscan -r 192.168.1.0/24”(搜索整个192.168.1.0/24网段, 即192.168.1.1-192.168.1.254);或“nbtscan 192.168.1.25-127”搜索192.168.1.25-127 网段,即192.168.1.25-192.168.1.127。输出结果第一列是IP地址,最后一列是MAC地址。
NBTSCAN的使用范例:
  假设查找一台MAC地址为“000d870d585f”的病毒主机。
  1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:\下。
  2)运行cmd,在出现的DOS窗口中输入:
C:\nbtscan -r 192.168.1.1/24(这里需要根据用户实际网段输入),回车。
C:\Documents and Settings\ly>C:\nbtscan -r 192.168.1.1/24
Warning: -r option not supported under Windows. Running without it.
Doing NBT name scan for addresses from 192.168.1.1/24
IP address NetBIOS Name Server User MAC address
-------------------------------------------
192.168.1.0 Sendto failed: Cannot assign requested address
192.168.1.50 SERVER 00-e0-4c-4d-96-c6
192.168.1.111 LLF
192.168.1.121 UTT-HIPER 00-0d-87-26-7d-78
192.168.1.175 JC 00-07-95-e0-7c-d7
192.168.1.223 test123
3)通过查询IP--MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“192.168.1.223”。
2、MSS用户快速查找方法
  在MSS服务器管理内,“安全设置”-》“MAC-IP地址安全”,使用“全网扫描”功能可得到当前MSS服务器上ARP地址缓存表,在ARP欺骗木马开始运行的时候,网吧的局域网所有或部分主机的MAC地址更新为病毒主机的MAC地址(即扫描得出的列表中所有或部分主机的的MAC地址一致为病毒主机的MAC地址)。

【预防措施】
  1、全面安装升级防杀毒软件,目前,卡巴司基、瑞星对该类病毒的查杀比较有效。
  2、Windows用户可通过在命令行方式下执行下述命令,以减轻中毒计算机对本机的影响:
arp –s 网关IP 网关MAC地址
  网关IP和MAC地址可在网络工作正常时通过命令行方式下的“arp –a”命令来得到。
  3、使用ARP类专杀工具查杀。
  Artiarp 、ARPKiller 、 Anti ARP Sniffer v2.0、NBTSCAN(点击下载)
  针对不同的网络结构解决方法都有所不同,但目前为止通过搜索互联网上资料,还没有任何一个完美的解决方法,一个重要的原因就是这本身是互联网的一个致命的顽疾(arp协议相信网络内的所有主机),越大的网络越难处理。只要有一台电脑中毒,整个网络都瘫痪,这给杀毒处理工作带来很大的难度。
 楼主| 发表于 2007-6-22 20:04:57 | 显示全部楼层
 楼主| 发表于 2007-6-25 16:28:47 | 显示全部楼层
搞定啊
发表于 2007-6-26 00:15:57 | 显示全部楼层
目前ARP病毒有了新的动向,修改了网关上的ARP缓存,如下面所示:
192.168.106.21          000d.874b.8a10
192.168.106.50          000d.874b.8a10
192.168.106.34          000d.874b.8a10
192.168.106.68          000d.874b.8a10
192.168.106.54          000d.874b.8a10
192.168.106.73          000d.874b.8a10
192.168.106.12          000d.874b.8a10
192.168.106.47          000d.874b.8a10
这是我在核心交换机上show出来的ARP缓存信息,这说明交换机被欺骗了,而这种ARP欺骗只是针对交换机(也就是网关地址)进行的攻击,由于病毒并不向局域网中的某个IP地址发欺骗包,所以以往我们用的在局域网中查ARP欺骗的工具是查不出来的。
它所造成的结果是局域网中的机器上网的包是可以正常发到网关并由网关转发出去的,但是回应的包,在到达网关后,由于ARP缓存中的MAC地址是错误的,所以是不可能回到这台机器的,造成数据有去无回,从而也就无法上网了,
比较完整的解决方法是在划分了VLAN的三层交换机上使用ARP命令将IP地址和MAC地址进行手工对应,在局域网的计算机上使用arp -s手工定义网关IP所对应的MAC地址,这样就能够非常好的解决ARP欺骗问题了。(这样做,网管可能是要累哭的,不过一劳永逸呀,我感觉还是可以考虑的,呵呵!)
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-14 14:46 , Processed in 0.099966 second(s), 14 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表