快速發現局域網內狂發ARP攻擊包的機器！
作者: sdlin118 發表日期: 2006-09-24 13:30 文章屬性: 原創 複製鏈結
http://big5.ccidnet.com:89/gate/big5/jiaohl.blog.c..._showone/tid_92616.html

我昨天發帖時就說，我現在在外地出差做網路安全的實施，住的這個賓館到處時感染ARP欺騙病毒的機器，他們狂發ARP攻擊包，導致正常用戶無法上網。

我上次說了，可以使用諸如AntiArpSniffer3.1單機版軟體，防禦ARP攻擊的。但我想問題總的解決呀，我們作為網管或喜歡資訊安全的網友們，遇到這樣的問題應當如何解決呢，下面我就談一下自己的一些想法：

1、對於類似賓館或小型網路環境，一般是只有一個VLAN的，在這樣的情況下，可以通過一台接入網路的主機，定期查看自己的ARP表，看看在定期刪除ARP緩存後，有哪些機器的IP/MAC對應表馬上又到你的機器上了。

舉例：C:\>arp -a

Interface: 192.168.1.236 --- 0x10004
Internet Address   Physical Address   Type
192.168.1.1       00-0a-eb-c1-d8-60   dynamic
192.168.1.22     00-e0-4c-c2-7e-50   dynamic
192.168.1.144   00-e0-4c-f0-e1-33   dynamic
192.168.1.233   00-e0-4c-a9-35-72   dynamic

這樣就可以直接發現感染主機了。

2、對於大型的網路環境，一般是有多個VLAN的，在這樣的情況下，可以通過專門的網管系統對交換機的ARP緩存的變化來查看整個網路ARP攻擊情況，也可以通過AntiArpSniffer1.2網路版軟體來查看攻擊者的IP和真實MAC了。

注：對於某些ARP攻擊是採取騙取網關的合法MAC或使用其他隨意偽造的MAC進行攻擊的手段，只能靠管理員手動的進行認真細緻的排除了。

請問UPSIDE... 那這樣就是指以下的機台電腦有做ARP攻擊嗎?

(這是我區網找到的)

C:\Documents and Settings\XXXXXX>arp -a

Interface: 10.10.XX.117 --- 0x2
Internet Address     Physical Address     Type
10.10.XX.44       00-11-2f-7a-99-e6   dynamic
10.10.XX.60       00-01-29-40-88-aa   dynamic
10.10.XX.117       00-50-da-b3-54-f2   static
10.10.XX.129       00-0c-6e-c8-38-17   dynamic
10.10.XX.254       00-0f-f8-10-b6-40   dynamic

其實光看這樣 並不能百分之百判斷
依你的資料來看 有一個固定IP 及幾個 IP位置 有在使用
很可能是 你有開 BT或其他軟體所造成 若確定當時無在使用其他軟體
那就可能判斷成 被攻擊

用Sniffer最準~
Arp指令只是定期看表格是否變異新增
必須配合route指令來查看是否被攻擊重導

不過下面這台~還滿可疑的!!!別人都是dynamic~為什它是 static?!!
10.10.XX.117     00-50-da-b3-54-f2   static

下面是引用omniplay於2006-11-14 23:36發表的 :
用Sniffer最準~
Arp指令只是定期看表格是否變異新增
必須配合route指令來查看是否被攻擊重導

不過下面這台~還滿可疑的!!!別人都是dynamic~為什它是 static?!!
.......

static 意思是 固定IP
不過正常來說不應該出現這麼多IP 位置
就如上面我所說的 除非同時有 其他軟體或惡意程序使用到這些IP位置
還是要先檢查一下