广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 5145 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[心得分享] 快速发现局域网内狂发ARP攻击包的机器!
快速发现局域网内狂发ARP攻击包的机器!
作者: sdlin118 发表日期: 2006-09-24 13:30 文章属性: 原创 复制链结
http://big5.ccidnet.com:89/gate/big5/jiaohl.blog.c..._showone/tid_92616.html

我昨天发帖时就说,我现在在外地出差做网路安全的实施,住的这个宾馆到处时感染ARP欺骗病毒的机器,他们狂发ARP攻击包,导致正常用户无法上网。

我上次说了,可以使用诸如AntiArpSniffer3.1单机版软体,防御ARP攻击的。但我想问题总的解决呀,我们作为网管或喜欢资讯安全的网友们,遇到这样的问题应当如何解决呢,下面我就谈一下自己的一些想法:

1、对于类似宾馆或小型网路环境,一般是只有一个VLAN的,在这样的情况下,可以通过一台接入网路的主机,定期查看自己的ARP表,看看在定期删除ARP缓存后,有哪些机器的IP/MAC对应表马上又到你的机器上了。

举例:C:\>arp -a

Interface: 192.168.1.236 --- 0x10004
Internet Address   Physical Address   Type
192.168.1.1       00-0a-eb-c1-d8-60   dynamic
192.168.1.22     00-e0-4c-c2-7e-50   dynamic
192.168.1.144   00-e0-4c-f0-e1-33   dynamic
192.168.1.233   00-e0-4c-a9-35-72   dynamic

这样就可以直接发现感染主机了。

2、对于大型的网路环境,一般是有多个VLAN的,在这样的情况下,可以通过专门的网管系统对交换机的ARP缓存的变化来查看整个网路ARP攻击情况,也可以通过AntiArpSniffer1.2网路版软体来查看攻击者的IP和真实MAC了。

注:对于某些ARP攻击是采取骗取网关的合法MAC或使用其他随意伪造的MAC进行攻击的手段,只能靠管理员手动的进行认真细致的排除了。



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾 和信超媒体宽带网 | Posted:2006-11-12 16:38 |
becy125
个人头像
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x98
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

请问UPSIDE... 那这样就是指以下的机台电脑有做ARP攻击吗?

(这是我区网找到的)

C:\Documents and Settings\XXXXXX>arp -a

Interface: 10.10.XX.117 --- 0x2
Internet Address     Physical Address     Type
10.10.XX.44       00-11-2f-7a-99-e6   dynamic
10.10.XX.60       00-01-29-40-88-aa   dynamic
10.10.XX.117       00-50-da-b3-54-f2   static
10.10.XX.129       00-0c-6e-c8-38-17   dynamic
10.10.XX.254       00-0f-f8-10-b6-40   dynamic


[ 此文章被becy125在2006-11-14 19:55重新编辑 ]



献花 x0 回到顶端 [1 楼] From:局域网对方和您在同一内部网 | Posted:2006-11-14 19:43 |
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

其实光看这样 并不能百分之百判断
依你的资料来看 有一个固定IP 及几个 IP位置 有在使用
很可能是 你有开 BT或其他软体所造成 若确定当时无在使用其他软体
那就可能判断成 被攻击


爸爸 你一路好走
献花 x0 回到顶端 [2 楼] From:台湾 | Posted:2006-11-14 21:52 |
omniplay
个人文章 个人相簿 个人日记 个人地图
知名人士
级别: 知名人士 该用户目前不上站
推文 x14 鲜花 x270
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

用Sniffer最准~
Arp指令只是定期看表格是否变异新增
必须配合route指令来查看是否被攻击重导

不过下面这台~还满可疑的!!!别人都是dynamic~为什它是 static?!!
10.10.XX.117     00-50-da-b3-54-f2   static



回覆与感谢是一种品德,论坛互动中良性的交流。
☆★要评0,干脆就别评算了★蜀山无大将,猴子称大王★☆
☆★好文章值得千锤百炼★好文绝对顶,烂文绝对批★烂文千百出,徒惹施笑话★☆
☆★钻古泥思,不如多体验人生☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★
☆★资讯爆炸时代,资讯通透,真伪诀齐流,会运用/懂丢弃/辩证要比引籍淹思更重要★☆
献花 x0 回到顶端 [3 楼] From:台湾中华电信 | Posted:2006-11-14 23:36 |
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

下面是引用omniplay于2006-11-14 23:36发表的 :
用Sniffer最准~
Arp指令只是定期看表格是否变异新增
必须配合route指令来查看是否被攻击重导

不过下面这台~还满可疑的!!!别人都是dynamic~为什它是 static?!!
.......
static 意思是 固定IP
不过正常来说不应该出现这么多IP 位置
就如上面我所说的 除非同时有 其他软体或恶意程序使用到这些IP位置
还是要先检查一下


爸爸 你一路好走
献花 x0 回到顶端 [4 楼] From:台湾 和信超媒体宽带网 | Posted:2006-11-15 00:03 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.066129 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言