superwisely
|
分享:
x0
|
[病毒蠕蟲] 定位ARP攻擊源頭和防禦方法
三、定位ARP攻擊源頭和防禦方法 1.定位ARP攻擊源頭
主動定位方式:因為所有的ARP攻擊源都會有其特徵——網卡會處於混雜模式,可以通過ARPKiller這樣的工具掃瞄網內有哪台機器的網卡是處於混雜模式的,從而判斷這台機器有可能就是「元兇」。定位好機器後,再做病毒信息收集,提交給趨勢科技做分析處理。
標註:網卡可以置於一種模式叫混雜模式(promiscuous),在這種模式下工作的網卡能夠收到一切通過它的資料,而不管實際上資料的目的地址是不是它。這實際就是Sniffer工作的基本原理:讓網卡接收一切它所能接收的資料。
被動定位方式:在局域網發生ARP攻擊時,查看交換機的動態ARP表中的內容,確定攻擊源的MAC地址;也可以在局域居於網中部署Sniffer工具,定位ARP攻擊源的MAC。
也可以直接Ping網關IP,完成Ping後,用ARP –a查看網關IP對應的MAC地址,此MAC地址應該為欺騙的MAC。
使用NBTSCAN可以取到PC的真實IP地址、機器名和MAC地址,如果有」ARP攻擊」在做怪,可以找到裝有ARP攻擊的PC的IP、機器名和MAC地址。
命令:「nbtscan -r 192.168.16.0/24」(搜索整個192.168.16.0/24網段、即192.168.16.1-192.168.16.254);或「nbtscan 192.168.16.25-137」搜索192.168.16.25-137 網段,即192.168.16.25-192.168.16.137。輸出結果第一列是IP地址,最後一列是MAC地址。
NBTSCAN的使用範例:
假設查找一台MAC地址為「000d870d585f」的病毒主機。
1)將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:下。
2)在Windows開始—運行—打開,輸入cmd(windows98輸入「command」),在出現的DOS窗口中輸入:C: btscan -r 192.168.16.1/24(這裡需要根據用戶實際網段輸入),回車。
3)通過查詢IP--MAC對應表,查出「000d870d585f」的病毒主機的IP地址為「192.168.16.223」。
通過上述方法,我們就能夠快速的找到病毒源,確認其MAC——〉機器名和IP地址。
2.防禦方法
a.使用可防禦ARP攻擊的三層交換機,綁定連接埠-MAC-IP,限制ARP流量,及時發現並自動阻斷ARP攻擊連接埠,合理劃分VLAN,徹底阻止盜用IP、MAC地址,杜絕ARP的攻擊。
b.對於經常爆發病毒的網路,進行Internet訪問控制,限制用戶對網路的訪問。此類ARP攻擊程序一般都是從Internet下載到用戶終端,如果能夠加強用戶上網的訪問控制,就能極大的減少該問題的發生。
c.在發生ARP攻擊時,及時找到病毒攻擊源頭,並收集病毒信息,可以使用趨勢科技的SIC2.0,同時收集可疑的病毒樣本檔案,一起提交到趨勢科技的TrendLabs進行分析,TrendLabs將以最快的速度提供病毒碼檔案,從而可以進行ARP病毒的防禦。
此文章被評分,最近評分記錄財富:50 (by upside) | 理由: 感謝提供資訊 數位男女因你而豐富 | |
|
|
|