|
引用 | 編輯
superwisely
2006-11-13 17:40 |
樓主
▼ |
||
x1
ping路由器的LAN IP出現Packets loss 然後又連上 這很有可能是中了ARP攻擊 顯示如下圖。 Pinging 192.168.0.1 with 32 bytes of data: Reply from 192.168.0.1: bytes=32 time=2ms TTL=64 Reply from 192.168.0.1: bytes=32 time=1ms TTL=64 Request timed out. Request timed out Reply from 192.168.0.1: bytes=32 time=1ms TTL=64 Reply from 192.168.0.1: bytes=32 time=1ms TTL=64 為了進一步確認 我們可以通過查找ARP表來判斷。 輸入ARP -a命令,顯示如下圖。 C:\WINDOWS>arp -a Interface: 192.168.0.100 --- 0x2 Internet Address Physical Address Type 192.168.0.1 00-11-95-f1-08-38 dynamic 192.168.0.100 00-0e-35-ff-6f-54 static 192.168.0.111 00-11-95-f1-08-38 dynamic 在上述出現的IP資料中 192.168.0.1 and 192.168.0.111所出現的MAC Address 都是00-11-95-f1-08-38 這就是標準的ARP攻擊會出現的MAC Address重覆問題。 在上述的ARP攻擊模式主要是那該單機的MAC Address 改成跟ROUTE一樣的MAC Address 以便將其原本導向ROUTE的封包導至該單機以達到ARP攻擊效果。 其簡易解決的方式就是將其ROUTE的MAC Address 在單機上直接設定成靜態ARP即可。 指令如下: RouteIP MAC Address arp -d arp -s 192.168.0.111 00-11-95-f1-08-38。 在新型ARP攻擊一樣是出現在PING的過程中出現Packets loss。 Pinging 192.168.0.1 with 32 bytes of data: Reply from 192.168.0.1: bytes=32 time=2ms TTL=64 Reply from 192.168.0.1: bytes=32 time=1ms TTL=64 Request timed out. Request timed out Reply from 192.168.0.1: bytes=32 time=1ms TTL=64 Reply from 192.168.0.1: bytes=32 time=1ms TTL=64 但是在檢查arp table卻找不到有相同MAC Address 而且就算是指定的靜態arp也是一樣無法改善Packets loss的問題, 檢查發現這是因為ARP攻擊並沒有將單機自身的MAC Address 改成ROUTE MAC Address而是將ROUTE所接收到的IP對映的MAC Address 都改成該單機本身的MAC Address 故在arp -a的清單中找不到重覆的MAC Address。 請在Route中執行輸入show arp命令,顯示如下圖。 Protocol Address Age (min) Hardware Addr Type Interface Internet 210.242.221.197 133 0015.f29b.8165 ARPA FastEthernet0/0 Internet 210.242.221.196 132 0015.f29b.8165 ARPA FastEthernet0/0 Internet 210.242.221.199 188 0015.f29b.8165 ARPA FastEthernet0/0 Internet 210.242.221.193 4 0017.31c4.3cdf ARPA FastEthernet0/0 Internet 210.242.221.195 119 0015.f29b.8165 ARPA FastEthernet0/0 Internet 210.242.221.194 0 0015.f299.a270 ARPA FastEthernet0/0 上述Hardware Addr就是MAC Address 在上述資料中會發現不同的IP卻出現相同的MAC Address 請依MAC Address與arp -a所出現的MAC Address進行比對 就會出現其對映MAC Address的正確IP為何 在一般的ARP攻擊與新型出現的ARP攻擊 最大的差別在於一般的ARP攻擊 是針對單機的MAC Address修改成ROUTE的MAC Address 所以當出現斷線是是全場的大斷線 而新型出現的ARP攻擊 由於不一定修改了所有的IP對映的MAC Address 故在斷線時也是只有在MAC Address有修改的單機 防治新型方式: 最簡易的方式就是進行ARP的雙向靜態設定 所謂的雙向靜態設定是指在單機及ROUTE or 頻寬管理器上 同時將全場的單機MAC Address靜態設定 但針對ROUTE進行ARP靜態設定維護不易 在單機換IP或換網卡都必須重新設定故建議採購頻寬管理器以利維護 限制: 對進行ARP的雙向靜態設定時 並不是設定了雙向靜態設定就是所有的單機都不會被攻擊 雙向靜態設定主要的功能是可以避免區網內有人在進行ARP攻擊而產生影響 但對於在攻擊的那一台單機一樣還是有可能出現LAG及斷線的情形  x1
|
|||
|
引用 | 編輯
YukiPhoenix
2006-11-13 21:57 |
1樓
▲ |
|
就是這個!
最近掛BT常常被這"阻斷式封包"攻擊... 難怪我老是斷線 以下三套軟體可以預防: Necut (原本用來攻擊別人的,2.0版以後可以預防攻擊) Anti-Netcut (只要一個按鍵就可以預防只要一個按鍵就可以預防,小巧簡單) AntiArpSniffer (這套軟體除可以預防還可以反擊攻擊你的人...) x0
|
|