監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 簽約案例 | 購買價(jià)格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

應(yīng)對(duì)局域網(wǎng)ARP欺騙攻擊

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

文章來源:泛普軟件

當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)運(yùn)行ARP欺騙的木馬程序時(shí),會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和安全網(wǎng)關(guān),讓所有上網(wǎng)的流量必須經(jīng)過病毒主機(jī)。其他用戶原來直接通過安全網(wǎng)關(guān)上網(wǎng)現(xiàn)在轉(zhuǎn)由通過病毒主機(jī)上網(wǎng),切換的時(shí)候用戶會(huì)斷一次線。切換到病毒主機(jī)上網(wǎng)后,如果用戶已經(jīng)登陸了傳奇服務(wù)器,那么病毒主機(jī)就會(huì)經(jīng)常偽造斷線的假像,那么用戶就得重新登錄傳奇服務(wù)器,這樣病毒主機(jī)就可以盜號(hào)了。

由于ARP欺騙的木馬程序發(fā)作的時(shí)候會(huì)發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制,用戶會(huì)感覺上網(wǎng)速度越來越慢。當(dāng)ARP欺騙的木馬程序停止運(yùn)行時(shí),用戶會(huì)恢復(fù)從安全網(wǎng)關(guān)上網(wǎng),切換過程中用戶會(huì)再斷一次線。

快速查找:在WebUIà系統(tǒng)狀態(tài)à系統(tǒng)信息à系統(tǒng)歷史記錄中,看到大量如下的信息:

MAC SPOOF 192.168.16.200

MAC Old 00:01:6c:36:d1:7f

MAC New 00:05:5d:60:c7:18

這個(gè)消息代表了用戶的MAC地址發(fā)生了變化,在ARP欺騙木馬開始運(yùn)行的時(shí)候,局域網(wǎng)所有主機(jī)的MAC地址更新為病毒主機(jī)的MAC地址(即所有信息的MAC New地址都一致為病毒主機(jī)的MAC地址)。

同時(shí)在安全網(wǎng)關(guān)的WebUIà高級(jí)配置à用戶管理à讀ARP表中看到所有用戶的MAC地址信息都一樣,或者在WebUIà系統(tǒng)狀態(tài)à用戶統(tǒng)計(jì)中看到所有用戶的MAC地址信息都一樣。

如果是在WebUIà系統(tǒng)狀態(tài)à系統(tǒng)信息à系統(tǒng)歷史記錄中看到大量MAC Old地址都一致,則說明局域網(wǎng)內(nèi)曾經(jīng)出現(xiàn)過ARP欺騙(ARP欺騙的木馬程序停止運(yùn)行時(shí),主機(jī)在安全網(wǎng)關(guān)上恢復(fù)其真實(shí)的MAC地址)。

在上面我們已經(jīng)知道了使用ARP欺騙木馬的主機(jī)的MAC地址,那么我們就可以使用NBTSCAN(下載地址:http://www.utt.com.cn/upload/nbtscan.rar)工具來快速查找它。

NBTSCAN可以取到PC的真實(shí)IP地址和MAC地址,如果有”傳奇木馬”在做怪,可以找到裝有木馬的PC的IP/和MAC地址。

命令:“nbtscan -r 192.168.16.0/24”(搜索整個(gè)192.168.16.0/24網(wǎng)段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 網(wǎng)段,即192.168.16.25-192.168.16.137。輸出結(jié)果第一列是IP地址,最后一列是MAC地址。

NBTSCAN的使用范例:

假設(shè)查找一臺(tái)MAC地址為“000d870d585f”的病毒主機(jī)。

1)將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:下。

2)在Windows開始à運(yùn)行à打開,輸入cmd(windows98輸入“command”),在出現(xiàn)的DOS窗口中輸入:C:nbtscan -r 192.168.16.1/24(這里需要根據(jù)用戶實(shí)際網(wǎng)段輸入),回車。

3)通過查詢IP--MAC對(duì)應(yīng)表,查出“000d870d585f”的病毒主機(jī)的IP地址為“192.168.16.223”。

解決辦法

采用雙向綁定的方法解決并且防止ARP欺騙。

1、在PC上綁定安全網(wǎng)關(guān)的IP和MAC地址:

1)首先,獲得安全網(wǎng)關(guān)的內(nèi)網(wǎng)的MAC地址(例如HiPER網(wǎng)關(guān)地址192.168.16.254的MAC地址為0022aa0022aa)。

2)編寫一個(gè)批處理文件rarp.bat內(nèi)容如下:

@echo off

arp -d

arp -s 192.168.16.254 00-22-aa-00-22-aa

將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為實(shí)際使用的網(wǎng)關(guān)IP地址和MAC地址即可。

將這個(gè)批處理軟件拖到“windowsà開始à程序à啟動(dòng)”中。

3)如果是網(wǎng)吧,可以利用收費(fèi)軟件服務(wù)端程序(pubwin或者萬象都可以)發(fā)送批處理文件rarp.bat到所有客戶機(jī)的啟動(dòng)目錄。Windows2000的默認(rèn)啟動(dòng)目錄為“C:Documents and SettingsAll Users「開始」菜單程序啟動(dòng)”。
2、在安全網(wǎng)關(guān)上綁定用戶主機(jī)的IP和MAC地址: 在WebUIà高級(jí)配置à用戶管理中將局域網(wǎng)每臺(tái)主機(jī)均作綁定。(ccw-cnw)

發(fā)布:2007-04-22 09:58    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:
南昌OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費(fèi)獲取試用系統(tǒng)

QQ在線咨詢

泛普南昌OA信息化其他應(yīng)用

南昌OA軟件 南昌OA新聞動(dòng)態(tài) 南昌OA信息化 南昌OA快博 南昌OA行業(yè)資訊 南昌軟件開發(fā)公司 南昌門禁系統(tǒng) 南昌物業(yè)管理軟件 南昌倉庫管理軟件 南昌餐飲管理軟件 南昌網(wǎng)站建設(shè)公司