如何找到ARP攻击源!!! 怎么彻底找出ARP攻击源?
\u5982\u4f55\u627e\u5230ARP\u653b\u51fb\u6e90\uff1f\u989d\uff0c\u6b63\u5982\u697c\u4e0a\u6240\u8a00\uff0c\u4e00\u822c\u60c5\u51b5\u4e0b\u9632\u706b\u5899\u53ef\u4ee5\u81ea\u52a8\u8ffd\u8e2a\u6e90\uff0c\u4f46\u5982\u679c\u662f\u75c5\u6bd2\u7684\u8bdd\u90a3\u5c31\u65e0\u80fd\u4e3a\u529b\u4e86\u3002\u800c\u4e14\uff0carp\u653b\u51fb\u662f\u6ca1\u6709\u75c5\u6bd2\u7684...........\u9996\u5148\u4f60\u5f97\u4e86\u89e3arp\u653b\u51fb\u7684\u539f\u7406
\u9996\u5148\uff0c\u6211\u4eec\u77e5\u9053\uff0cIP\u5c31\u597d\u6bd4\u6211\u4eec\u7684\u8eab\u4efd\u8bc1\uff0c\u4e00\u4e2a\u7f51\u7edc\u4e2d\u4e0d\u53ef\u80fd\u6709\u4e24\u4e2a\u76f8\u540c\u7684IP\uff0c\u73b0\u5b9e\u751f\u6d3b\u4e2d\u4e5f\u4e0d\u53ef\u80fd\u6709\u4e24\u4e2a\u4eba\u62e5\u6709\u540c\u4e00\u4e2a\u8eab\u4efd\u8bc1\u53f7\uff0c\u4e00\u4f46\u51fa\u73b0\uff0c\u5c31\u5fc5\u5b9a\u4f1a\u5f15\u8d77\u51b2\u7a81\u3002\u800c\u4ed6\u7684\u653b\u51fb\u539f\u7406\u6709\u70b9\u590d\u6742\uff0c\u4f60\u770b\u61c2\u4e86\u624d\u77e5\u9053\u600e\u4e48\u9632\u8303\uff0c\u6240\u4ee5\u5f85\u8001\u8872\u6162\u6162\u9053\u6765
\u5047\u8bbe\uff0c\u5728\u4e00\u4e2a\u5c40\u57df\u7f51\u4e2d\u6709\u4e24\u53f0\u4e3b\u673aA\u548cB\uff0c\u4e3b\u673aA\u53ea\u77e5\u9053\u4e3b\u673aB\u7684IP\u4f46\u4e0d\u77e5\u9053\u5176MAC\u5730\u5740\u3002\u73b0\u5728\uff0c\u4e3b\u673aA\u60f3\u548c\u4e3b\u673aB\u901a\u8baf\uff0c\u6839\u636eOSI\u4e03\u5c42\u6a21\u578b\uff0c\u5f53\u6570\u636e\u5c01\u88c5\u5230\u6570\u636e\u94fe\u8def\u5c42\uff08\u4e5f\u53ebMAC\u5c42\uff09\uff0c\u4fbf\u4f1a\u5411\u5c40\u57df\u7f51\u5185\u6240\u6709\u7684\u4e3b\u673a\u53d1\u9001\u4e00\u4e2aARP\u8bf7\u6c42\u5305\uff0c\u5f53B\u6536\u5230\u8be5\u8bf7\u6c42\u5305\u65f6\u5c31\u4f1a\u8fd4\u56de\u7ed9A\u4e00\u4e2aARP\u5e94\u7b54\u5305\uff08\u4e2d\u95f4\u8981\u6709\u9a71\u52a8\u652f\u6301\uff09\uff0c\u5c06\u81ea\u5df1\u7684MAC\u5730\u5740\u544a\u8bc9B\uff0c\u8fd9\u6837\u53cc\u65b9\u5c31\u53ef\u4ee5\u7ee7\u7eed\u8fdb\u884c\u6570\u636e\u4f20\u8f93\u4e86\u3002\u800c\u5982\u679c\u5728\u8fd9\u4e2a\u8bf7\u793a\u4e0e\u5e94\u7b54\u7684\u8fc7\u7a0b\u4e2d\uff0c\u5c40\u57df\u7f51\u5185\u6709\u4e00\u53f0\u4e3b\u673aC\u7684IP\u4e0eA\u76f8\u540c\uff0c\u4e8e\u662f\u5c31\u4f1a\u5f39\u51fa\u4e00\u4e2aIP\u51b2\u7a81\u6846\u3002\u5f53\u8fd9\u79cd\u60c5\u51b5\u589e\u591a\u65f6\uff0c\u5c31\u4f1a\u6784\u6210\u5c40\u57df\u7f51\u653b\u51fb\uff0c\u5bfc\u81f4\u8ba1\u7b97\u673a\u65e0\u6cd5\u6b63\u5e38\u7f51\u7edc\u901a\u4fe1\uff0c\u5c31\u6210\u4e86ARP\u62d2\u7edd\u670d\u52a1\u653b\u51fb\u3002\uff08\u590d\u5236\u9ecf\u8d34\u81f3\u540c\u7c7b\u578b\u95ee\u9898\uff09
\u65e2\u7136\u61c2\u4e00\u70b9DOS\uff0c\u90a3\u4e5f\u5e94\u8be5\u4f1acmd
\u5728cmd\u4e0b\u8f93\u5165ipconfig\uff0c\u627e\u5230\u9ed8\u8ba4\u7f51\u5173\uff0c\u518d\u4f7f\u7528ARP -a\u547d\u4ee4\u627e\u5230\u4e0e\u9ed8\u8ba4\u7f51\u5173IP\u5bf9\u5e94\u7684\u7269\u7406\u5730\u5740\u5e76\u590d\u5236\u3002\u5728\u7f51\u7edc\u6b63\u5e38\u65f6\u8fd9\u5c31\u662f\u7f51\u5173\u6b63\u786e\u7684\u5730\u5740\uff0c\u5982\u679c\u518d\u6b21\u906d\u5230\u653b\u51fb\uff0c\u5c31\u7acb\u523b\u65ad\u7f51\u67e5\u6bd2.
\u4fee\u590d\u7a0b\u5e8f\u547d\u4ee4\u53c2\u8003\u5982\u4e0b
\u5047\u8bbe192.168.0.1ARP -s\uff08\u7f51\u5173\u7269\u7406\u5730\u5740\uff09\u4e3a00-0d-88-al-72-25\uff0c\u90a3\u4e48\u5c31\u5728\u6587\u672c\u6587\u4ef6\u4e2d\u8f93\u5165\u4ee5\u4e0b\u547d\u4ee4
@echo off
arp -d
arp -s 192.168.5.10 00:0A:EB:C1:9B:89
arp -s 192.168.5.11 00:05:5D:09:41:09
.........(\u6309\u4ee5\u4e0a\u683c\u5f0f\u586b\uff09
arp -s 192.168.5.223 00:11:2F:E4:32:EB
arp\u653b\u51fb\uff0c\u53ea\u4f1a\u51fa\u73b0\u5728\u5c40\u57df\u7f51\u5185\u3002
\u4ecb\u7ecd\u4e2a\u6700\u7b28\u7684\u529e\u6cd5\u3002
\u9996\u5148\uff0c\u627e\u53f0\u7535\u8111\uff08\u5982\u679c\u6709\u7f51\u7ba1\uff0c\u5c31\u7528\u7f51\u7ba1\u7684\u7535\u8111\uff09\u5355\u72ec\u8fde\u63a5\u8def\u7531\u5668\uff0c\u8981\u5728arp\u9632\u706b\u5899\u4e2d\u7ed1\u5b9a\u771f\u5b9e\u7684\u8def\u7531\u5668\u5730\u5740\u3002
\u63a5\u7740\u628a\u516c\u53f8\u7684\u7535\u8111\u4e00\u4e00\u63a5\u4e0a\uff0c\u89c2\u5bdfarp\u9632\u706b\u5899\u7684\u60c5\u51b5\u3002
\u4e2a\u4eba\u6000\u7591\uff0c\u7f51\u5185\u6709\u4eba\u79c1\u81ea\u88c5\u4e86\u53f0\u8def\u7531\u5668\uff0c\u56e0\u4e3a\u6211\u8fd9\u4e5f\u9047\u5230\u8fc7\u3002
主动定位方式:因为所有的ARP攻击源都会有其特征——网卡会处于混杂模式,可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的,从而判断这台机器有可能就是“元凶”。定位好机器后,再做病毒信息收集,提交给趋势科技做分析处理。
标注:网卡可以置于一种模式叫混杂模式(promiscuous),在这种模式下工作的网卡能够收到一切通过它的数据,而不管实际上数据的目的地址是不是它。这实际就是Sniffer工作的基本原理:让网卡接收一切它所能接收的数据。
被动定位方式:在局域网发生ARP攻击时,查看交换机的动态ARP表中的内容,确定攻击源的MAC地址;也可以在局域居于网中部署Sniffer工具,定位ARP攻击源的MAC。
也可以直接Ping网关IP,完成Ping后,用ARP –a查看网关IP对应的MAC地址,此MAC地址应该为欺骗的,使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址,如果有”ARP攻 击”在做怪,可以找到装有ARP攻击的PC的IP、机器名和MAC地址。
命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段,即192.168.16.25-192.168.16.137。输出结果第一列是IP地址,最后一列是MAC地址。 NBTSCAN的使用范例:
假设查找一台MAC地址为“000d870d585f”的病毒主机。
1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。
2)在Windows开始—运行—打开,输入cmd(windows98输入“command”),在出现的DOS窗口中输入:C: btscan -r 192.168.16.1/24(这里需要根据用户实际网段输入),回车。
3)通过查询IP–MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。
通过上述方法,我们就能够快速的找到病毒源,确认其MAC——〉机器名和IP地址。
2.防御方法
a.使用可防御ARP攻击的三层交换机,绑定端口-MAC-IP,限制ARP流量,及时发现并自动阻断ARP攻击端口,合理划分VLAN,彻底阻止盗用IP、MAC地址,杜绝ARP的攻击。
b.对于经常爆发病毒的网络,进行Internet访问控制,限制用户对网络的访问。此类ARP攻击程序一般都是从Internet下载到用户终端,如果能够加强用户上网的访问控制,就能极大的减少该问题的发生。
绛旓細棰濓紝姝e妤间笂鎵瑷锛屼竴鑸儏鍐典笅闃茬伀澧欏彲浠ヨ嚜鍔ㄨ拷韪簮锛屼絾濡傛灉鏄梾姣掔殑璇濋偅灏辨棤鑳戒负鍔涗簡銆傝屼笖锛arp鏀诲嚮鏄病鏈夌梾姣掔殑...棣栧厛浣犲緱浜嗚Вarp鏀诲嚮鐨勫師鐞 棣栧厛锛屾垜浠煡閬擄紝IP灏卞ソ姣旀垜浠殑韬唤璇侊紝涓涓綉缁滀腑涓嶅彲鑳芥湁涓や釜鐩稿悓鐨処P锛岀幇瀹炵敓娲讳腑涔熶笉鍙兘鏈変袱涓汉鎷ユ湁鍚屼竴涓韩浠借瘉鍙凤紝涓浣嗗嚭鐜帮紝灏卞繀瀹氫細寮曡捣鍐...
绛旓細鎴戞潵璇曠潃甯綘瑙e喅涓嬶細鍘熷洜鍒嗘瀽锛1.鏈夋椂鎵鏈夋満鍣ㄨ兘涓婄綉鏄洜涓虹梾姣掓病鏈鏀诲嚮璺敱锛涘紑鍚arp闃叉姢鍚庯紝鐥呮瘨鏀诲嚮璺敱鏃朵綘涓嶈兘涓婄綉鐨勫師鍥犳槸鐥呮瘨鏈哄彂鍑虹殑鏀诲嚮鍖呭牭濉炴甯哥殑缃戠粶锛屽鑷撮儴鍒嗘満鍣ㄤ笉鑳戒笂缃戯紝鍗充娇寮浜嗛槻鎶や篃鏄病鐢ㄣ2.褰╁奖鍗曟満鐗堜笉閫傚簲缃戠粶绠$悊锛屼笉杩囦娇鐢ㄥ僵褰卞彲浠鏌ユ壘鐥呭師鏈鸿繕鏄彲浠ョ殑銆傚洖绛斾綘鐨勯棶棰橈細1....
绛旓細缃戠粶鍋ュ悍搴︽娴嬫彃浠讹紝涓閿氨鍙互妫娴嬪嚭澶ч儴鍒嗗唴缃戦棶棰樸
绛旓細1.杩涘叆鍛戒护琛屾ā寮ARP -A鏄剧ず鎵鏈堿RP杩炴帴锛屾敞鎰忔煡鐪嬬綉鍏崇殑MAC锛屽鏋滃拰鐪熷疄鐨凪AC鍦板潃涓嶅悓锛岄偅鑲畾鏄湁鐥呮瘨浜嗙户缁瀵熸墍鏈夌殑杩炴帴锛屽鏋滃彂鐜板垪琛ㄤ腑鏈変竴鍙拌窡鏈満娌℃湁瀹為檯鑱旂郴鐨勬満鍣紝閭d箞锛岃繖鍙版満鍣ㄥ簲璇ュ氨鏄疉RP鐥呮瘨鐨勪紶鎾呫備篃鍙互閫氳繃缃戝叧閭d釜鍋嘙AC鍦板潃鎵惧埌婧鏈猴紙婧愭満鐨凪AC灏辨槸閭d釜MAC)2.鍏堢敤鎵弿鍣ㄦ壂鎻...
绛旓細鐢氳嚦缃戠粶鐦棯銆傚洜涓鸿繖浜涜蒋浠舵槸閬典粠ARP鍗忚锛屾墍浠ュ眬鍩熺綉鐢ㄦ埛涓湁浜哄紑鍚繖涓蒋浠剁殑鏃跺欙紝鍏跺畠鐢ㄦ埛灏变細鏈夊彈鍒ARP鏀诲嚮鐨勮〃鐜般傝В鍐虫柟娉曪紝瑁呬竴涓狝RP闃茬伀澧欙紙360瀹夊叏鍗+鑷甫鐨凙RP闃茬伀澧欏氨鍙互锛夛紝鍦ㄥ彈鍒版敾鍑荤殑鏃跺欓┈涓婅窡韪鏀诲嚮婧鏈哄櫒锛岀劧鍚鎵惧埌璇ョ敤鎴锋満锛屾妸鐢ㄦ埛娴锋墎涓椤匡紝鐮哥儌浠栫殑鏈哄瓙锛屽氨OK鍟 ...
绛旓細銆愪釜浜虹敤鎴风殑闃叉姢鏂规硶銆戦鍏堣鏄庣‘ARP鏀诲嚮浠呰兘鍦ㄥ眬鍩熺綉鍐呰繘琛岋紝娌℃湁璺敱鍣ㄤ笖鐢ㄦ埛涓嶅湪澶氱敤鎴风殑灞鍩熺綉鍙互涓嶅繀鑰冭檻 1.瀹夎ARP闃茬伀澧欏浠婂ぇ閮ㄥ垎瀹夊叏杈呭姪杞欢鍧囧唴缃瓵RP闃茬伀澧欙紝钁楀悕鐨勬湁锛360瀹夊叏鍗+(鍐呯疆)銆侀噾灞辫礉澹矨RP涓撴潃銆侀噾灞卞崼澹 2.瀹夎鏉姣掕蒋浠舵潃姣掕蒋浠跺彲浠ユ湁鏁堢殑闃叉ARP鐥呮瘨杩涘叆鏈哄櫒 3.宸茬粡涓瘨鐨勫鐞...
绛旓細涔熷氨鏄綘鐜板湪鏄剧ず鐨勬簮MAC鏄矾鐢卞櫒MAC鏈韩灏辨槸涓鏉′笉鍙潬鐨勬秷鎭侭杩欎釜鎾掕皫鑰呭緢杩囧垎锛屽畠涓嶆柇鐨勫枈鑷繁鏄疉锛岃屼笖鍠婂緱澹伴煶鍜屽枈寰楅鐜囬兘瑕佹瘮鐪熸鐨凙鍠婂緱澶氾紝鍠婂緱澶с傝屼笖浠栦粠鏉ヤ笉鎵胯鑷繁鏄疊銆傛墍浠ヤ綘姘歌繙鏃犳硶鐭ラ亾瀹冩槸璋侊紝鑰屼笖涓嶆柇鐨勫彈鍒颁粬鐨勫共鎵般傝瑙e喅杩欎釜闂锛岄鍏堣鍏鎵惧埌鏀诲嚮婧銆傛垜涓嶇煡閬撲綘灞鍩...
绛旓細閫氳繃涓婅堪鏂规硶锛屾垜浠氨鑳藉蹇熺殑鎵惧埌鐥呮瘨婧愶紝纭鍏禡AC鈥斺斻夋満鍣ㄥ悕鍜孖P鍦板潃銆4銆侀槻寰℃柟娉 a銆佷娇鐢ㄥ彲闃插尽ARP鏀诲嚮鐨勪笁灞備氦鎹㈡満锛岀粦瀹氱鍙-MAC-IP锛岄檺鍒禔RP娴侀噺锛屽強鏃跺彂鐜板苟鑷姩闃绘柇ARP鏀诲嚮绔彛锛屽悎鐞嗗垝鍒哣LAN锛屽交搴曢樆姝㈢洍鐢↖P銆丮AC鍦板潃锛屾潨缁ARP鐨勬敾鍑銆俠銆佸浜庣粡甯哥垎鍙戠梾姣掔殑缃戠粶锛岃繘琛孖nternet璁块棶鎺у埗锛岄檺鍒...
绛旓細杩欎釜寰堟槑鏄炬槸arp娆洪獥锛岃В鍐冲姙娉 1銆佸湪浣犱笂涓嶅幓鐨勭數鑴戜笂arp -a涓涓嬶紝鐪嬬湅鑾峰彇鍒扮殑MAC鍜孖P鍜岀綉鍏砿ac鍜宨p鏄惁涓鑷达紒2銆佸鏋滀笉涓鑷达紝妫鏌ョ綉缁滈噷闈㈡槸鍚︽湁杩欎釜MAC-IP鐨勮矾鐢辫澶囷紝鎴栬呴氳繃鎶撳寘鎵惧嚭鍙戣捣arp鏀诲嚮鐨処P 3銆侀氳繃涓浜沘rp妫鏌ュ伐鍏鏌ユ壘鏀诲嚮婧锛屾壘鍑哄悗閲嶅仛绯荤粺锛堝彂arp鐨勬満鍣ㄦ湭蹇呮槸涓婁笉鍘荤綉鐨勫摝锛夋垜涓汉...
绛旓細arp鏀诲嚮锛屽彧浼氬嚭鐜板湪灞鍩熺綉鍐呫備粙缁嶄釜鏈绗ㄧ殑鍔炴硶銆傞鍏堬紝鎵鍙扮數鑴戯紙濡傛灉鏈夌綉绠★紝灏辩敤缃戠鐨勭數鑴戯級鍗曠嫭杩炴帴璺敱鍣紝瑕佸湪arp闃茬伀澧欎腑缁戝畾鐪熷疄鐨勮矾鐢卞櫒鍦板潃銆傛帴鐫鎶婂叕鍙哥殑鐢佃剳涓涓鎺ヤ笂锛岃瀵焌rp闃茬伀澧欑殑鎯呭喌銆備釜浜烘鐤戯紝缃戝唴鏈変汉绉佽嚜瑁呬簡鍙拌矾鐢卞櫒锛屽洜涓烘垜杩欎篃閬囧埌杩囥
