1   1  /  1  页   跳转

[原创] ARP欺骗防治问题小结(不断更新中...)

收藏
本主题由 在线技术支持工程师 太阳神车 于 2008-6-13 17:34:24 执行 设置高亮 操作
maxjack
头像
飘泊而立狮
  • 帖子:279
  • 注册: 2007-12-20
  • 来自:
发表于: 2008-06-13 16:56 | 显示全部 短消息 资料
字号: 1楼

ARP欺骗防治问题小结(不断更新中...)

ARP欺骗已流畅N久,遇到N次,说过N遍,可目前还是企业网络安全与信息安全的最大威胁来源。今日开贴做下总结,并附上一些工具。希望对各位同行有所帮助。

先讲几个误区:
  • 不要谈ARP色变,ARP是个协议,没有它,局域网内计算机之间是无法进行通讯的。
  • ARP欺骗是一个网络攻击现象,很多时候与病毒无关,到底是什么导致的,需要先找到发包源才可定论。

防御:
看起来防御方法好像有很多,可总归说来,其实只有一个。但可喜的是,这个方法是有效的,并且是一劳永逸的。
不管是用瑞星防火墙、360反ARP还是ARP防火墙,对于ARP欺骗的防御其实不外乎一个绑定而已,只不过不同的产品可能附带一些分析与查找发包源的功能。可话说回来,如果做好了防御,ARP欺骗也不会对网络造成很大影响,所以ARP欺骗重在防御,方法:网关设备与终端计算机进行IP-MAC的双向绑定
内网计算机访问外网不仅要发包,还得回包,所以在网关设备上对客户端的静态IP地址和MAC地址进行绑定十分重要,具体方法见贵单位网关设备说明书。
终端做绑定格式如下:
----------------------------------------------------
ARP -D
ARP -S 网关IP 网关MAC
EXIT
----------------------------------------------------
保存为BAT文件放到启动项中即可。

问题排除:
一样的,N多工具N多方法,归根结底只有一条:通过抓包软件对数据进行分析,复杂但准确彻底,使用工具简单但准确性无法保证。
具体方法不爽了baidu和google比我懂的多,只推荐一些工具:EtherPeek、SnifferPro、AntiARP等等等等甚至Windows自带的防火墙(详见http://bbs.ikaka.com/showtopic-8430850.aspx

总结:
明白了ARP欺骗的原理和现象,明确了处理思路,方法就多了去了。不管捣乱者们再怎么变招,那也无需惧怕,反正方法就是要么我不听你骗我、要么你骗不了我、要么我干脆抓到骗子狂殴一顿.....
但还是有需要注意的就是:
  • 作为网络管理员,一定要有一份内网终端机使用者的IP-MAC-姓名-方位的登记表,避免找到发包源MAC就是找不到计算机在哪。
  • 作为管理员,定期检测内网终端机的网卡状态,如果发现有混杂模式,加强注意,第一时间抵御内网攻击,ARP欺骗+SNIFFER嗅探偷东西很无敌的。

有什么新的希望大家能补充,有处理不了的ARP欺骗实例也可贴来讨论,互相帮忙嘛

附上几个小工具:

6月17日9楼更新可自动绑定网关IP-MAC的工具,可加入启动项代替bat
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; InfoPath.2)

附件附件:

文件名:MacDraw221.rar
下载次数:1663
文件类型:application/octet-stream
文件大小:
上传时间:2008-6-13 16:56:00
描述:MAC-IP扫描

附件附件:

下载次数:1508
文件类型:application/x-zip-compressed
文件大小:
上传时间:2008-6-13 16:56:00
描述:MAC-IP扫描

附件附件:

下载次数:1537
文件类型:application/octet-stream
文件大小:
上传时间:2008-6-13 16:56:00
描述:检测内网混杂模式的网卡

附件附件:

文件名:antip2p.zip
下载次数:1132
文件类型:application/x-zip-compressed
文件大小:
上传时间:2008-6-13 16:56:00
描述:不一定有用的反P2P终结者工具

附件附件:

下载次数:2683
文件类型:application/octet-stream
文件大小:
上传时间:2008-6-13 17:18:46
描述:非常不错的反ARP欺骗监控软件,还可扫描MAC-IP

附件附件:

下载次数:4505
文件类型:application/octet-stream
文件大小:
上传时间:2008-6-13 17:18:46
描述:据说很牛叉,能远程关闭发包源,驱动级别防御ARP

附件附件:

下载次数:2122
文件类型:application/octet-stream
文件大小:
上传时间:2008-6-13 17:18:46
描述:操作简单,底层驱动级别防御,网络隐身

本帖被评分 2 次
最后编辑maxjack 最后编辑于 2008-06-17 14:52:40
沙加啊......沙加,什么事让你如此悲伤?
只有六岁的你,每天都这么坐着?
是什么事情让你如此忧心忡忡?
分享到:
gototop
 
maxjack
头像
飘泊而立狮
  • 帖子:279
  • 注册: 2007-12-20
  • 来自:
发表于: 2008-06-16 09:21 | 显示全部 短消息 资料
字号: 2楼

回复:ARP欺骗防治问题小结(不断更新中...)


完全没人关注
本帖被评分 1 次
沙加啊......沙加,什么事让你如此悲伤?
只有六岁的你,每天都这么坐着?
是什么事情让你如此忧心忡忡?
gototop
 
maxjack
头像
飘泊而立狮
  • 帖子:279
  • 注册: 2007-12-20
  • 来自:
发表于: 2008-06-16 11:12 | 显示全部 短消息 资料
字号: 3楼

回复: ARP欺骗防治问题小结(不断更新中...)



引用:
原帖由 kongming3721 于 2008-6-16 11:07:00 发表
那么楼主请教一下,我的电脑在局域网内,但我不是管理员,我明知道内网有ARP攻击,但无能为力,网络时快时慢,有时候一连几天不能上(ARP攻击,欺骗网关了?),我现在具体应该怎么办呀?


先在上网异常的计算机通过命令:arp -a 查看本地arp缓存表,对比网关设备的IP-MAC是否正确,前提是你必须了解真实的网关MAC,所以还是得联系你们的网络管理员。
如果确定是ARP欺骗,只能是通过我上传的一些软件或者抓包软件来进行监测,找到发包源,断网即可。
沙加啊......沙加,什么事让你如此悲伤?
只有六岁的你,每天都这么坐着?
是什么事情让你如此忧心忡忡?
gototop
 
maxjack
头像
飘泊而立狮
  • 帖子:279
  • 注册: 2007-12-20
  • 来自:
发表于: 2008-06-17 14:50 | 显示全部 短消息 资料
字号: 4楼

回复: ARP欺骗防治问题小结(不断更新中...)

更新工具

附件附件:

文件名:ArpTool.rar
下载次数:1596
文件类型:application/octet-stream
文件大小:
上传时间:2008-6-17 14:50:21
描述:可自动检测网关并绑定的小工具

沙加啊......沙加,什么事让你如此悲伤?
只有六岁的你,每天都这么坐着?
是什么事情让你如此忧心忡忡?
gototop
 
maxjack
头像
飘泊而立狮
  • 帖子:279
  • 注册: 2007-12-20
  • 来自:
发表于: 2009-01-16 10:28 | 显示全部 短消息 资料
字号: 5楼

回复:ARP欺骗防治问题小结(不断更新中...)

哇哈哈,亲切呀
沙加啊......沙加,什么事让你如此悲伤?
只有六岁的你,每天都这么坐着?
是什么事情让你如此忧心忡忡?
gototop
 
maxjack
头像
飘泊而立狮
  • 帖子:279
  • 注册: 2007-12-20
  • 来自:
发表于: 2009-03-03 15:06 | 显示全部 短消息 资料
字号: 6楼

回复: ARP欺骗防治问题小结(不断更新中...)



引用:
原帖由 jw2009 于 2009-2-24 22:16:00 发表
紧急求助ARP包冲突和ARP欺骗
ARP包冲突和ARP欺骗问题非常严重

已经有比较长的时间了非常郁闷

每天从早到晚从开机到关机不停的攻击我的电脑

瑞星防火墙每天不停的红色转动报警

我已经真的受不了了

请求您帮助我解决这两个问题

1 ARP包冲突

  检测到:ARP包内容有地址冲突
瑞星建议,如您无法判别此信息,请咨询网络管理员
选择信任地址
 


先弄清楚192.168.1.41的真实MAC是什么,然后另一个假MAC是哪台计算机的。如果没做过IP-mac记录的话,也可以用抓包软件全网抓包,看哪台计算机不断发送ARP协议的数据包,只要找到发包源,就好处理了。
沙加啊......沙加,什么事让你如此悲伤?
只有六岁的你,每天都这么坐着?
是什么事情让你如此忧心忡忡?
gototop
 
maxjack
头像
飘泊而立狮
  • 帖子:279
  • 注册: 2007-12-20
  • 来自:
发表于: 2009-03-03 15:09 | 显示全部 短消息 资料
字号: 7楼

回复: ARP欺骗防治问题小结(不断更新中...)



引用:
原帖由 ababy 于 2009-3-2 11:17:00 发表
强烈支持楼主

同时提问:采用服务器双网卡sygate代理上网,内网中安装了若干无线路由器,给领导笔记本用的,地址动态分配。服务器内网网卡网络连接时常会出现时通时断(排除物理因素),所以内网机器都不能访问外网,只要重启服务器就恢复正常。怀疑是arp搞鬼,装了360和金山的arp防火墙都没用,用什么手段防御比较合理?


服务器是网关么?最好查看下无法上网的计算机的ARP缓存,看网关对应的MAC是否正确。
你说的这个现象不一定是ARP欺骗
沙加啊......沙加,什么事让你如此悲伤?
只有六岁的你,每天都这么坐着?
是什么事情让你如此忧心忡忡?
gototop
 
maxjack
头像
飘泊而立狮
  • 帖子:279
  • 注册: 2007-12-20
  • 来自:
发表于: 2009-03-03 15:45 | 显示全部 短消息 资料
字号: 8楼

回复: ARP欺骗防治问题小结(不断更新中...)



引用:
原帖由 ababy 于 2009-3-3 15:37:00 发表
服务器是网关,如果不是arp问题又是什么呢?


可能性多了去了,代理异常、带宽占用过大、网卡异常、中毒,具体问题具体分析,你不做抓包检测只通过现象描述怎么可能准确判断出来
沙加啊......沙加,什么事让你如此悲伤?
只有六岁的你,每天都这么坐着?
是什么事情让你如此忧心忡忡?
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT