ARP网络攻击解决方案

ARP网络攻击解决方案：如何查找攻击者2007/11/2013:57ARP攻击现在经常发生，遇到这些问题怎么办呢？请看下面笔者给出的解决方法！前段时间经常有用户打电话抱怨上网时断时续，有时甚至提示连接受限、根本就无法获得IP（我们单位用的是动态IP）。交换机无法ping通，而指示灯状态正常。重启交换机后客户机可以上网，但很快又涛声依旧！严重影响了用户使用，甚至给用户造成了直接经济损失，（我们单位很多人都在炒股、炒基金，由于无法及时掌握行情，该出手时无法出手。）根据用户描述的情形和我们多次处理的经验，可以肯定是由于网络中存在ARP攻击（ARP欺骗）所致。至于什么是ARP攻击，我就不用再说了吧。知道了问题所在，但如何解决呢？虽然可以采用在交换机绑定MAC地址和端口、在客户机绑定网关IP和MAC地址的“双绑”办法预防，但由于网管的工作量太大，且不能保证所有的用户都在自己的电脑上绑定网关IP和MAC地址，所以我们采取以下措施来预防和查找ARP攻击。我们推荐用户在自己的电脑上安装ColorSoft开发的ARP防火墙（原名AntiARPSniffer），该软件通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址，可以保障安装该软件的电脑正常上网；拦截外部对本机的ARP攻击和本机对外部的ARP攻击。如果发现内部ARP攻击，直接处理本机就行了；如果发现外部ARP攻击，则根据实际情况通过攻击者的IP地址和/或MAC地址查找该攻击者电脑。1、在同一网段的电脑上下载ARP防火墙、安装、运行。发现了ARP攻击，如图1。图1ARP防火墙发现外部ARP攻击2、为了不冤枉好人，进一步确认攻击者的MAC地址。进入核心交换机，查看该网段的MAC地址表。我们的核心交换机是华为的，键入命令“Displayarpvlanxx”（xx为所要查找ARP攻击网段的VLAN号），回车。显示如图2所示结果。图2核心交换机上显示的MAC地址表为了方便查看，我们将该数据拷贝到Word中并按MAC地址排序。在Word中，选中该数据，从“表格”菜单中选择“排序”菜单项，弹出“排序文字”窗口，“主要关键字”选“域3”即MAC地址，如图3。图3排序MAC地址表排序后很容易就可以看到有四个IP地址对应于同一个MAC地址（如表1）！我们知道MAC地址是全球唯一的，这与ARP防火墙检测到的结果相吻合，现在MAC地址0011-5b2d-5c03所对应的电脑肯定有问题了。这些IP中应该只有xxx.xxx.xx.92是真实的，其余的都是伪造的。由于我们的电脑一直在监测，该攻击者电脑刚对外攻击，就被检测到了，所以它伪造的IP地址还不多，我曾经发现过伪造了近10个IP地址的情形，而该网段总共有二十多台电脑。表1伪造的IP地址xxx.xxx.xx.1780011-5b9d-7246xxx.xxx.xx.1880011-5b9d-7246xxx.xxx.xx.1970011-5b9d-7246xxx.xxx.xx.920011-5b9d-72463、查找ARP攻击者。如果是静态IP，找出IP地址登记表，很容易就可找到发送ARP攻击的电脑。由于我们用的是动态IP，又没有每台电脑的MAC地址，所以虽然知道了攻击者的IP地址和MAC地址，但是万里长征还只迈出了第一步。我们的DHCP服务器是基于MicrosoftWindows2003的，打开DHCP管理器，从地址租约里查看IP地址xxx.xxx.xx.92对应的计算机名，是随机的，没什么意义。（有时候根据计算机名，可以推断出该计算机的主人。）登录到有所要查找网段VLAN的各接入层交换机上，逐一查看该交换机上的MAC地址表。我们用的是安奈特的交换机，在Web界面下按VLAN查询MAC地址表，看是否有MAC地址为0011-5b9d-7246的记录。一直查到第15台交换机，才终于找到罪魁祸首，结果如图4，可以看出该MAC地址对应于交换机的第16口。别的厂家的可网管交换机也都有查看MAC地址的功能。图4接入层交换机上的MAC地址表4、剩下工作的就简单了，先将该交换机的第16口Disable，然后查找用户上网登记信息，通知该用户处理自己的电脑。不知道本文是否对您有所帮助。最后，推荐几点防范ARP攻击的措施：1、在交换机上划分VLAN，这样即使网络中存在ARP攻击，也仅影响该VLAN的用户，缩小受影响范围和查找范围。2、要求用户安装ARP防火墙。既可防止来自外部的ARP攻击，也可防止本机向外发送ARP攻击。一旦发现攻击及时与网管联系。ARP网络攻击解决方案の如何查找攻击者~2007年10月27日星期六06:24P.M.如果发现内部ARP攻击，直接处理本机就行了；如果发现外部ARP攻击，则根据实际情况通过攻击者的IP地址和/或MAC地址查找该攻击者电脑。1、在同一网段的电脑上下载ARP防火墙、安装、运行。发现了ARP攻击，如图1。图1ARP防火墙发现外部ARP攻击2、为了不冤枉好人，进一步确认攻击者的MAC地址。进入核心交换机，查看该网段的MAC地址表。我们的核心交换机是华为的，键入命令“Displayarpvlanxx”（xx为所要查找ARP攻击网段的VLAN号），回车。显示如图2所示结果。图2核心交换机上显示的MAC地址表为了方便查看，我们将该数据拷贝到Word中并按MAC地址排序。在Word中，选中该数据，从“表格”菜单中选择“排序”菜单项，弹出“排序文字”窗口，“主要关键字”选“域3”即MAC地址，如图3。图3排序MAC地址表排序后很容易就可以看到有四个IP地址对应于同一个MAC地址（如表1）！我们知道MAC地址是全球唯一的，这与ARP防火墙检测到的结果相吻合，现在MAC地址0011-5b2d-5c03所对应的电脑肯定有问题了。这些IP中应该只有xxx.xxx.xx.92是真实的，其余的都是伪造的。由于我们的电脑一直在监测，该攻击者电脑刚对外攻击，就被检测到了，所以它伪造的IP地址还不多，我曾经发现过伪造了近10个IP地址的情形，而该网段总共有二十多台电脑。表1伪造的IP地址xxx.xxx.xx.1780011-5b9d-7246xxx.xxx.xx.1880011-5b9d-7246xxx.xxx.xx.1970011-5b9d-7246xxx.xxx.xx.920011-5b9d-72463、查找ARP攻击者。如果是静态IP，找出IP地址登记表，很容易就可找到发送ARP攻击的电脑。由于我们用的是动态IP，又没有每台电脑的MAC地址，所以虽然知道了攻击者的IP地址和MAC地址，但是万里长征还只迈出了第一步。我们的DHCP服务器是基于MicrosoftWindows2003的，打开DHCP管理器，从地址租约里查看IP地址xxx.xxx.xx.92对应的计算机名，是随机的，没什么意义。（有时候根据计算机名，可以推断出该计算机的主人。）登录到有所要查找网段VLAN的各接入层交换机上，逐一查看该交换机上的MAC地址表。我们用的是安奈特的交换机，在Web界面下按VLAN查询MAC地址表，看是否有MAC地址为0011-5b9d-7246的记录。一直查到第15台交换机，才终于找到罪魁祸首，结果如图4，可以看出该MAC地址对应于交换机的第16口。别的厂家的可网管交换机也都有查看MAC地址的功能。图4接入层交换机上的MAC地址表4、剩下工作的就简单了，先将该交换机的第16口Disable，然后查找用户上网登记信息，通知该用户处理自己的电脑。不知道本文是否对您有所帮助。最后，推荐几点防范ARP攻击的措施：1、在交换机上划分VLAN，这样即使网络中存在ARP攻击，也仅影响该VLAN的用户，缩小受影响范围和查找范围。2、要求用户安装ARP防火墙。既可防止来自外部的ARP攻击，也可防止本机向外发送ARP攻击。一旦发现攻击及时与网管联系。怎么对付恶意ARP攻击者2006-09-0918:51我是第一次接触到ARP攻击，以前我从来没想到会有这样的事情，因为之前我一直都是在网吧上网的。直到我最近把电脑搬到了租的房子里，才发现原来局域网上线还有那么多激烈的争斗。我们这大概有12台机子，争夺着2M的带宽。往往会有人不自觉，下BT占用大量的带宽，然后就会有些人，下了些诸如P2POVER，网络执法官之类的局域网管理软件。如果仅仅上用于阻止BT下载，倒也无可厚非。可我最近发现，自己的机子经常上不了网，还经常出现IP地址冲突等提示，我更换了好几个IP都依旧提示地址冲突，这个是不可能的，才12台机子怎么可能会占用那么多IP。我初步反应是网关出了问题，不过经过仔细检查，发现网关及网线连接都是畅通的。而且我每换一个IP地址，都能断断续续的上一分钟网。我再打开CMD，输入arp-a后发现，原来每个IP都是有重复的。至此，我已经明白，上不了线的根本原因是有人在利用ARP欺骗攻击我的MAC。知道了原因，处理起来就简单多了。我先把网线拔了，然后重新修复网络连接，更换个新IP。趁这上线的瞬间，下载了一个防ARP攻击的软件，AntiARPSniffer。这个软件的出处是彩影软件，地址是欺骗和攻击，我迅速的把软件装上，然后把自动保护一勾。得到了如下一串攻击日志：攻击时间:2006-9-916:58:3900:40:16:3F:5C:20攻击时间:2006-9-916:58:4000:E0:A0:38:36:40安装好后，检测到的攻击次数有整整300多次，而且基本上是这两个MAC地址发出的。我再通过ARP检测软件，轻松的查出机子IP，找到了攻击来源。接下来就该是我反击的时候了。我安装个IP侦探者，将查出的攻击来源MAC输入。轻轻按下攻击。。过了约5分钟后。对我的攻击停止了，再过一分钟，Anti提示，攻击主机可能已经关机。哈哈，跟我斗，不搞死你才怪。总结下这次事件，局域网上网是大家在一起的选择，如果因为自己的自私想独占带宽而恶意攻击别人机子，下场就是这样。我也不会什么高深的技巧，我只会简单的使用几个软件。如果遇到真正的高手，恐怕后果就不是关机可以解决的了！追踪arp攻击者续2007-07-0208:06部署SNMP网络管理系统“工欲善其事、必先利其器”，在正式追踪攻击者的来源之前，我们事先还要在本地网络中的网管工作站上安装一个著名的网络管理软件Solarwinds。这是一款商业软件，如果大家不想付费的话可以去该公司的站点下载40天的***用版。本例中会用到其中的“SwitchPortMapper”工具，这是专门用来定位交换机端口和MAC地址之间的关系。SNMP网络管理系统包括两大部分：管理进程和代理进程。在本例中，Solarwinds就是管理进程，而代理进程则需要我们去交换机上面进行配置。Solarwinds（管理进程）的安装很简单，在此就不加赘述了，笔者重点介绍一下如何在Cisco交换机上面启用snmp代理进程。启用代理进程的命令是snmp-server，分别登录到交换机192.168.0.15和交换机2192.168.0.80上面，在配置模式下输入以下命令：snmp-servercommunitypublicrosnmp-servercommunityfengyurw这样就启用了两台交换机上面的snmp代理进程，其中的public是团体名，用来验证的，ro表示访问者具有只读权限；fengyu也是团体名，但是使用该团体名的访问者具有读写权限。接下来我们就可以打开Solarwinds的“SwitchPortMapper”工具来随时捕捉攻击者的真实来源了。部署完SNMP网络管理系统后，我们使用的时候只要将交换机的IP地址和团体名分别输入到“SwitchPortMapper”工具中的列表框中，然后点击“MapPorts”就可以了，这就是图形界面网络管理软件给我们带来的最大好处——简单、快捷、易用。追踪实例好了，所有的必备知识都介绍完了、准备工作也已经做好了，接下来让我们共同去分享一下SNMP网络管理系统在追踪黑客攻击时的威力吧。首先在192.1