- 相關(guān)推薦
談?wù)勅绾畏婪禔RP攻擊
寧夏馬蓮臺電廠的網(wǎng)絡(luò)是典型的三層交換,采用了思科的設(shè)備,核心層是一臺Cisco 6500 , 匯聚層是兩臺Cisco 6500,分別連接生產(chǎn)樓和生活區(qū)的設(shè)備,在生產(chǎn)區(qū)樓里如集控室、化驗(yàn)樓、燃供樓、檢修間、除灰樓、小車庫都掛著Cisco 3550作為接入層。全廠一共有200多臺計算機(jī)通過交換機(jī)連成一個局域網(wǎng)。
馬蓮臺電廠網(wǎng)絡(luò)拓?fù)鋱D
2、網(wǎng)絡(luò)故障現(xiàn)象
局域網(wǎng)內(nèi)的計算機(jī)出現(xiàn)外部網(wǎng)站訪問速度緩慢,甚至無法打開的現(xiàn)象,客戶端用戶頻繁出現(xiàn)斷網(wǎng)并發(fā)現(xiàn)IP沖突。最嚴(yán)重的時候出現(xiàn)部分生產(chǎn)樓網(wǎng)絡(luò)癱瘓。
3、故障分析:
3.1故障原因查找
在開始不能上網(wǎng)的計算機(jī)上運(yùn)行arp –a,說明:10.216.96.3是網(wǎng)關(guān)地址,后面的00-00-0c-07-0a-01是網(wǎng)關(guān)的物理地址。此物理地址默認(rèn)情況下是不會發(fā)生改變的,如果發(fā)現(xiàn)物理地址不是此地址說明自己已經(jīng)受到了arp病毒的攻擊 。
查找過程:
(1)、執(zhí)行arp –a 列出了:
10.216.96.18 00-0F-EA-11-00-5E
10.216.96.3 00-0F-EA-11-00-5E (網(wǎng)關(guān))
由于之前我們已經(jīng)知道網(wǎng)關(guān)的正確物理地址是00-00-0c-07-0a-01,此時卻變成了00-0F-EA-11-00-5E,說明10.216.96.18正在利用arp進(jìn)行欺騙,冒充網(wǎng)關(guān)。
(2)、執(zhí)行arp –d 清除ARP列表信息。重新運(yùn)行arp –a看數(shù)據(jù)類表的可疑IP地址是否存在,不存在說明此IP地址正常;存在,說明該機(jī)器肯定有ARP病毒。
(3) 使用tracert命令
在任意一臺受影響的主機(jī)上,在DOS命令窗口下運(yùn)行如下命令:tracert 61.135.179.148(外網(wǎng)IP地址)。假定設(shè)置的缺省網(wǎng)關(guān)為10.8.6.1,在跟蹤一個外網(wǎng)地址時,第一跳卻是10.8.6.186,那么,10.8.6.186就是病毒源。
3.2 ARP攻擊原理分析
ARP,全稱Address Resolution Protocol,中文名為地址解析協(xié)議,它工作在數(shù)據(jù)鏈路層,在本層和硬件接口聯(lián)系,同時對上層提供服務(wù)。ARP病毒造成網(wǎng)絡(luò)癱瘓的原因可以分為對路由器ARP表的欺騙,和對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙兩種。第一種必須先截獲網(wǎng)關(guān)數(shù)據(jù)。它使路由器就收到一系列錯誤的內(nèi)網(wǎng)MAC地址,并按照一定的頻率不斷更新學(xué)習(xí)進(jìn)行,使真實(shí)的地址信息無法通過更新保存在路由器中,造成的PC主機(jī)無法正常收到回應(yīng)信息。第二種是通過交換機(jī)的MAC地址學(xué)習(xí)機(jī)制,當(dāng)局域網(wǎng)內(nèi)某臺主機(jī)已經(jīng)感染ARP欺騙的木馬程序,就會欺騙局域網(wǎng)內(nèi)所有主機(jī)和路由器,讓所有上網(wǎng)的流量都必須經(jīng)過病毒主機(jī)。
4、調(diào)查結(jié)論:
通過以上查找分析,局域網(wǎng)內(nèi)有計算機(jī)感染ARP 病毒,中毒的機(jī)器的網(wǎng)卡不斷發(fā)送虛假的ARP數(shù)據(jù)包,告訴網(wǎng)內(nèi)其他計算機(jī)網(wǎng)關(guān)的MAC地址是中毒機(jī)器的MAC地址,是其他計算機(jī)將本來發(fā)送網(wǎng)關(guān)的數(shù)據(jù)發(fā)送到中毒機(jī)器上,導(dǎo)致整個局域網(wǎng)都無法上網(wǎng),嚴(yán)重乃至整個網(wǎng)絡(luò)的癱瘓。我們知道局域網(wǎng)中的數(shù)據(jù)流向是:網(wǎng)關(guān)→本機(jī); 如果網(wǎng)絡(luò)有ARP 欺騙之后,數(shù)據(jù)的流向是:網(wǎng)關(guān)→攻擊者→本機(jī),因此攻擊者能隨意偷聽網(wǎng)絡(luò)數(shù)據(jù),截獲局域網(wǎng)中任一臺機(jī)器收發(fā)的郵件,WEB瀏覽信息等,還會竊取用戶密碼。如盜密碼、盜取各種網(wǎng)絡(luò)游戲密碼和賬號去做金錢交易,盜竊網(wǎng)上銀行賬號來做非法交易活動等,這是木馬的慣用伎倆,給用戶造成了很大的不便和巨大的經(jīng)濟(jì)損失。
5、防范所采取措施
5、1 用戶端防范措施:
安裝arp防火墻或者開啟局域網(wǎng)ARP防護(hù),比如360安全衛(wèi)士等arp病毒專殺工具,并且實(shí)時下載安裝系統(tǒng)漏洞補(bǔ)丁,關(guān)閉不必要的服務(wù)等來減少病毒的攻擊。
如果在沒有防范軟件安裝的情況下,也可以通過編寫簡單的批處理程序來綁定網(wǎng)關(guān)來防止ARP欺騙,步驟如下:
(1)首先,獲得安全網(wǎng)關(guān)的內(nèi)網(wǎng)的MAC地址。以windows xp為例。點(diǎn)擊“開始”→“運(yùn)行”→輸入cmd,點(diǎn)擊“確定”后,將出現(xiàn)相關(guān)網(wǎng)絡(luò)狀態(tài)及連接信息,輸入arp –a,可以查看網(wǎng)關(guān)的MAC地址
(2)編寫批處理文件arp.bat內(nèi)容如下:
@echo off
arp –d
arp –s 10.216.96.3(安全網(wǎng)關(guān)) 00-09-ac-82-0d (網(wǎng)關(guān)的MAC地址)注:arp -s 是用來手動綁定網(wǎng)絡(luò)地址(IP)對應(yīng)的物理地址(MAC)
(3) 編寫完以后,點(diǎn)擊“文件” →“另存為”。注意,文件名一定要是*.bat,點(diǎn)擊保存就可以。
(4) 將這個批處理文件拖到“windows→開始→程序→啟動”中,最后重起電腦即可。
5.2 網(wǎng)管員采取的防范措施
(1) 學(xué)會使用Sniffer抓包軟件。
ARP病毒最典型的現(xiàn)象就是網(wǎng)絡(luò)時通時斷,用Sniffer抓包分析,會發(fā)現(xiàn)有很多的ARP包。
(2) 在全網(wǎng)部署安裝ARP防火墻服務(wù)端及客戶端軟件
(3) 使用多層交換機(jī)或路由器:接入層采用基于IP地址交換進(jìn)行路由的第三層交換機(jī)。由于第三層交換技術(shù)用的是IP路由交換協(xié)議,以往的鏈路層的MAC地址和ARP協(xié)議失效,因而ARP欺騙攻擊在這種交換環(huán)境下起不了作用。
6、結(jié)束語
ARP欺騙在相當(dāng)長的時間內(nèi)還會繼續(xù)存在,ARP欺騙也在不斷的發(fā)展和變化中,希望廣大網(wǎng)絡(luò)管理員密切注意它,從而減少對我們網(wǎng)絡(luò)的影響。
參考文獻(xiàn):
[1] 王奇.以太網(wǎng)中ARP欺騙原理與解決辦法[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2007,(2)
[2]謝希仁.計算機(jī)網(wǎng)絡(luò).北京:人民郵電出版社,2006.
[3] 趙鵬.計算機(jī)網(wǎng)絡(luò)系統(tǒng)中基于ARP協(xié)議的攻擊與保護(hù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2005.1:101.
【談?wù)勅绾畏婪禔RP攻擊】相關(guān)文章:
緩沖區(qū)溢出攻擊的分析及防范策略03-18
談?wù)勅绾芜M(jìn)行盈余管理03-18
防火墻在防范局域網(wǎng)內(nèi)外部攻擊中的應(yīng)用11-16
如何有效控制與防范內(nèi)部審計風(fēng)險03-22
探析數(shù)字圖書館網(wǎng)絡(luò)防治ARP病毒的策略03-19
ARP病毒的攻擊原理分析03-14