|
很多企業(yè)網(wǎng)管人員都痛恨ARP攻擊����,原因是他們需要經(jīng)常奔波在解決問題于排查問題之間�,很多時(shí)候都無可奈何。本文介紹了一款第三方ARP防御軟件:Anti ARP Sniffer的詳細(xì)使用方法����,希望本文對各位網(wǎng)絡(luò)管理人員和51CTO廣大網(wǎng)友有所幫助。
最近經(jīng)常接到用戶電話抱怨����,上網(wǎng)時(shí)斷時(shí)續(xù),反映有時(shí)系統(tǒng)還會提示連接受限���、根本就無法獲得IP�����,網(wǎng)關(guān)交換機(jī)無法ping通�,而指示燈狀態(tài)正常����。重啟交換機(jī)后客戶機(jī)可以上網(wǎng),但很快又濤聲依舊��!嚴(yán)重影響了企業(yè)網(wǎng)絡(luò)正常使用��,還有可能造成經(jīng)濟(jì)損失��。
根據(jù)用戶描述的情形和我們多次處理的經(jīng)驗(yàn)�,可以肯定是ARP攻擊(ARP欺騙)所致。知道了問題所在����,但如何解決呢?
雖然可以采用在交換機(jī)綁定MAC地址和端口、在客戶機(jī)綁定網(wǎng)關(guān)IP和MAC地址的“雙綁”辦法預(yù)防�,但由于網(wǎng)管的工作量太大,且不能保證所有的用戶都在自己的電腦上綁定網(wǎng)關(guān)IP和MAC地址����,所以我們采取以下措施來預(yù)防和查找ARP攻擊。
這里推薦用戶在自己的電腦上安裝第三方工具軟件:ColorSoft開發(fā)的ARP防火墻(原名Anti ARP Sniffer)�����。該軟件最大的特點(diǎn)是在系統(tǒng)內(nèi)核層攔截虛假ARP數(shù)據(jù)包���,并且主動(dòng)通告網(wǎng)關(guān)本機(jī)正確的MAC地址��,這樣可以保障安裝該軟件的電腦正常上網(wǎng)�����,并且攔截外部對本機(jī)的ARP攻擊��。
如果發(fā)現(xiàn)內(nèi)部ARP攻擊�,直接處理本機(jī)就行了���;如果發(fā)現(xiàn)外部ARP攻擊�����,則根據(jù)實(shí)際情況通過攻擊者的IP地址和/或MAC地址查找該攻擊者電腦����。下面就以實(shí)例介紹一下該軟件的詳細(xì)使用方法:
1�����、在同一網(wǎng)段的電腦上下載ARP防火墻����、安裝、運(yùn)行���。第一天�����,一切正常����,沒發(fā)現(xiàn)攻擊行為�����。第二天,開機(jī)不到半小時(shí)就發(fā)現(xiàn)了ARP攻擊���,如圖1
 |
| 圖1 ARP防火墻發(fā)現(xiàn)外部ARP攻擊 |
2����、為了不冤枉好人�,進(jìn)一步確認(rèn)攻擊者的MAC地址。進(jìn)入核心交換機(jī)�����,查看該網(wǎng)段的MAC地址表����。我們的核心交換機(jī)是華為的,鍵入命令“Display arp vlan xx”(xx為所要查找ARP攻擊網(wǎng)段的VLAN號)�,回車。顯示如圖2所示結(jié)果�����。
 |
| 圖2 核心交換機(jī)上顯示的MAC地址表 |
為了方便查看�,我們將該數(shù)據(jù)拷貝到Word中并按MAC地址排序�����。在Word中�,選中該數(shù)據(jù)�����,從“表格”菜單中選擇“排序”菜單項(xiàng)���,彈出“排序文字”窗口,“主要關(guān)鍵字”選“域 3”即MAC地址���,如圖3
 |
| 圖3 排序MAC地址表 |
排序后很容易就可以看到有四個(gè)IP地址對應(yīng)于同一個(gè)MAC地址(如表1)���!我們知道MAC地址是全球唯一的,這與ARP防火墻檢測到的結(jié)果相吻合����,現(xiàn)在MAC地址0011-5b2d-5c03所對應(yīng)的電腦肯定有問題了。這些IP中應(yīng)該只有xxx. xxx. xx.92是真實(shí)的��,其余的都是偽造的����。由于我們的電腦一直在監(jiān)測��,該攻擊者電腦剛對外攻擊�����,就被檢測到了�,所以它偽造的IP地址還不多����,我曾經(jīng)發(fā)現(xiàn)過偽造了近10個(gè)IP地址的情形,而該網(wǎng)段總共有二十多臺電腦����。
表1 偽造的IP地址
|
xxx. xxx. xx.178
|
0011-5b9d-7246
|
|
xxx. xxx. xx.188
|
0011-5b9d-7246
|
|
xxx. xxx. xx.197
|
0011-5b9d-7246
|
|
xxx. xxx. xx.92
|
0011-5b9d-7246
|
3、查找ARP攻擊者
如果是靜態(tài)IP���,找出IP地址登記表��,很容易就可找到發(fā)送ARP攻擊的電腦��。由于我們用的是動(dòng)態(tài)IP���,又沒有每臺電腦的MAC地址���,所以雖然知道了攻擊者的IP地址和MAC地址,但是萬里長征還只邁出了第一步�。
我們的DHCP服務(wù)器是基于Microsoft Windows 2003的,打開DHCP管理器�,從地址租約里查看IP地址xxx. xxx. xx.92對應(yīng)的計(jì)算機(jī)名,是隨機(jī)的�����,沒什么意義��。
登錄到有所要查找網(wǎng)段VLAN的各接入層交換機(jī)上���,逐一查看該交換機(jī)上的MAC地址表。我們用的是安奈特的交換機(jī)�,在Web界面下按VLAN查詢MAC地址表,看是否有MAC地址為0011-5b9d-7246的記錄�����。一直查到第15臺交換機(jī)���,才終于找到罪魁禍?zhǔn)��,結(jié)果如圖4�����,可以看出該MAC地址對應(yīng)于交換機(jī)的第16口�。別的廠家的可網(wǎng)管交換機(jī)也都有查看MAC地址的功能。
 |
| 圖4 接入層交換機(jī)上的MAC地址表 |
4�����、剩下工作的就簡單了�,先將該交換機(jī)的第16口Disable,然后查找用戶上網(wǎng)登記信息����,通知該用戶處理自己的電腦。
最后����,推薦幾點(diǎn)防范ARP攻擊的措施:
1、在交換機(jī)上劃分VLAN�����,這樣即使網(wǎng)絡(luò)中存在ARP攻擊,也僅影響該VLAN的用戶���,縮小受影響范圍和查找范圍��。
2��、要求用戶安裝ARP防火墻��。既可防止來自外部的ARP攻擊�,也可防止本機(jī)向外發(fā)送ARP攻擊�。一旦發(fā)現(xiàn)攻擊及時(shí)與網(wǎng)管聯(lián)系。
(截至本文完稿���,ARP防火墻的最新版本是v4.3.1�����,下載地址為http://www.antiarp.com/download.htm。)
如果有需要服務(wù)器的租用與托管的敬請聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊頂級提供商�����!15年品質(zhì)保障�����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
