1234   1  /  4  页   跳转

[原创] ARP欺骗防治问题小结(不断更新中...)

ARP欺骗防治问题小结(不断更新中...)

ARP欺骗已流畅N久,遇到N次,说过N遍,可目前还是企业网络安全与信息安全的最大威胁来源。今日开贴做下总结,并附上一些工具。希望对各位同行有所帮助。

先讲几个误区:
  • 不要谈ARP色变,ARP是个协议,没有它,局域网内计算机之间是无法进行通讯的。
  • ARP欺骗是一个网络攻击现象,很多时候与病毒无关,到底是什么导致的,需要先找到发包源才可定论。

防御:
看起来防御方法好像有很多,可总归说来,其实只有一个。但可喜的是,这个方法是有效的,并且是一劳永逸的。
不管是用瑞星防火墙、360反ARP还是ARP防火墙,对于ARP欺骗的防御其实不外乎一个绑定而已,只不过不同的产品可能附带一些分析与查找发包源的功能。可话说回来,如果做好了防御,ARP欺骗也不会对网络造成很大影响,所以ARP欺骗重在防御,方法:网关设备与终端计算机进行IP-MAC的双向绑定
内网计算机访问外网不仅要发包,还得回包,所以在网关设备上对客户端的静态IP地址和MAC地址进行绑定十分重要,具体方法见贵单位网关设备说明书。
终端做绑定格式如下:
----------------------------------------------------
ARP -D
ARP -S 网关IP 网关MAC
EXIT
----------------------------------------------------
保存为BAT文件放到启动项中即可。

问题排除:
一样的,N多工具N多方法,归根结底只有一条:通过抓包软件对数据进行分析,复杂但准确彻底,使用工具简单但准确性无法保证。
具体方法不爽了baidu和google比我懂的多,只推荐一些工具:EtherPeek、SnifferPro、AntiARP等等等等甚至Windows自带的防火墙(详见
http://bbs.ikaka.com/showtopic-8430850.aspx

总结:
明白了ARP欺骗的原理和现象,明确了处理思路,方法就多了去了。不管捣乱者们再怎么变招,那也无需惧怕,反正方法就是要么我不听你骗我、要么你骗不了我、要么我干脆抓到骗子狂殴一顿.....
但还是有需要注意的就是:
  • 作为网络管理员,一定要有一份内网终端机使用者的IP-MAC-姓名-方位的登记表,避免找到发包源MAC就是找不到计算机在哪。
  • 作为管理员,定期检测内网终端机的网卡状态,如果发现有混杂模式,加强注意,第一时间抵御内网攻击,ARP欺骗+SNIFFER嗅探偷东西很无敌的。

有什么新的希望大家能补充,有处理不了的ARP欺骗实例也可贴来讨论,互相帮忙嘛

附上几个小工具:

6月17日9楼更新可自动绑定网关IP-MAC的工具,可加入启动项代替bat
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; InfoPath.2)

附件附件:

文件名:MacDraw221.rar
下载次数:1665
文件类型:application/octet-stream
文件大小:
上传时间:2008-6-13 16:56:00
描述:MAC-IP扫描

附件附件:

下载次数:1509
文件类型:application/x-zip-compressed
文件大小:
上传时间:2008-6-13 16:56:00
描述:MAC-IP扫描

附件附件:

下载次数:1538
文件类型:application/octet-stream
文件大小:
上传时间:2008-6-13 16:56:00
描述:检测内网混杂模式的网卡

附件附件:

文件名:antip2p.zip
下载次数:1133
文件类型:application/x-zip-compressed
文件大小:
上传时间:2008-6-13 16:56:00
描述:不一定有用的反P2P终结者工具

附件附件:

下载次数:2683
文件类型:application/octet-stream
文件大小:
上传时间:2008-6-13 17:18:46
描述:非常不错的反ARP欺骗监控软件,还可扫描MAC-IP

附件附件:

下载次数:4506
文件类型:application/octet-stream
文件大小:
上传时间:2008-6-13 17:18:46
描述:据说很牛叉,能远程关闭发包源,驱动级别防御ARP

附件附件:

下载次数:2123
文件类型:application/octet-stream
文件大小:
上传时间:2008-6-13 17:18:46
描述:操作简单,底层驱动级别防御,网络隐身

本帖被评分 2 次
最后编辑maxjack 最后编辑于 2008-06-17 14:52:40
沙加啊......沙加,什么事让你如此悲伤?
只有六岁的你,每天都这么坐着?
是什么事情让你如此忧心忡忡?
分享到:
gototop
 

回复:ARP欺骗防治问题小结(不断更新中...)


完全没人关注
本帖被评分 1 次
沙加啊......沙加,什么事让你如此悲伤?
只有六岁的你,每天都这么坐着?
是什么事情让你如此忧心忡忡?
gototop
 

回复:ARP欺骗防治问题小结(不断更新中...)

强烈支持楼上!
传说在很远的古代,一个庙里,有一个大神与一个小鬼住在里面。天下了大雨,庙前的河里长了水。来了一个人,过不了河,就把庙里的大神搬了出去,丢在河里,然后他踏在大神的身上,飞跳了过河。等会又来了
gototop
 

回复:ARP欺骗防治问题小结(不断更新中...)

好贴!!!
gototop
 

回复:ARP欺骗防治问题小结(不断更新中...)

非常感谢LZ
gototop
 

回复: ARP欺骗防治问题小结(不断更新中...)

那么楼主请教一下,我的电脑在局域网内,但我不是管理员,我明知道内网有ARP攻击,但无能为力,网络时快时慢,有时候一连几天不能上(ARP攻击,欺骗网关了?),我现在具体应该怎么办呀?
gototop
 

回复: ARP欺骗防治问题小结(不断更新中...)



引用:
原帖由 kongming3721 于 2008-6-16 11:07:00 发表
那么楼主请教一下,我的电脑在局域网内,但我不是管理员,我明知道内网有ARP攻击,但无能为力,网络时快时慢,有时候一连几天不能上(ARP攻击,欺骗网关了?),我现在具体应该怎么办呀?


先在上网异常的计算机通过命令:arp -a 查看本地arp缓存表,对比网关设备的IP-MAC是否正确,前提是你必须了解真实的网关MAC,所以还是得联系你们的网络管理员。
如果确定是ARP欺骗,只能是通过我上传的一些软件或者抓包软件来进行监测,找到发包源,断网即可。
沙加啊......沙加,什么事让你如此悲伤?
只有六岁的你,每天都这么坐着?
是什么事情让你如此忧心忡忡?
gototop
 

回复:ARP欺骗防治问题小结(不断更新中...)

顶一下。。太好了。。。
gototop
 

回复: ARP欺骗防治问题小结(不断更新中...)

更新工具

附件附件:

文件名:ArpTool.rar
下载次数:1598
文件类型:application/octet-stream
文件大小:
上传时间:2008-6-17 14:50:21
描述:可自动检测网关并绑定的小工具

沙加啊......沙加,什么事让你如此悲伤?
只有六岁的你,每天都这么坐着?
是什么事情让你如此忧心忡忡?
gototop
 

回复:ARP欺骗防治问题小结(不断更新中...)

好贴啊。支持
gototop
 
1234   1  /  4  页   跳转
页面顶部
Powered by Discuz!NT