談?wù)勅绾畏婪禔RP攻擊

1、談?wù)勅绾畏婪禔RP攻擊寧夏馬蓮臺(tái)電廠的網(wǎng)絡(luò)是典型的三層交換，采用了思科的設(shè)備，核心層是一臺(tái)is6500,會(huì)聚層是兩臺(tái)is6500，分別連接消費(fèi)樓和生活區(qū)的設(shè)備,在消費(fèi)區(qū)樓里如集控室、化驗(yàn)樓、燃供樓、檢修間、除灰樓、小車庫都掛著is3550作為接入層。全廠一共有200多臺(tái)計(jì)算機(jī)通過交換機(jī)連成一個(gè)局域網(wǎng)。馬蓮臺(tái)電廠網(wǎng)絡(luò)拓?fù)鋱D2、網(wǎng)絡(luò)故障現(xiàn)象局域網(wǎng)內(nèi)的計(jì)算機(jī)出現(xiàn)外部網(wǎng)站訪問速度緩慢，甚至無法翻開的現(xiàn)象，客戶端用戶頻繁出現(xiàn)斷網(wǎng)并發(fā)現(xiàn)ip沖突。最嚴(yán)重的時(shí)候出現(xiàn)局部消費(fèi)樓網(wǎng)絡(luò)癱瘓。3、故障分析：3.1故障原因查找在開場不能上網(wǎng)的計(jì)算機(jī)上運(yùn)行arpa，說明：10.216.96.3是網(wǎng)關(guān)地址，后面的00-00

2、-0-07-0a-01是網(wǎng)關(guān)的物理地址。此物理地址默認(rèn)情況下是不會(huì)發(fā)生改變的，假如發(fā)現(xiàn)物理地址不是此地址說明自己已經(jīng)受到了arp病毒的攻擊。查找過程：1、執(zhí)行arpa列出了：10.216.96.1800-0f-ea-11-00-5e10.216.96.300-0f-ea-11-00-5e網(wǎng)關(guān)由于之前我們已經(jīng)知道網(wǎng)關(guān)的正確物理地址是00-00-0-07-0a-01，此時(shí)卻變成了00-0f-ea-11-00-5e，說明10.216.96.18正在利用arp進(jìn)展欺騙，冒充網(wǎng)關(guān)。2、執(zhí)行arpd去除arp列表信息。重新運(yùn)行arpa看數(shù)據(jù)類表的可疑ip地址是否存在，不存在說明此ip地址正常；存在，說明該

3、機(jī)器肯定有arp病毒。3使用traert命令在任意一臺(tái)受影響的主機(jī)上，在ds命令窗口下運(yùn)行如下命令：traert61.135.179.148外網(wǎng)ip地址。假定設(shè)置的缺省網(wǎng)關(guān)為10.8.6.1，在跟蹤一個(gè)外網(wǎng)地址時(shí)，第一跳卻是10.8.6.186，那么，10.8.6.186就是病毒源。3.2arp攻擊原理分析arp，全稱addressreslutinprtl，中文名為地址解析協(xié)議，它工作在數(shù)據(jù)鏈路層，在本層和硬件接口聯(lián)絡(luò)，同時(shí)對(duì)上層提供效勞。arp病毒造成網(wǎng)絡(luò)癱瘓的原因可以分為對(duì)路由器arp表的欺騙，和對(duì)內(nèi)網(wǎng)p的網(wǎng)關(guān)欺騙兩種。第一種必須先截獲網(wǎng)關(guān)數(shù)據(jù)。它使路由器就收到一系列錯(cuò)誤的內(nèi)網(wǎng)a地址，并按

4、照一定的頻率不斷更新學(xué)習(xí)進(jìn)展，使真實(shí)的地址信息無法通過更新保存在路由器中，造成的p主機(jī)無法正常收到回應(yīng)信息。第二種是通過交換機(jī)的a地址學(xué)習(xí)機(jī)制，當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)已經(jīng)感染arp欺騙的木馬程序，就會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和路由器，讓所有上網(wǎng)的流量都必須經(jīng)過病毒主機(jī)。4、調(diào)查結(jié)論：通過以上查找分析，局域網(wǎng)內(nèi)有計(jì)算機(jī)感染arp病毒，中毒的機(jī)器的網(wǎng)卡不斷發(fā)送虛假的arp數(shù)據(jù)包，告訴網(wǎng)內(nèi)其他計(jì)算機(jī)網(wǎng)關(guān)的a地址是中毒機(jī)器的a地址，是其他計(jì)算機(jī)將本來發(fā)送網(wǎng)關(guān)的數(shù)據(jù)發(fā)送到中毒機(jī)器上，導(dǎo)致整個(gè)局域網(wǎng)都無法上網(wǎng)，嚴(yán)重乃至整個(gè)網(wǎng)絡(luò)的癱瘓。我們知道局域網(wǎng)中的數(shù)據(jù)流向是:網(wǎng)關(guān)本機(jī);假如網(wǎng)絡(luò)有arp欺騙之后,數(shù)據(jù)的流向是:

5、網(wǎng)關(guān)攻擊者本機(jī),因此攻擊者能隨意竊聽網(wǎng)絡(luò)數(shù)據(jù),截獲局域網(wǎng)中任一臺(tái)機(jī)器收發(fā)的郵件,eb閱讀信息等，還會(huì)竊取用戶密碼。如盜取qq密碼、盜取各種網(wǎng)絡(luò)游戲密碼和賬號(hào)去做金錢交易，盜竊網(wǎng)上銀行賬號(hào)來做非法交易活動(dòng)等，這是木馬的慣用手段，給用戶造成了很大的不便和宏大的經(jīng)濟(jì)損失。5、防范所采取措施5、1用戶端防范措施：安裝arp防火墻或者開啟局域網(wǎng)arp防護(hù)，比方360平安衛(wèi)士等arp病毒專殺工具，并且實(shí)時(shí)下載安裝系統(tǒng)破綻補(bǔ)丁，關(guān)閉不必要的效勞等來減少病毒的攻擊。假如在沒有防范軟件安裝的情況下，也可以通過編寫簡單的批處理程序來綁定網(wǎng)關(guān)來防止arp欺騙，步驟如下：1首先，獲得平安網(wǎng)關(guān)的內(nèi)網(wǎng)的a地址。以inds

6、xp為例。點(diǎn)擊“開場“運(yùn)行輸入d，點(diǎn)擊“確定后，將出現(xiàn)相關(guān)網(wǎng)絡(luò)狀態(tài)及連接信息，輸入arpa，可以查看網(wǎng)關(guān)的a地址2編寫批處理文件arp.bat內(nèi)容如下：ehffarpdarps10.216.96.3(平安網(wǎng)關(guān))00-09-a-82-0d網(wǎng)關(guān)的a地址注：arp-s是用來手動(dòng)綁定網(wǎng)絡(luò)地址(ip)對(duì)應(yīng)的物理地址(a)3編寫完以后，點(diǎn)擊“文件“另存為。注意，文件名一定要是*.bat，點(diǎn)擊保存就可以。4將這個(gè)批處理文件拖到“inds開場程序啟動(dòng)中，最后重起電腦即可。5.2網(wǎng)管員采取的防范措施(1)學(xué)會(huì)使用sniffer抓包軟件。arp病毒最典型的現(xiàn)象就是網(wǎng)絡(luò)時(shí)通時(shí)斷，用sniffer抓包分析，會(huì)發(fā)現(xiàn)有很多的arp包。(2)在全網(wǎng)部署安裝arp防火墻效勞端及客戶端軟件(3)使用多層交換機(jī)或路由器：接入層采用基于ip地址交換進(jìn)展路由的第三層交換機(jī)。由于第三層交換技術(shù)用的是ip路由交換協(xié)議，以往的鏈路層的a地址和arp協(xié)議失效，因此arp欺騙攻擊在這種交換環(huán)境下起不了作用。6、完畢語arp欺騙在相當(dāng)長的時(shí)間內(nèi)還會(huì)繼續(xù)存在，arp欺騙也在不斷的開展和變化中，希望廣闊網(wǎng)絡(luò)管理員親密注意它，從而減少對(duì)我們網(wǎng)絡(luò)的影響。參考文獻(xiàn)：1王奇.以太