廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 5163 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[心得分享] 快速發現局域網內狂發ARP攻擊包的機器!
快速發現局域網內狂發ARP攻擊包的機器!
作者: sdlin118 發表日期: 2006-09-24 13:30 文章屬性: 原創 複製鏈結
http://big5.ccidnet.com:89/gate/big5/jiaohl.blog.c..._showone/tid_92616.html

我昨天發帖時就說,我現在在外地出差做網路安全的實施,住的這個賓館到處時感染ARP欺騙病毒的機器,他們狂發ARP攻擊包,導致正常用戶無法上網。

我上次說了,可以使用諸如AntiArpSniffer3.1單機版軟體,防禦ARP攻擊的。但我想問題總的解決呀,我們作為網管或喜歡資訊安全的網友們,遇到這樣的問題應當如何解決呢,下面我就談一下自己的一些想法:

1、對於類似賓館或小型網路環境,一般是只有一個VLAN的,在這樣的情況下,可以通過一台接入網路的主機,定期查看自己的ARP表,看看在定期刪除ARP緩存後,有哪些機器的IP/MAC對應表馬上又到你的機器上了。

舉例:C:\>arp -a

Interface: 192.168.1.236 --- 0x10004
Internet Address   Physical Address   Type
192.168.1.1       00-0a-eb-c1-d8-60   dynamic
192.168.1.22     00-e0-4c-c2-7e-50   dynamic
192.168.1.144   00-e0-4c-f0-e1-33   dynamic
192.168.1.233   00-e0-4c-a9-35-72   dynamic

這樣就可以直接發現感染主機了。

2、對於大型的網路環境,一般是有多個VLAN的,在這樣的情況下,可以通過專門的網管系統對交換機的ARP緩存的變化來查看整個網路ARP攻擊情況,也可以通過AntiArpSniffer1.2網路版軟體來查看攻擊者的IP和真實MAC了。

注:對於某些ARP攻擊是採取騙取網關的合法MAC或使用其他隨意偽造的MAC進行攻擊的手段,只能靠管理員手動的進行認真細緻的排除了。



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:台灣 和信超媒體寬帶網 | Posted:2006-11-12 16:38 |
becy125
個人頭像
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x98
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

請問UPSIDE... 那這樣就是指以下的機台電腦有做ARP攻擊嗎?

(這是我區網找到的)

C:\Documents and Settings\XXXXXX>arp -a

Interface: 10.10.XX.117 --- 0x2
Internet Address     Physical Address     Type
10.10.XX.44       00-11-2f-7a-99-e6   dynamic
10.10.XX.60       00-01-29-40-88-aa   dynamic
10.10.XX.117       00-50-da-b3-54-f2   static
10.10.XX.129       00-0c-6e-c8-38-17   dynamic
10.10.XX.254       00-0f-f8-10-b6-40   dynamic


[ 此文章被becy125在2006-11-14 19:55重新編輯 ]



獻花 x0 回到頂端 [1 樓] From:局域網對方和您在同一內部網 | Posted:2006-11-14 19:43 |
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

其實光看這樣 並不能百分之百判斷
依你的資料來看 有一個固定IP 及幾個 IP位置 有在使用
很可能是 你有開 BT或其他軟體所造成 若確定當時無在使用其他軟體
那就可能判斷成 被攻擊


爸爸 你一路好走
獻花 x0 回到頂端 [2 樓] From:台灣 | Posted:2006-11-14 21:52 |
omniplay
個人文章 個人相簿 個人日記 個人地圖
知名人士
級別: 知名人士 該用戶目前不上站
推文 x14 鮮花 x270
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

用Sniffer最準~
Arp指令只是定期看表格是否變異新增
必須配合route指令來查看是否被攻擊重導

不過下面這台~還滿可疑的!!!別人都是dynamic~為什它是 static?!!
10.10.XX.117     00-50-da-b3-54-f2   static



回覆與感謝是一種品德,論壇互動中良性的交流。
☆★要評0,乾脆就別評算了★蜀山無大將,猴子稱大王★☆
☆★好文章值得千錘百鍊★好文絕對頂,爛文絕對批★爛文千百出,徒惹施笑話★☆
☆★鑽古泥思,不如多體驗人生☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★
☆★資訊爆炸時代,資訊通透,真偽訣齊流,會運用/懂丟棄/辯證要比引籍淹思更重要★☆
獻花 x0 回到頂端 [3 樓] From:台灣中華電信 | Posted:2006-11-14 23:36 |
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

下面是引用omniplay於2006-11-14 23:36發表的 :
用Sniffer最準~
Arp指令只是定期看表格是否變異新增
必須配合route指令來查看是否被攻擊重導

不過下面這台~還滿可疑的!!!別人都是dynamic~為什它是 static?!!
.......
static 意思是 固定IP
不過正常來說不應該出現這麼多IP 位置
就如上面我所說的 除非同時有 其他軟體或惡意程序使用到這些IP位置
還是要先檢查一下


爸爸 你一路好走
獻花 x0 回到頂端 [4 樓] From:台灣 和信超媒體寬帶網 | Posted:2006-11-15 00:03 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.056677 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言