作者:hacker发布时间:2023-03-30分类:破解邮箱浏览:173评论:1
关于网吧ARP攻击,MAC地址欺骗的解决方法
最近很多网吧反映频繁断线并且网速较慢,已经确认:这是由于一种名为“网吧传奇杀手Trojan.PSW.LMir.qh ” 的病毒爆发引起的,现我们发布查找病毒以及基本解决办法:
1、此类病毒采用arp攻击,克隆MAC地址条目进行欺骗。当发现网络非正常时,网管可任找一台机器,
开启DOS窗口并输入“arp -a” 命令, 会发现很多不同IP地址有着相同的MAC地址表:
Interface: 192.168.0.1 on Interface 0x1000004
Internet Address Physical Address Type
192.168.0.1 00-e0-1c-8c-9a-0e dynamic
192.168.0.101 00-e0-4c-8c-9a-47 dynamic
192.168.0.102 00-e0-4c-8c-9a-47 dynamic
192.168.0.104 00-e0-4c-8c-81-cc dynamic
192.168.0.105 00-e0-4c-8c-9a-47 dynamic
192.168.0.106 00-e0-4c-8c-9a-47 dynamic
192.168.0.107 00-e0-4c-8c-9a-47 dynamic
192.168.0.108 00-e0-4c-8c-9a-47 dynamic
192.168.0.112 00-e0-4c-8c-9a-47 dynamic
192.168.0.114 00-e0-4c-8c-81-cc dynamic
192.168.0.115 00-e0-4c-8c-9a-47 dynamic
192.168.0.116 00-e0-4c-8c-9a-47 dynamic
192.168.0.117 00-e0-4c-8c-9a-47 dynamic
我们可以断定MAC地址为00-e0-4c-8c-9a-47的机器感染了病毒。然后需要网管在每台工作站DOS窗口中输
入“ipconfig /all” 命令,察看每台机器的MAC地址:Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : RTL8139
Physical Address. . . . . . . . . : 0-e0-4c-8c-9a-47
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.133
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.0.1
DNS Servers . . . . . . . . . . . : 61.177.7.1
通过以上步骤定位到染毒的机器,予以隔离处理。
2、基本解决办法,在任意一工作站通过在DOS窗口下运行TRACERT (格式:tracert [域名或者IP地址])命令,获取本地网关地址,然后运行ARP -A找到对应网关IP的MAC地址,在C盘根目录下编写一批处理文件arp.bat,加入启动项每次启动运行,其原理是为在每台工作站增加、绑定属于网关的静态arp地址条目,不接受欺骗程序的arp条目更新请求:
cd c:\[windows的安装路径]\system32
arp –d
arp -s 192.168.168.1 00-e0-1c-8c-9a-0e
goto end
注意:各网吧将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可,重新启动计算机。
3、近期接到网吧反映,网络游戏正常,网站打开缓慢,甚至打不开的现象,经实地监测,发现是DNS解析的问题,请把DNS解析地址设为(每台工作站都要更改): 61.177.7.1 221.228.255.1,然后在DOS窗口下运行nslookup查看一下是否可以到达:
Default server: c.center-dns.jsinfo.net
Address:61.177.7.1
单单的一个防火墙是不行的,现在你们的电脑都是在局域网里共享的,并且共享一个出口带宽。而arp属于以太网中正常的协议行为。arp欺骗属于以太网自身的协议漏洞。比如你提到的arp欺骗。但是你共享的网络里还是一大堆arp垃圾广播包。有条件的话你可以用抓包软件分析看看比如国产的科来分析软件。内网充斥这大量广播包还有其他类型的协议攻击,你电脑表现出的还是网速慢。现在技术中解决arp的方式提出了很多,但都不能彻底解决问题。只有免疫墙技术可以彻底解决内网arp、syn、ddos等内网的协议攻击包括基于流向的限速。所以建议你们网络升级为免疫网络,大家共享的网络谁也别想攻击,网络环境干净了。自然不会影响使用。
你是指你的电脑???不是网关???
一般ARP攻击的对治方法
现在最常用的基本对治方法是“ARP双向绑定”。
由于ARP攻击往往不是病毒造成的,而是合法运行的程序(外挂、网页)造成的,所杀毒软件多数时候束手无策。
所谓“双向绑定”,就是再路由器上绑定ARP表的同时,在每台电脑上也绑定一些常用的ARP表项。
“ARP双向绑定”能够防御轻微的、手段不高明的ARP攻击。ARP攻击程序如果没有试图去更改绑定的ARP表项,那么ARP攻击就不会成功;如果攻击手段不剧烈,也欺骗不了路由器,这样我们就能够防住50%ARP攻击。
但是现在ARP攻击的程序往往都是合法运行的,所以能够合法的更改电脑的ARP表项。在现在ARP双向绑定流行起来之后,攻击程序的作者也提高了攻击手段,攻击的方法更综合,另外攻击非常频密,仅仅进行双向绑定已经不能够应付凶狠的ARP攻击了,仍然很容易出现掉线。
于是我们在路由器中加入了“ARP攻击主动防御”的功能。这个功能是在路由器ARP绑定的基础上实现的,原理是:当网内受到错误的ARP广播包攻击时,路由器立即广播正确的ARP包去修正和消除攻击包的影响。这样我们就解决了掉线的问题,但是在最凶悍的ARP攻击发生时,仍然发生了问题----当ARP攻击很频密的时候,就需要路由器发送更频密的正确包去消除影响。虽然不掉线了,但是却出现了上网“卡”的问题。
所以,我们认为,依靠路由器实现“ARP攻击主动防御”,也只能够解决80%的问题。
为了彻底消除ARP攻击,我们在此基础上有增加了“ARP攻击源攻击跟踪”的功能。对于剩下的强悍的ARP攻击,我采用“日志”功能,提供信息方便用户跟踪攻击源,这样用户通过临时切断攻击电脑或者封杀发出攻击的程序,能够解决问题。
彻底解决ARP攻击
事实上,由于路由器是整个局域网的出口,而ARP攻击是以整个局域网为目标,当ARP攻击包已经达到路由器的时候,影响已经照成。所以由路由器来承担防御ARP攻击的任务只是权宜之计,并不能很好的解决问题。
我们要真正消除ARP攻击的隐患,安枕无忧,必须转而对“局域网核心”――交换机下手。由于任何ARP包,都必须经由交换机转发,才能达到被攻击目标,只要交换机据收非法的ARP包,哪么ARP攻击就不能造成任何影响。
我们提出一个真正严密的防止ARP攻击的方案,就是在每台接入交换机上面实现ARP绑定,并且过滤掉所有非法的ARP包。这样可以让ARP攻击足不能出户,在局域网内完全消除了ARP攻击。
因为需要每台交换机都具有ARP绑定和相关的安全功能,这样的方案无疑价格是昂贵的,所以我们提供了一个折衷方案。
经济方案
我们只是中心采用能够大量绑定ARP和进行ARP攻击防御的交换机――Netcore 7324NSW,这款交换机能够做到ARP绑定条目可以达到1000条,因此基本上可以对整网的ARP进行绑定,同时能杜绝任何非法ARP包在主交换机进行传播。
这样如果在强力的ARP攻击下,我们观察到的现象是:ARP攻击只能影响到同一个分支交换机上的电脑,这样可能被攻击到的范围就大大缩小了。当攻击发生时,不可能造成整个网络的问题。
在此基础上,我们再补充“日志”功能和“ARP主动防御”功能,ARP攻击也可以被完美的解决。
ARP攻击最新动态
最近一段时间,各网吧发现的ARP攻击已经升级,又一波ARP攻击的高潮来临。
这次ARP攻击发现的特征有:
1、 速度快、效率高,大概在10-20秒的时间内,能够造成300台规模的电脑掉线。
2、 不易发现。在攻击完成后,立即停止攻击并更正ARP信息。如果网内没有日志功能,再去通过ARP命令观察,已经很难发现攻击痕迹。
3、 能够破解最新的XP和2000的ARP补丁,微软提供的补丁很明显在这次攻击很脆弱,没有作用。
4、 介质变化,这次攻击的来源来自私服程序本身(不是外挂)和P2P程序。
两种可能性,一种是内网存在ARP攻击(一些病毒,所谓的网管软件等),都会产生大量的ARP数据包。还有一种是广播风暴,是不合理的网段划分导致的。
你自己判断下吧。也可以用WFilter里面的“网络健康度检测插件”,检测下就可以知道原因。
标签:广播包攻击软件下载
已有1位网友发表了看法:
访客 评论于 2023-03-31 00:04:49 回复
DOS窗口下运行nslookup查看一下是否可以到达:Default server: c.center-dns.jsinfo.netAddress:61.177.7.1如何彻底防御电脑A