目前知道的帶有ARP欺騙功能的軟件有“QQ第六感”、“網絡執法官”、“P2P終結者”、“網吧傳奇殺手”等,這些軟件中,有些是人為手工操作來破壞網絡的,有些是做為病毒或者木馬出現,使用者可能根本不知道它的存在,所以更加擴大了ARP攻擊的殺傷力。
從影響網絡連接通暢的方式來看,ARP欺騙有兩種攻擊可能,壹種是對路由器ARP表的欺騙;另壹種是對內網電腦ARP表的欺騙,當然也可能兩種攻擊同時進行。不管理怎麽樣,欺騙發送後,電腦和路由器之間發送的數據可能就被送到錯誤的MAC地址上,從表面上來看,就是“上不了網”,“訪問不了路由器”,“路由器死機了”,因為壹重啟路由器,ARP表會重建,如果ARP攻擊不是壹直存在,就會表現為網絡正常,所以網吧業主會更加確定是路由器“死機”了,而不會想到其他原因。為此,寬帶路由器背了不少“黑鍋”,但實際上應該ARP協議本身的問題。
如果出現這種問題,壹般有如下幾個特點:
1、局域網內部所有的(或者大多數)PC都ping不通網關地址,無法上網;但是網卡、交換機的連接指示燈都是正常的。
2、由於Windows系統默認的ARP timeout時間較長,即便是立刻找出了是哪個PC搞的鬼,只關閉該PC也無法立刻解決問題,還需要在客戶PC上清空ARP表[在CMD模式下執行arp /d]重新學習或者幹脆重啟PC才行。
3、雖然這些ARP欺騙是仿冒了路由器網口的MAC的地址,但實際上它們並不需要真的把自己網卡的ip/ mac設置的和路由器壹樣,所以路由器上通常不會有地址沖突的告警提示。
要確認該問題方法也很簡單,在確保局域網交換機正常工作和網線正常連接的情況下,隨便找個不能上網的PC,打開CMD命令行界面,執行arp /a,察看網關ip地址對應的mac是否是路由器的網口的mac地址,如果不是,那麽基本可以確定是ARP欺騙了。例如:
這是PC端的ARP表項:
C:\ arp /a
Interface: 192.168.19.180 --- 0x2
Internet Address Physical Address Type
192.168.0.3 00-90-27-a7-ad-00 dynamic
192.168.0.1 00-e0-0f-58-cc-1c (路由器以太網口的MAC地址信息) dynamic
192.168.0.10 00-0a-5e-04-72-50 dynamic
再查看路由器以太網口的MAC地址信息:00-e0-0f-58-cc-1c 192.168.0.1,如果上面所查看到的不是Router的MAC,說明有人在故意擾亂。
如果是ARP問題,通常會導致全網不通的掉線,影響很大,也很容易發現和定位。應急處理的方法和不難,前面已經說過。對於預防的方法,可以在每個PC上使用CMD命令:arp -s 192.168.1.6 00-e0-0f-62-c6-09來綁定靜態的ARP表項,但是每個PC都要配置,實施、維護起來比較麻煩。每次開機都會重新綁定靜態的ARP表項,所以很麻煩,可以新建壹個批處理文件如static_arp.bat,註意後綴名為bat。編輯它,以後可以通過雙擊它來執行這條命令,還可以把它放置到系統的啟動目錄下來實現啟動時自己執行。打開電腦“開始”->“程序”,雙擊“啟動”打開啟動的文件夾目錄,把剛才建立的static_arp.bat復制到裏面去,以後電腦每次啟動時就會自己執行arp –s命令了。
在路由器上面也有ARP靜態綁定的命令,但是ARP欺騙的是仿冒網關的身份去欺騙局域網的PC,所以在路由器上綁定各個PC的mac地址意義不大。不過這種方式倒是可以防止局域網PC亂改ip地址。
arp病毒原理及解決辦法
arp病毒原理及解決辦法
arp病毒入侵網絡,使大多網吧及家庭都陷入苦難!!中招現象:掉線~~~~~~`
在這裏我在網上到的相關資料,網絡高手的研究壹下~~
解決arp攻擊的方法
故障原因
局域網內有人使用arp欺騙的木馬程序(比如:傳奇盜號的軟件,某些傳奇外掛中也被惡意加載了此程序)。
故障原理
要了解故障原理,我們先來了解壹下arp協議。
在局域網中,通過arp協議來完成ip地址轉換為第二層物理地址(即mac地址)的。arp協議對網絡安全具有重要的意義。通過偽造ip地址和mac地址實現arp欺騙,能夠在網絡中產生大量的arp通信量使網絡阻塞。
arp協議是“address resolution protocol”(地址解析協議)的縮寫。在局域網中,網絡中實際傳輸的是“幀”,幀裏面是有目標主機的mac地址的。在以太網中,壹個主機要和另壹個主機進行直接通信,必須要知道目標主機的mac地址。但這個目標mac地址是如何獲得的呢?它就是通過地址解析協議獲得的。所謂“地址解析”就是主機在發送幀前將目標ip地址轉換成目標mac地址的過程。arp協議的基本功能就是通過目標設備的ip地址,查詢目標設備的mac地址,以保證通信的順利進行。
每臺安裝有tcp/ip協議的電腦裏都有壹個arp緩存表,表裏的ip地址與mac地址是壹壹對應的,如下表所示。
主機 ip地址 mac地址
a 192.168.16.1 aa-aa-aa-aa-aa-aa
b 192.168.16.2 bb-bb-bb-bb-bb-bb
c 192.168.16.3 cc-cc-cc-cc-cc-cc
d 192.168.16.4 dd-dd-dd-dd-dd-dd
我們以主機a(192.168.16.1)向主機b(192.168.16.2)發送數據為例。當發送數據時,主機a會在自己的arp緩存表中尋找是否有目標ip地址。如果找到了,也就知道了目標mac地址,直接把目標mac地址寫入幀裏面發送就可以了;如果在arp緩存表中沒有找到相對應的ip地址,主機a就會在網絡上發送壹個廣播,目標mac地址是“ff.ff.ff.ff.ff.ff”,這表示向同壹網段內的所有主機發出這樣的詢問:“192.168.16.2的mac地址是什麽?”網絡上其他主機並不響應arp詢問,只有主機b接收到這個幀時,才向主機a做出這樣的回應:“192.168.16.2的mac地址是bb-bb-bb-bb-bb-bb”。這樣,主機a就知道了主機b的mac地址,它就可以向主機b發送信息了。同時它還更新了自己的arp緩存表,下次再向主機b發送信息時,直接從arp緩存表裏查找就可以了。arp緩存表采用了老化機制,在壹段時間內如果表中
ARP病毒入侵網絡 近些天,ARP病毒入侵網絡,使大多網吧及家庭出現現象:掉線~~~~~~` 在這裏我在網上到的相關資料,網絡高手的研究壹下~~ 解決ARP攻擊的方法 故障原因 局域網內有人使用ARP欺騙的木馬程序(比如:傳奇盜號的軟件,某些傳奇外掛中也被惡意加載了此程序)。 故障原理 要了解故障原理,我們先來了解壹下ARP協議。 在局域網中,通過ARP協議來完成IP地址轉換為第二層物理地址(即MAC地址)的。ARP協議對網絡安全具有重要的意義。通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量使網絡阻塞。 ARP協議是“Address Resolution Protocol”(地址解析協議)的縮寫。在局域網中,網絡中實際傳輸的是“幀”,幀裏面是有目標主機的MAC地址的。在以太網中,壹個主機要和另壹個主機進行直接通信,必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢?它就是通過地址解析協議獲得的。所謂“地址解析”就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。ARP協議的基本功能就是通過目標設備的IP地址,查詢目標設備的MAC地址,以保證通信的順利進行。 每臺安裝有TCP/IP協議的電腦裏都有壹個ARP緩存表,表裏的IP地址與MAC地址是壹壹對應的,如下表所示。 主機 IP地址 MAC地址 A 192.168.16.1 aa-aa-aa-aa-aa-aa B 192.168.16.2 bb-bb-bb-bb-bb-bb C 192.168.16.3 cc-cc-cc-cc-cc-cc D 192.168.16.4 dd-dd-dd-dd-dd-dd 我們以主機A(192.168.16.1)向主機B(192.168.16.2)發送數據為例。當發送數據時,主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了,也就知道了目標MAC地址,直接把目標MAC地址寫入幀裏面發送就可以了;如果在ARP緩存表中沒有找到相對應的IP地址,主機A就會在網絡上發送壹個廣播,目標MAC地址是“FF.FF.FF.FF.FF.FF”,這表示向同壹網段內的所有主機發出這樣的詢問:“192.168.16.2的MAC地址是什麽?”網絡上其他主機並不響應ARP詢問,只有主機B接收到這個幀時,才向主機A做出這樣的回應:“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。這樣,主機A就知道了主機B的MAC地址,它就可以向主機B發送信息了。同時它還更新了自己的ARP緩存表,下次再向主機B發送信息時,直接從ARP緩存表裏查找就可以了。ARP緩存表采用了老化機制,在壹段時間內如果表中的某壹行沒有使用,就會被刪除,這樣可以大大減少ARP緩存表的長度,加快查詢速度。 從上面可以看出,ARP協議的基礎就是信任局域網內所有的人,那麽就很容易實現在以太網上的ARP欺騙。對目標A進行欺騙,A去Ping主機C卻發送到了DD-DD-DD-DD-DD-DD這個地址上。如果進行欺騙的時候,把C的MAC地址騙為DD-DD-DD-DD-DD-DD,於是A發送到C上的數據包都變成發送給D的了。這不正好是D能夠接收到A發送的數據包了麽,嗅探成功。 A對這個變化壹點都沒有意識到,但是接下來的事情就讓A產生了懷疑。因為A和C連接不上了。D對接收到A發送給C的數據包可沒有轉交給C。 做“man in the middle”,進行ARP重定向。打開D的IP轉發功能,A發送過來的數據包,轉發給C,好比壹個路由器壹樣。不過,假如D發送ICMP重定向的話就中斷了整個計劃。 D直接進行整個包的修改轉發,捕獲到A發送給C的數據包,全部進行修改後再轉發給C,而C接收到的數據包完全認為是從A發送來的。不過,C發送的數據包又直接傳遞給A,倘若再次進行對C的ARP欺騙。現在D就完全成為A與C的中間橋梁了,對於A和C之間的通訊就可以了如指掌了。 故障現象 當局域網內某臺主機運行ARP欺騙的木馬程序時,會欺騙局域網內所有主機和路由器,讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過路由器上網現在轉由通過病毒主機上網,切換的時候用戶會斷壹次線。 切換到病毒主機上網後,如果用戶已經登陸了傳奇服務器,那麽病毒主機就會經常偽造斷線的假像,那麽用戶就得重新登錄傳奇服務器,這樣病毒主機就可以盜號了。 由於ARP欺騙的木馬程序發作的時候會發出大量的數據包導致局域網通訊擁塞以及其自身處理能力的限制,用戶會感覺上網速度越來越慢。當ARP欺騙的木馬程序停止運行時,用戶會恢復從路由器上網,切換過程中用戶會再斷壹次線。 HiPER用戶快速發現ARP欺騙木馬 在路由器的“系統歷史記錄”中看到大量如下的信息(440以後的路由器軟件版本中才有此提示): MAC Chged 10.128.103.124 MAC Old 00:01:6c:36:d1:7f MAC New 00:05:5d:60:c7:18 這個消息代表了用戶的MAC地址發生了變化,在ARP欺騙木馬開始運行的時候,局域網所有主機的MAC地址更新為病毒主機的MAC地址(即所有信息的MAC New地址都壹致為病毒主機的MAC地址),同時在路由器的“用戶統計”中看到所有用戶的MAC地址信息都壹樣。 如果是在路由器的“系統歷史記錄”中看到大量MAC Old地址都壹致,則說明局域網內曾經出現過ARP欺騙(ARP欺騙的木馬程序停止運行時,主機在路由器上恢復其真實的MAC地址)。 在局域網內查找病毒主機 在上面我們已經知道了使用ARP欺騙木馬的主機的MAC地址,那麽我們就可以使用NBTSCAN(下載地址:)工具來快速查找它。 NBTSCAN可以取到PC的真實IP地址和MAC地址,如果有”傳奇木馬”在做怪,可以找到裝有木馬的PC的IP/和MAC地址。 命令:“nbtscan -r 192.168.16.0/24”(搜索整個192.168.16.0/24網段, 即 192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 網段,即192.168.16.25-192.168.16.137。輸出結果第壹列是IP地址,最後壹列是MAC地址。 NBTSCAN的使用範例: 假設查找壹臺MAC地址為“000d870d585f”的病毒主機。 1)將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:下。 2)在Windows開始—運行—打開,輸入cmd(windows98輸入“command”),在出現的DOS窗口中輸入:C: btscan -r 192.168.16.1/24(這裏需要根據用戶實際網段輸入),回車。 C:Documents and SettingsALAN C: btscan -r 192.168.16.1/24 Warning: -r option not supported under Windows. Running without it. Doing NBT name scan for addresses from 192.168.16.1/24 IP address NetBIOS Name Server User MAC address ------------------------------------------------------------------------------ 192.168.16.0 Sendto failed: Cannot assign requested address 192.168.16.50 SERVER 00-e0-4c-4d-96-c6 192.168.16.111 LLF ADMINISTRATOR 00-22-55-66-77-88 192.168.16.121 UTT-HIPER 00-0d-87-26-7d-78 192.168.16.175 JC 00-07-95-e0-7c-d7 192.168.16.223 test123 test123 00-0d-87-0d-58-5f 3)通過查詢IP--MAC對應表,查出“000d870d585f”的病毒主機的IP地址為“192.168.16.223”。 解決思路 1、不要把妳的網絡安全信任關系建立在IP基礎上或MAC基礎上,(rarp同樣存在欺騙的問題),理想的關系應該建立在IP+MAC基礎上。 2、設置靜態的MAC-- IP對應表,不要讓主機刷新妳設定好的轉換表。 3、除非很有必要,否則停止使用ARP,將ARP做為永久條目保存在對應表中。 4、使用ARP服務器。通過該服務器查找自己的ARP轉換表來響應其他機器的ARP廣播。確保這臺ARP服務器不被黑。 5、使用""proxy""代理IP的傳輸。 6、使用硬件屏蔽主機。設置好妳的路由,確保IP地址能到達合法的路徑。(靜態配置路由ARP條目),註意,使用交換集線器和網橋無法阻止ARP欺騙。 7、管理員定期用響應的IP包中獲得壹個rarp請求,然後檢查ARP響應的真實性。 8、管理員定期輪詢,檢查主機上的ARP緩存。 9、使用防火墻連續監控網絡。註意有使用SNMP的情況下,ARP的欺騙有可能導致陷阱包丟失。 HiPER用戶的解決方案 建議用戶采用雙向綁定的方法解決並且防止ARP欺騙。 1、在PC上綁定路由器的IP和MAC地址: 1)首先,獲得路由器的內網的MAC地址(例如HiPER網關地址192.168.16.254的MAC地址為0022aa0022aa局域網端口MAC地址 )。 2)編寫壹個批處理文件rarp.bat內容如下: @echo off arp -d arp -s 192.168.16.254 00-22-aa-00-22-aa 將文件中的網關IP地址和MAC地址更改為您自己的網關IP地址和MAC地址即可。 將這個批處理軟件拖到“windows--開始--程序--啟動”中