; _: H. K" C8 a c [" e5 N! @) d b。IP/MAC扫描。这里会扫描目前网络中所有的机器的IP与MAC地址。请在内网运行正常时扫描,因为这个表格将作为对之后ARP的参照。 ; L5 F7 ~$ {6 G, c3 M5 M: j' F: \; T3 Q X B _8 W7 w
之后的功能都需要这个表格的支持,如果出现提示无法获取IP或MAC时,就说明这里的表格里面没有相应的数据。 " w* }9 {1 c, h8 g+ S9 Q, M4 n. R
2。ARP欺骗检测 9 L# ~* ~ K. k6 O9 E2 ^, `
2 n- C3 _* L5 N7 B3 D( T% ? 这个功能会一直检测内网是否有PC冒充表格内的IP.你可以把主要的IP设到检测表格里面,例如,路由器,电影服务器,等需要内网机器访问的机器IP. 4 Q6 G/ e- H; V5 p, Z6 g: r
. [2 B* w0 {* j4 S
(补充")ARP欺骗记录"表如何理解: 0 V* u, r9 N( W 9 }& z) Z5 c8 d! a; ^6 Z1 f" time":发现问题时的时间; + b2 N! Q; v& G' K: V$ r: n' `2 l 0 N. L5 c0 T& z3 p) r"sender":发送欺骗信息的IP或MAC; 1 }# [# S8 d7 Y4 s; m 4 b" y; [ w& t9 r9 }, B; [' x "Repeat":欺诈信息发送的次数; 8 e, B# v z: l- P W2 b$ D* t+ J
" M' I3 q! U1 `$ I. \+ U
" ARP info":是指发送欺骗信息的具体内容.如下面例子: ; \. o, q ?2 u9 J2 w9 A
0 n! I9 \0 ]: f: ]
time sender Repeat ARP info 6 l3 {2 ]! E- ^
~3 w! W/ g' ~6 N22:22:22 192.168.1.22 1433 192.168.1.1 is at 00:0e:03:22:02:e8 0 `& V+ T; I+ I0 d$ G6 p
- g8 N( c# U' _9 }& z' ^, k
这条信息的意思是:在22:22:22的时间,检测到由192.168.1.22发出的欺骗信息,已经发送了1433次,他发送的欺骗信息的内容是:192.168.1.1的MAC地址是00:0e:03:22:02:e8. + P/ k2 a) y# Y$ I- c7 y% b D: j$ k9 s7 X
打开检测功能,如果出现针对表内IP的欺骗,会出现提示。可以按照提示查到内网的ARP欺骗的根源。提示一句,任何机器都可以冒充其他机器发送IP与MAC,所以即使提示出某个IP或MAC在发送欺骗信息,也未必是100%的准确。所有请不要以暴力解决某些问题。 + E. C p/ d5 L9 {" q$ i
5 w- Z$ y; ?2 z9 g
3。主动维护(快速解决) % N8 u0 p q0 F) t3 y7 [6 _6 q3 O+ p3 h$ y$ Y! z z
这个功能可以直接解决ARP欺骗的掉线问题,但是并不是理想方法。他的原理就在网络内不停的广播制定的IP的正确的MAC地址。 , g) y4 @% C8 M' t: P6 c9 U8 X! G5 \9 t' ^+ r2 M0 O5 \& E
"制定维护对象"的表格里面就是设置需要保护的IP。发包频率就是每秒发送多少个正确的包给网络内所有机器。强烈建议尽量少的广播IP,尽量少的广播频率。一般设置1次就可以,如果没有绑定IP的情况下,出现ARP欺骗,可以设置到50-100次,如果还有掉线可以设置更高,即可以实现快速解决ARP欺骗的问题。但是想真正解决ARP问题,还是请参照上面绑定方法。 ; h6 t4 n+ v1 f' n" J; Z% G3 [1 ^# J; H, d O' m( g
4。欣向路由器日志 2 Q8 w4 |/ ?) S& d) o1 @
# v7 ], [. l r
收集欣向路由器的系统日志,等功能。 6 J/ d5 u R6 g5 w+ R7 P
9 H& B+ |( c- n1 T4 i
5。抓包 . A1 H- [ }" K5 I2 o
% r o; ]. w! v+ `0 c! a. k
网吧很少接触到包级别的设置或问题。欣向的这个功能很可能把大家带到一个新技术高度,但是对于包的分析比一般的问题要复杂很多了,但是却可以提高对网络的把控力。 4 M7 i) h3 V/ ~' y7 E/ f" p 3 l3 K- y/ d- z$ k8 G+ ]1 _大家通过抓到的包可以分析内网的各种问题。具体这里不解释啦,基本所有的TCP/IP问题都可以分析。 & }: M* H1 E q7 n+ j . P& r+ J: G6 Q: q& V& \ 抓包功能里面的空白条是控制抓包规则的,ethereal软件就是给大家分析包用的,大家把包文件直接拖到ethereal里面就可以打开。ethereal即可以抓包也可以看包,如果有机会可以研究一下。 $ @. H" K% a a: D
5 @. ?: h) q1 z4 J- p9 H, U
这几天看到很多朋友都在提出一些网络方案,询问是否可以彻底解决ARP问题.还有朋友请求帮忙.不在挨个说了,一起抓吧. ' L8 Q0 V/ v3 {# W3 D4 X6 L2 z% K( ` $ l! S* b% N$ y0 ?6 i9 s首先要在3个方面考虑,1.路由器.2.PC.3.中间的交换机. 6 L- j( M. }6 X# ~" b * D' ~7 s, }" X" {1.路由器要选择可以防范ARP对路由器欺骗的,应该如果选择看自己的情况.具体品牌就不推荐了,后面我会出一个真假ARP防范区别的方法.让大家可以放心的采购. 2 g4 s; z5 R7 `8 M7 i5 V, k1 R. C7 f% E, l" q4 Q' U0 b% k
2.PC都需要对路由器绑定,还有比较重要的服务器.(一般服务器绑定不是很重要) / \0 X; f, F# g3 j* H" ^
% F" L+ B' B2 ?7 m C以上3点全部做到ARP就无作恶之处啦..... 5 [( N3 s! T6 G- Z5 w4 T' E( l$ O7 E6 G p
真假ARP防范识别. 3 R) j6 E4 W0 E. V2 ?& ^( Q( o
/ ]& U) b: G3 e5 A8 |5 g( g2 Z
好多朋友都再说ARP的防范啊,什么100次200次的啊.看着那个烦啊. ( @9 ]( W# N$ V; R Q$ o, B
y7 M4 f* a6 y" h! M 给大家一个检测方法,简单有效. ( G" Z" K. w& @2 {9 e: o 8 Y* g- k. @; o3 W. u, c! n* A1.测试PC的欺骗防范. % z# q& B8 J/ e0 L : e/ u) Z; A/ F: w ,关闭路由器,把PC1设置为与路由器同IP,打开欣向ARP工具.记录PC1的IP MAC,然后把PC1设置为"主动维护"里面,............这样就把模拟的ARP攻击的环境假设好了.再把路由器打开,按照正常设置内网的PC上网.然后在"主动维护"里面开始主动维护,,这时路由器会一直广播错误的路由器MAC...先设置到100次,,只到500次看看是否可以防范....现在就看你的路由器的能力了. / m% @7 e" U @5 Z1 g
6 t0 d8 e/ _$ Q$ J
2.对路由的欺骗防范. 9 M' {. P/ M0 ?$ G
) R. @) e) M0 b3 s( ^
找3台电脑,先设置错误的IP.然后打开ARP工具记录,把3个IP添加到主动维护里面,之后在把3台电脑的IP改为正确.........然后在开始主动维护....看看是否3台电脑还是否可以上网....黑白立判.' X# s/ v# r5 U# ~5 \3 j, P0 a
ARP攻击的原理与解决方法(第三版)含如何在局域网内查找病毒主机 ' l3 y* Y% P2 w9 B2 e
, p' z" c. u( m* r5 P
【故障原因】 ) Q' e- I- d) D6 c( c" m
3 K6 q1 ~3 W, q8 `, k3 m4 m
局域网内有人使用ARP欺骗的木马程序(比如:魔兽世界,天堂,劲舞团等盗号的软件,某些外挂中也被恶意加载了此程序)。 . _, p. n# i7 u* S& n& j( i3 z" y6 J+ R5 g X
【故障原理】 . z( Y W. T7 L8 J( _5 |% [; n ?0 _5 l% U0 A
要了解故障原理,我们先来了解一下ARP协议。 / L% t6 z: H0 |# d1 l& c! j( ?; z
/ D2 N+ o/ X! F: E* `
在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。 ! j2 f- X2 D) V( e! L: Q u% F& s0 K5 @8 F' o
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。 ' A$ G6 F! s8 T5 S- `+ ?
) x- A- T7 H7 i1 n+ f: y
每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如下所示。 9 G0 h6 A( e, X% d- H2 u* Q' |! o- O; }5 ]' [- R. _5 K! s
主机 IP地址 MAC地址 * O B4 i* ~- _6 A; y6 T+ f$ c, K
A 192.168.16.1 aa-aa-aa-aa-aa-aa 3 a% \9 K" l1 X, A# s" ]B 192.168.16.2 bb-bb-bb-bb-bb-bb # r6 c; {2 {. q7 @/ JC 192.168.16.3 cc-cc-cc-cc-cc-cc # ]+ M; O; T" [4 B% _/ QD 192.168.16.4 dd-dd-dd-dd-dd-dd 1 l3 t/ {7 i% _1 f8 j% q. ~. a) W. A2 ^
4 b7 j/ Q6 w. f1 c我们以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.16.2的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。 7 ]# x- `) Y# ^) H, |
% J+ l! [1 t3 a8 g: e
从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗,A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候,把C的MAC地址骗为DD-DD-DD-DD-DD-DD,于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么,嗅探成功。 & C6 H. K, V3 c+ b
, L1 C! h9 O" x ^A对这个变化一点都没有意识到,但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。 $ h- k& |7 M ^8 ?" T" o W# S' _- b# \8 r
做“man in the middle”,进行ARP重定向。打开D的IP转发功能,A发送过来的数据包,转发给C,好比一个路由器一样。不过,假如D发送ICMP重定向的话就中断了整个计划。 # q7 x1 p+ J2 |1 ~' f7 T
+ z7 _# I5 a% L$ G7 ^9 F' j3 C" Y
D直接进行整个包的修改转发,捕获到A发送给C的数据包,全部进行修改后再转发给C,而C接收到的数据包完全认为是从A发送来的。不过,C发送的数据包又直接传递给A,倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了,对于A和C之间的通讯就可以了如指掌了。 ) s% H1 L: b1 i4 o( o% x k
* O C$ {; L1 L; E$ C/ Q【故障现象】 ( c1 u. P1 a2 i& @0 A
: `' H6 I+ X! _& U, i/ Z当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。 3 p9 j x- M/ j; f
% a4 _8 i, d0 G0 m9 p! Z切换到病毒主机上网后,如果用户已经登陆了服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录服务器,这样病毒主机就可以盗号了。 ; B9 T0 ~# Y, |2 x" w! L3 U7 H W2 {由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。 7 T8 u; C9 Z! n) [, r
# _$ s3 l* O/ y/ U' A c
【HiPER用户快速发现ARP欺骗木马】 9 d0 Z, \; @: E+ R' l/ t
% H2 s3 J$ o0 t- K
在路由器的“系统历史记录”中看到大量如下的信息(440以后的路由器软件版本中才有此提示): . r! q8 K u" R+ Q0 A 4 E ]. A+ Z" E5 w% Z0 PMAC Chged 10.128.103.124 . v: v& S6 `4 E( G, W. T
MAC Old 00:01:6c:36:d1:7f ' n& ]: U' A" l+ y4 O! v4 s [9 I1 n
MAC New 00:05:5d:60:c7:18 ( ^/ H# c) _2 _8 W , K. z6 d" A& H3 B这个消息代表了用户的MAC地址发生了变化,在ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址),同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。 / a- B+ |/ Z: B4 V
如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时,主机在路由器上恢复其真实的MAC地址)。 * t8 G6 }; d! v3 [' ]
- M2 B8 Q! |9 y6 L7 b1 z
【在局域网内查找病毒主机】 5 M/ E: O1 a: t1 T) U
v9 }% Q$ @5 @
在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址,那么我们就可以使用NBTSCAN工具来快速查找它。 : c8 Y( B8 @! V2 `9 V0 z 8 n% r" W" b1 m. ~NBTSCAN可以取到PC的真实IP地址和MAC地址,如果有”ARP攻击”在做怪,可以找到装有ARP攻击的PC的IP/和MAC地址。 7 v0 Q5 j0 B0 ^0 M/ d" }2 l& x$ p4 ]* T9 j$ Q( b0 s: N
命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段,即192.168.16.25-192.168.16.137。输出结果第一列是IP地址,最后一列是MAC地址。 7 O4 r0 B+ _; `/ } v' ^( @ U5 b$ C" S: @; zNBTSCAN的使用范例: * h8 N, Z! u' ?2 }( |, ~ : Q0 [- t; c9 c& |1 F8 g6 x假设查找一台MAC地址为“000d870d585f”的病毒主机。 " q, y; E% d F) H6 m8 y( e
3 H0 h5 i- t7 D, C `/ ]
1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。 , \3 s# x9 D4 o 4 c/ {4 g, g- p# F4 B2)在Windows开始—运行—打开,输入cmd(windows98输入“command”),在出现的DOS窗口中输入:C: btscan -r 192.168.16.1/24(这里需要根据用户实际网段输入),回车。 & i/ K" t4 F) o9 |+ C [) @
6 C( g- W( f% U+ q' G( k" f5 d
3)通过查询IP--MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。 2 Q3 {- S2 F: E+ a6 F/ p+ U6 l# E
; H; W, T' A9 {- w1 D' n【解决思路】 8 n, n' V5 i2 x" Z' u; e
. Z, m! X6 T' w l1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。 % u# p/ M. V) t+ G. b6 J2 z ~3 R2 h. H% ~$ Y' @! `2 z# k- a
2、设置静态的MAC-->IP对应表,不要让主机刷新你设定好的转换表。 " z) p7 K4 s2 F1 m# N9 w7 ?4 i& ~6 q1 Z% z
3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。 % \+ d8 l' v; r& m3 Q- |/ p1 ~2 z0 k
4 {' x4 Q8 s5 @5 J5 T6 z* y' y
4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。 % {- x. |- ]% A' r- q) H& U; q" Q" j' R5 ~* A; U& M: G/ k% g
5、使用"proxy"代理IP的传输。 . t5 {4 q+ T" u. i- |( e4 G - ]; [9 a2 o# I) v2 @/ Z6、使用硬件屏蔽主机。设置好你的路由,确保IP地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。 ! W! L! ?$ K$ Q4 F6 U6 B ] # i3 E* _5 I# c3 ?+ H( b; `7、管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。 - x8 L8 p$ J6 X" O% |0 L
