|
1.定位arp攻擊源頭
主動定位方式:因為所有的ARP攻擊源都會有其特征——網卡會處于混雜模式����,可以通過arpKiller這樣的工具掃描網內有哪臺機器的網卡是處于混雜模式的��,從而判斷這臺機器有可能就是“元兇”�����。定位好機器后�,再做病毒信息收集�����,提交給趨勢科技做分析處理���。
標注:網卡可以置于一種模式叫混雜模式(promiscuous)����,在這種模式下工作的網卡能夠收到一切通過它的數據��,而不管實際上數據的目的地址是不是它�。這實際就是Sniffer工作的基本原理:讓網卡接收一切它所能接收的數據�。
被動定位方式:在局域網發生ARP攻擊時�,查看交換機的動態arp表中的內容����,確定攻擊源的MAC地址����;也可以在局域居于網中部署Sniffer工具����,定位arp攻擊源的MAC�。
也可以直接Ping網關IP�,完成Ping后����,用ARP –a查看網關IP對應的MAC地址�,此MAC地址應該為欺騙的,使用NBTSCAN可以取到PC的真實IP地址���、機器名和MAC地址���,如果有”ARP攻 擊”在做怪�����,可以找到裝有arp攻擊的PC的IP����、機器名和MAC地址�����。
命令:“nbtscan -r 192.168.16.0/24”(搜索整個192.168.16.0/24網段, 即192.168.16.1-192.168.16.254)���;或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 網段��,即192.168.16.25-192.168.16.137��。輸出結果第一列是IP地址����,最后一列是MAC地址�����!BTSCAN的使用范例:
假設查找一臺MAC地址為“000d870d585f”的病毒主機���。
1)將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:下���。
2)在Windows開始—運行—打開���,輸入cmd(windows98輸入“command”)�����,在出現的dos窗口中輸入:C: btscan -r 192.168.16.1/24(這里需要根據用戶實際網段輸入)���,回車�。
3)通過查詢IP–MAC對應表����,查出“000d870d585f”的病毒主機的IP地址為“192.168.16.223”����。
通過上述方法����,我們就能夠快速的找到病毒源���,確認其MAC——〉機器名和IP地址�����。
2.防御方法
a.使用可防御ARP攻擊的三層交換機�����,綁定端口-MAC-IP���,限制ARP流量���,及時發現并自動阻斷arp攻擊端口�����,合理劃分VLAN�����,徹底阻止盜用IP�����、MAC地址�,杜絕arp的攻擊�。
b.對于經常爆發病毒的網絡�,進行Internet訪問控制�,限制用戶對網絡的訪問�����。此類arp攻擊程序一般都是從Internet下載到用戶終端�,如果能夠加強用戶上網的訪問控制�,就能極大的減少該問題的發生���。
c.在發生ARP攻擊時��,及時找到病毒攻擊源頭����,并收集病毒信息��,可以使用趨勢科技的SIC2.0��,同時收集可疑的病毒樣本文件����,一起提交到趨勢科技的TrendLabs進行分析����,TrendLabs將以最快的速度提供病毒碼文件���,從而可以進行arp病毒的防御
本文出自:億恩科技【www.endtimedelusion.com】
服務器租用/服務器托管中國五強����!虛擬主機域名注冊頂級提供商���!15年品質保障�����!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
