3.2我个人的解决方案及结果
目前对于ARP攻击防护问题出现最多是绑定IP和MAC和使用ARP防护软件,也出现了具有ARP防护功能的路由器。
最常用的方法就是做IP和MAC静态绑定,在网内把主机和网关都做IP和MAC绑定。
欺骗是通过ARP的动态实时的规则欺骗内网机器,所以我们把ARP全部设置为静态可以解决对内网PC的欺骗,同时在网关也要进行IP和MAC的静态绑定,这样双向绑定才比较保险。
方法:
对每台主机进行IP和MAC地址静态绑定。
通过命令,arp -s可以实现 “arp –s IP MAC地址 ”。
例如:“arp –s 192.168.10.1 AA-AA-AA-AA-AA-AA”。
如果设置成功会在PC上面通过执行 arp -a 可以看到相关的提示:
Internet Address Physical Address Type
192.168.1.1 AA-AA-AA-AA-AA-AA static(静态)
一般不绑定,在动态的情况下:
Internet Address Physical Address Type
192.168.1.1 AA-AA-AA-AA-AA-AA dynamic(动态)
说明:对于网络中有很多主机,如果我们这样每一台都去做静态绑定,工作量是非常大的。这种静态绑定,在电脑每次重起后,都必须重新在绑定,虽然也可以做一个批处理文件,放在启动文件夹下,随系统启动运行。
打开记事本,将下面代码写入记事本,保存时起名为 ***.bat。
@echo off
arp -d
arp -s IP地址 MAC地址
这种方法经我的实验,结果并不令人满意,仍然经常断网。
目前关于ARP类的防护软件出的比较多了,我向大家推荐Antiarp(原anti arp sniffer)。除了本身来检测出ARP攻击外,防护的工作原理是一定频率向网络广播正确的ARP信息。
这个软件最新版本为ARP防火墙单机版4.0 Beta4,及ARP防火墙网络版V
安装运行后,点击面板上的软件设置按钮,出现图二界面,设置主动防御为警戒,网关IP/MAC可以自动获取或手动设置,我推荐手动设置。左侧一般选项按提示设置就可。点击开始保护就可高枕无忧。
注:我的电脑安装有虚拟机及蓝牙上网设备,在使用时软件开机自动运行后,反而无法获得DHCP指派的IP地址,只有自动私有地址。所以我用手动启动,也可用软件 startup Delayer 定制启动的顺序及延时。
图二
本方法经我的使用证实,完全解决了断网问题,是个很不错的个人防护方法。
注:对于ARP防火墙软件,请点此访问官方网站。
这类路由器以前听说的很少,对于这类路由器中提到的ARP防护功能,其实它的原理就是定期的发送自己正确的ARP信息。但是路由器的这种功能对于真正意义上的攻击,是不能解决的。
ARP的最常见的特征就是掉线,一般情况下不需要处理一定时间内可以回复正常上网,因为ARP欺骗是有老化时间的,过了老化时间就会自动的回复正常。现在大多数路由器都会在很短时间内不停广播自己的正确ARP信息,使受骗的主机回复正常。但是如果出现攻击性ARP欺骗(其实就是时间很短的量很大的欺骗ARP,1秒有个几百上千的),它是不断的发起ARP欺骗包来阻止内网机器上网,即使路由器不断广播正确的包也会被他大量的错误信息给淹没。
可能你会有疑问:我们也可以发送比欺骗者更多更快正确的ARP信息啊?如果攻击者每秒发送1000个ARP欺骗包,那我们就每秒发送1500个正确的ARP信息!
面对上面的疑问,我们仔细想想,如果网络拓扑很大,网络中接了很多网络设备和主机,大量的设备都去处理这些广播信息,那网络使用起来好不爽,再说了会影响到我们工作和学习。ARP广播会造成网络资源的浪费和占用。如果该网络出了问题,我们抓包分析,数据包中也会出现很多这类ARP广播包,对分析也会造成一定的影响。
4.治标还要治本,对于apr攻击的根本解决方案还是找到中毒主机或主动发送攻击的个人。
对于中毒电脑要进行彻底的杀毒,对于主动攻击的个人要严重警告,直至报警解决。下面谈谈如何确定攻击主机。我使用了nbtscan及WinArpAttacker3.50 来定位攻击主机。
4.1 NBTSCAN的使用范例:
假设查找一台MAC地址为“000d870d585f”的病毒主机。
1.将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:/下。
2.在Windows开始—运行—打开,输入cmd(windows98输入“command”),在出现的DOS窗口中输入:C:/nbtscan -r 192.168.1.1/24(这里需要根据用户实际网段输入),回车。
C:/Documents and Settings/ALAN>C:/nbtscan -r 192.168.1.1/24
Warning: -r option not supported under Windows. Running without it.
Doing NBT name scan for addresses from 192.168.1.1/24
IP address NetBIOS Name Server User MAC address
------------------------------------------------------------------------------
192.168.1.0 Sendto failed: Cannot assign requested address
192.168.1.50 SERVER <server> <unknown> 00-e0
192.168.1.111 LLF <server> ADMINISTRATOR 00-22-55-66-77-88
192.168.1.121 UTT-HIPER <server> <unknown> 00-0d-87-26-7d-78
192.168.1.175 JC <server> <unknown> 00-07-95-e0
192.168.1.193 test123 <server> test123 00-0d-87-0d-58
3.通过查询IP--MAC对应表,查出“000d870d
在我的附件压缩包中还有一个图形界面的该软件,但是有些主机没有能够发现,还是命令行的比较保险。
4.2 WinArpAttacker3.50(卡巴等杀毒软件会报告该软件为恶意程序或病毒)
这个软件为英文软件,其实可以作为arp攻击软件,但用来查找局域网中的主机也很不错。
打开软件后,如有多个网络连接要在opinion中设置使用哪个网络连接。点击scan即可快速扫描局域网中的主机,并显示其IP、mac和arp的接收发送情况。对于该软件的其他功能有兴趣的可以自行研究。
有一点我要说说,在arp攻击的防护中,我也采用了用该软件攻击攻击者主机的方法,但是效果不理想,当你攻击时可以连上网,但是你又不能总是攻击而不做其他事情,所以只被我用来查找主机。
我也是在网络上边学习边研究的,参考了不少资料,所以上面会可能会有说的不正确和不够的地方,希望大家能够指正。
附件内软件均为网络资源查找,对原作者表示感谢。
TAG:
评分(
