| ARP防火墙采用系统内核层拦截技术和主动防御技术,六大功能模块(拦截外部攻击/拦截IP冲突/拦截对外攻击/监测ARP缓存/主动防御/锁定攻击者)互相配合,可彻底解决ARP欺骗、ARP攻击带来的问题,从而保证通讯安全(保障通讯数据不被网管软件/恶意软件监听和控制)、保证网络畅通。 [详细...] |
建议用卡巴斯基的朋友再安个天网防火墙,
ARP的检测和处理如果你网吧有频繁掉线的情况,在确定不是由硬件:网卡,交换机,路由,代理,电信等引起,而是被有意无意的人为造成的,比如:传奇杀手(ARP),网络执法官,QQ第6感,网络剪刀手等造成的,那么你如何发现破坏者,如何去解决处理呢?
就以上问题,本人代表一大群苦力网管采访了网盟领袖人物:南-风 巴黎王子 あ天涯浪子あ 缪杰尔 等(部分高手不便透露姓名,以免有尚武之人上门挑战,而引起不必要的麻烦,如王XX)
综合以上诸位大管的意思,本人介绍一下情况,不到之处望大家体谅!
本文介绍如何使用ARP攻击来阻断同网段内任意一台机器上网的方法
ARP攻击原理
0.ARP
ARP(地址解析协议)是用来处理从IP地址到网卡硬件MAC地址转换的一个协议,本文主要以以太网为例
,说明ARP攻击的原理。
1.ARP原理
以太网上的机器通过IP协议通信时,IP包从上层一直下传到数据链路层,数据链路层就要构造以太帧了
,以太头中包括目的MAC地址,源MAC地址和协议,源地址是自己网卡的MAC地址,可以得到,协议对于
IP包来说是0x0800(网络序),而目的MAC地址呢?所知道的目前只是目的IP地址,ARP协议就是把IP地
址转换为IP地址的一个底层协议,一般人很少注意。
为得到一个IP地址对应的MAC地址,主机就会发出ARP请求,属于以太广播包,目的MAC是FF:FF:FF:FF
:FF:FF,协议0x0806,表示是ARP协议,在RFC826中定义,RFC中是这样定义的:
Ethernet transmission layer (not necessarily accessible to
the user):
48.bit: Ethernet address of destination
48.bit: Ethernet address of sender
16.bit: Protocol type = ether_type$ADDRESS_RESOLUTION
Ethernet packet data:
16.bit: (ar$hrd) Hardware address space (e.g., Ethernet,
Packet Radio Net.)
16.bit: (ar$pro) Protocol address space. For Ethernet
hardware, this is from the set of type
fields ether_typ$<protocol>.
8.bit: (ar$hln) byte length of each hardware address
8.bit: (ar$pln) byte length of each protocol address
16.bit: (ar$op) opcode (ares_op$REQUEST | ares_op$REPLY)
nbytes: (ar$sha) Hardware address of sender of this
packet, n from the ar$hln field.
mbytes: (ar$spa) Protocol address of sender of this
packet, m from the ar$pln field.
nbytes: (ar$tha) Hardware address of target of this
packet (if known).
mbytes: (ar$tpa) Protocol address of target.
hardware address space字段表示硬件地址的类型。它的值为1 即表示以太网地址。
protocol address space协议类型字段表示要映射的协议地址类型。它的值与包含I P 数据报的以太
网数据帧中的类型字段的值相同,这是有意设计的,为0x0800即表示IP 包。
接下来的两个1 字节的字段,硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度,以字
节为单位。对于以太网上IP地址的ARP请求或应答来说,它们的值分别为6 和4 。
操作字段指出四种操作类型,它们是ARP请求(值为1)、ARP应答(值为2)、RARP请求(值为3)和
RARP应答(值为4)。
接下来的四个字段是发送端的硬件地址(在本例中是以太网地址)、发送端的协议地址
(IP地址)、目的端的硬件地址和目的端的协议地址。注意,这里有一些重复信息:在以太网?的数据
帧报头中和ARP请求数据帧中都有发送端的硬件地址。
对于一个ARP请求来说,除目的端硬件地址外的所有其他的字段都有填充值。当系统收到一份目的端为
本机的ARP请求报文后,它就把硬件地址填进去,然后用两个目的端地址分别替换两个发送端地址,并
把操作字段置为2 ,最后把它发送回去。
2. ARP攻击
了解了ARP包信息后,可以构造这样的ARP应答包(类型2),目的MAC是FF:FF:FF:FF:FF:FF,用于通
告网段内所有机器,源MAC自己随便写一个,ARP头中的IP地址填要攻击的那台机器的IP地址,MAC地址
可以随便写一个,然后发送出去,这样网内所有机器都会把该乱填的MAC地址作为受害机的MAC地址,
发往该IP的包都使用该假MAC地址,这样受害机根本收不到响应数据而形成断网,而且也查不出伪造的
ARP包是从何而来,受害机上会显示IP地址冲突。
3. 结论
ARP攻击对于拒绝某个同网段内IP地址上网非常有效,基本没有防御办法,而且安全性很高,很难发现
以上是原理,可能大家看不懂,不要紧,看下边的:
【故障现象】当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和安全网关,让所有上网的流量必须经过病毒主机。其他用户原来直接通过安全网关上网现在转由通过病毒主机上网,切换的时候用户会断一次线。
切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从安全网关上网,切换过程中用户会再断一次线。
【快速查找】在WebUIa系统状态a系统信息a系统历史记录中,看到大量如下的信息:
MAC SPOOF 192.168.16.200
MAC Old 00:01:6c:36:d1:7f
MAC New 00:05:5d:60:c7:18
这个消息代表了用户的MAC地址发生了变化,在ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址)。
同时在安全网关的WebUIa高级配置a用户管理a读ARP表中看到所有用户的MAC地址信息都一样,或者在WebUIa系统状态a用户统计中看到所有用户的MAC地址信息都一样。
如果是在WebUIa系统状态a系统信息a系统历史记录中看到大量MAC Old地址都一致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时,主机在安全网关上恢复其真实的MAC地址)。
在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址,那么我们就可以使用NBTSCAN(下载地址:http://www.utt.com.cn/upload/nbtscan.rar)工具来快速查找它。
NBTSCAN可以取到PC的真实IP地址和MAC地址,如果有”传奇木马”在做怪,可以找到装有木马的PC的IP/和MAC地址。
命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段,即192.168.16.25-192.168.16.137。输出结果第一列是IP地址,最后一列是MAC地址。
NBTSCAN的使用范例:
假设查找一台MAC地址为“000d870d585f”的病毒主机。
1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:\下。
2)在Windows开始a运行a打开,输入cmd(windows98输入“command”),在出现的DOS窗口中输入:C:\nbtscan -r 192.168.16.1/24(这里需要根据用户实际网段输入),回车。
3)通过查询IP--MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。
【解决办法】
采用双向绑定的方法解决并且防止ARP欺骗。
1、在PC上绑定安全网关的IP和MAC地址:
1)首先,获得安全网关的内网的MAC地址(例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa<WebUIa基本配置a局域网端口MAC地址>)。
2)编写一个批处理文件rarp.bat内容如下:
@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa
将文件中的网关IP地址和MAC地址更改为实际使用的网关IP地址和MAC地址即可。
将这个批处理软件拖到“windowsa开始a程序a启动”中。
3)如果是网吧,可以利用收费软件服务端程序(pubwin或者万象都可以)发送批处理文件rarp.bat到所有客户机的启动目录。Windows2000的默认启动目录为“C:\Documents and Settings\All Users「开始」菜单程序启动”。
2、在安全网关上绑定用户主机的IP和MAC地址:
在WebUIa高级配置a用户管理中将局域网每台主机均作绑定。
如果按以上方法解决ARP的防了,那么怎么解决乱搞的人呢?按下边的方法:
下载后首先把压缩包里的AntiArp2.zip解开 然后根据您的系统把ColorFor2000XPV2.0.zip或者ColorFor2003V2.0.zip解开把里边的Color.exe复制到刚才解开的ANTIARP2里
然后运行Color.exe后右下角会出现一个绿色的图标 双击出现下图
这里我们选择MAC扫描
输入自己内网的网端后扫描出内网所有机器的MAC地址后选择右边的保存日志 这里的目的就是为了查明每个IP地址所对应的MAC地址 也就是说每台机器的MAC地址
然后关闭color.exe 运行Antiarp.exe出现下图 在网关地址输入你自己的网关后选择获取网关MAC地址
然后选择自动防护 如果有人用ARP攻击你 本软件就会 自动把网关修复 保持你的网络状态
并且会告诉你攻击你的人的MAC地址 这时候我们就可以用刚才保存的日志查询攻击你的人的IP 然后你就可以在网吧内找到他 后来的事嘛 呵呵 我是把那人一顿揍不知道你会怎么处理 好了 就到这里了 希望有更多的人支持我 软件下载地址在下边
网吧掉线对网吧来说是致命的事情,掉线会使你的顾客怨声载道,如发生频繁持续性的掉线,会导致顾客走人,对网吧产生极大的负面影响。掉线后解决办法是,重起交换机和路游器及可恢复正常的网络,排除了网通,交换机,路游器故障问题。但此方法只能临时解决问题,不能根本上解决。 于是分析内部网络,首先怀疑ARP的问题。
在命令行输入 arp -a 后你会得到一个列表,显示你所有的内网IP+MAC地址,一般鉴定是否是ARP攻击的方法就是查看列表中是否存在两个重复的MAC地址,查看后得出结论是并无重复的MAC地址(这里要注意了,因为表面上arp -a后并不能发现有两个相同的MAC地址 所以很多网管都认为不是ARP攻击了 那就错了) 关键的问题就在这里,既然没有两个相同的MAC地址 大家一般都会在去怀疑其它问题而忽略了对ARP攻击的重视。
我也是偶然发现了一个ARP攻击的特征,在这里公布出来希望能帮助一些正在受掉线捆饶的朋友,如果网吧发生频繁的掉线时候鉴定是否是ARP攻击在作祟,鉴定办法是重起陆游器和交换机后 在命令行里输入arp -a 并复制下你的网关的 ip 的mac地址, 因为你刚刚重起了陆游器和交换机 所以这个时候你复制下来的网关IP的MAC地址为真,就是真网关的MAC地址,下面你要做的就是等掉线发生了,当掉线出现后,你在打arp -a后 你会发现你的网关IP的MAC地址变了 这时你就不难想象是什么原因导致掉线了吧! 不是病毒更改了你的网关MAC地址,而是你内网的一台病毒机器替代了你的网关,好,现在记下这个假网关的MAC地址,去下面查找这个MAC地址的客户机吧。
当你找到这台假网关的客户机后你可以分析这台机器 正在运行什么程序,装卡巴斯基或金山2006 或瑞星2006 杀毒软件,病毒库升级到最新版本,一般都可以杀出木马病毒来,这种木马是使用了ARP欺骗漏洞编写的木马,作用是让网吧所有的数据都得通过这台感染的机器流通,也就是说这台感染的机器成了你内网网关的作用了,掉线的问题现在也就清楚了,因为网吧的数据都要通过这台感染的机器流通,所以当这台机器关机或者重起的时候 也就等于网关重起或关机了,所以此时网吧掉线。
在我所负责内的网吧内通过此方法当场抓到了那台作坏的病毒机,让顾客换机后我开始分析这台机器,发现只当时只运行了2个程序 一个是传奇 一个是传奇外挂, 传奇基本上可以排除了,高度怀疑了传奇外挂,这个外挂叫 “及时雨PK 7.66版” 安装杀毒软件病毒库更新到当前最新查杀这个外挂 发现带病毒,同时做全盘扫描系统文件也有感染这个外挂上的病毒,这个外挂带的木马正是之前我们所分析的那样 是利用ARP欺骗来达到目的的木马。网吧掉线就是它造成的。 为了确认 及时雨PK 7.66版 我特意到www.wg999.com上下了一个及时雨PK 7.66版 用卡巴 金山2006 瑞星 2006 病毒库为最新 均杀出有木马病毒。
最近几天很多网吧反映频繁掉线,经过查处,确认目前引起网吧掉线的原因是病毒,该问题在全省均大面积发生,该病毒对主机代理和路由器代理的网吧均会造成影响。
该病毒发作时候的特征为,中毒的机器会修改其他机器的网卡mac地址为中毒机器网卡的mac地址,在主机代理的服务器上,进入dos窗口,用arp –a命令可以看到类似下面的现象。
C:\WINNT\system32>arp -a
Interface: 192.168.0.1 on Interface 0x1000004
Internet Address Physical Address Type
192.168.0.61 00-e0-4c-8c-9a-47 dynamic
192.168.0.70 00-e0-4c-8c-9a-47 dynamic
192.168.0.102 00-e0-4c-8c-9a-47 dynamic
192.168.0.103 00-e0-4c-8c-9a-47 dynamic
192.168.0.104 00-e0-4c-8c-9a-47 dynamic
192.168.0.105 00-e0-4c-8c-9a-47 dynamic
192.168.0.106 00-e0-4c-8c-9a-47 dynamic
192.168.0.107 00-e0-4c-8c-9a-47 dynamic
192.168.0.108 00-e0-4c-8c-9a-47 dynamic
192.168.0.109 00-e0-4c-8c-9a-47 dynamic
192.168.0.110 00-e0-4c-8c-9a-47 dynamic
192.168.0.111 00-e0-4c-8c-9a-47 dynamic
192.168.0.112 00-e0-4c-8c-9a-47 dynamic
192.168.0.113 00-e0-4c-8c-9a-47 dynamic
192.168.0.114 00-e0-4c-8c-9a-47 dynamic
192.168.0.115 00-e0-4c-8c-90-22 dynamic
192.168.0.165 00-e0-4c-8c-9a-47 dynamic
192.168.0.166 00-e0-4c-8c-9a-47 dynamic
192.168.0.167 00-e0-4c-8c-9a-47 dynamic
192.168.0.168 00-e0-4c-e8-91-45 dynamic
192.168.0.170 00-e0-4c-8c-9a-47 dynamic
该病毒不发作的时候,在代理服务器上看到的地址情况如下:
C:\WINNT\system32>arp -a
Interface: 192.168.0.200 on Interface 0x1000003
Internet Address Physical Address Type
192.168.0.1 00-e0-4c-8c-bb-0f dynamic
192.168.0.68 00-00-e8-11-df-53 dynamic
192.168.0.99 00-e0-4c-8c-81-cc dynamic
192.168.0.102 00-e0-4c-8c-7e-8f dynamic
192.168.0.103 00-e0-4c-8c-8e-cd dynamic
192.168.0.105 00-e0-4c-8c-b8-03 dynamic
192.168.0.106 00-e0-4c-8c-b9-cc dynamic
192.168.0.107 00-e0-4c-8c-8f-0d dynamic
192.168.0.109 00-e0-4c-8c-ba-7a dynamic
192.168.0.110 00-e0-4c-8c-7a-8a dynamic
192.168.0.112 00-e0-4c-8c-b9-c4 dynamic
192.168.0.113 00-e0-4c-8c-92-ad dynamic
192.168.0.116 00-e0-4c-82-55-8f dynamic
192.168.0.117 00-e0-4c-8c-ba-9e dynamic
192.168.0.118 00-e0-4c-8c-b9-57 dynamic
192.168.0.119 00-e0-4c-8c-b8-d9 dynamic
192.168.0.120 00-e0-4c-8c-92-c5 dynamic
192.168.0.121 00-e0-4c-8c-ba-64 dynamic
192.168.0.122 00-e0-4c-3a-1d-bb dynamic
192.168.0.123 00-e0-4c-8c-ba-42 dynamic
192.168.0.124 00-e0-4c-3a-1d-a5 dynamic
192.168.0.128 00-e0-4c-8c-b9-31 dynamic
192.168.0.129 00-e0-4c-8c-91-58 dynamic
192.168.0.130 00-e0-4c-8c-b9-f2 dynamic
192.168.0.131 00-e0-4c-8c-9a-47 dynamic
192.168.0.132 00-e0-4c-8c-ba-5e dynamic
192.168.0.134 00-e0-4c-3a-77-42 dynamic
192.168.0.135 00-e0-4c-8c-53-73 dynamic
192.168.0.136 00-e0-4c-8c-ba-d3 dynamic
192.168.0.137 00-e0-4c-8c-9c-28 dynamic
192.168.0.138 00-e0-4c-8c-b8-f9 dynamic
192.168.0.139 00-e0-4c-8c-b9-26 dynamic
192.168.0.142 00-e0-4c-8c-84-39 dynamic
192.168.0.143 00-e0-4c-8c-bb-0f dynamic
192.168.0.144 00-e0-4c-8c-ba-8a dynamic
病毒发作的时候,可以看到所有的ip地址的mac地址被修改为00-e0-4c-8c-9a-47,正常的时候可以看到00-e0-4c-8c-9a-47的ip地址为192.168.0.131,就是这台机器中毒,将该机器的网线拔掉,再观察。
中毒的机器可能不止一台,请多观察。
进入机器dos窗口的方式为,点击“开始”,点击“运行”,键入command,回车,就可以进入dos窗口,然后就可以用arp –a命令查看IP地址和mac地址对应的情况。
所以解决网吧掉线的方法是: 删除网吧内所有机器上的病毒来源 “及时雨PK 7.66版” 安装杀毒软件并更新到最新病毒库对网吧内客户机进行杀毒,然后转存。 从此网吧不在掉