安全急救班——锁定源头 驱逐ARP梦魇

来源:本站原创 安全技术 超过781 views围观 0条评论

剖析案例掌握技巧

现实中的ARP症状不仅复杂,而且会根据局域网的结构出现各种问题和排查难度,特别是在电脑过多的情况下,往往会大大增加排查难度。下面的这个案例就是我真实处理的。

现场状况:记得机器狗变种大规模爆发时,公司局域网各个网段频繁出现问题,我经常在不同楼层间跑动,最严重的一次是3个网段的多个部门都出现断网情况。我赶到现场后,发现故障电脑打开网页速度缓慢,内部交换文件也时断时续。

我怀疑是ARP病毒在搞鬼了,调出命令提示符窗口,在窗口中输入Ping命令,Ping局域网内另外一台已经开机的电脑IP地址,但是发现无法Ping通,此时已经十有八九肯定是中了ARP病毒。为了保险起见,我又在命令提示符窗口输入命令“ARP –d”,这个命令的意思就是“告诉”电脑删除ARP缓存。

在运行完这个命令后,电脑可以打开网页了,但是稍作停留网络连接就出现了问题,打开浏览器输入网址后就开始莫名其妙地大量弹出广告窗口。此时虽然不能够断定是机器狗病毒,但是我已经可以断定局域网内有ARP攻击的问题了。但是由于局域网内电脑数量过于庞大,目前看来ARP攻击源头不止一个,如何查找到多个ARP攻击源头就成为了需要解决的难题。

解决方法:由于局域网内电脑过多,如果采用传统的手工定位,逐一对比MAC地址几乎不太可能,因此我决定使用工具来协助解决问题。而且根据刚才的检查状况,局域网内部肯定有ARP病毒流窜,并造成了封包无法送到正确的地址问题。

我使用了一个名为ARP Checker的免费ARP欺骗检测工具,安装好这个工具后,只需要选择“始终检测”一项,软件就能够针对指定网段内的所有IP地址发送Ping与Telnet的封包,多数电脑会无法响应而出现time out的现象,唯一有响应的电脑就有可能是中了ARP病毒的电脑。因为这类型的病毒必须确保数据会传送回受感染的电脑,而受感染电脑的ARP缓存通常会变成固定式,不会因为接收到假的ARP封包而修改ARP缓存。

很快检测结果出来了(图4),其中一个局域网内有三台电脑被定位,可能是ARP源头。定位好源头之后,我首先现将毒源电脑网络连接断开,然后再用闪存制作的杀毒软件逐一进行杀毒,将问题清理干净。

 

预防方法:根据我的经验,目前ARP病毒大多是透过网页挂马的方式感染用户电脑,因此局域网内最好能够进行IP地址绑定,使用工具设定电脑ARP缓存为固定模式,这样病毒就无法修改ARP缓存,电脑就够将数据传送至正确的地址了。

如果电脑数量太过庞大无法进行逐一绑定,可以启用网络设备中的动态ARP检查功能。它可以检查ARP交换情况并拒绝假的ARP封包。以侠诺FVR420V路由器为例,首先打开浏览器输入路由器IP地址,进入登录界面,然后输入用户名和密码进入管理页面,在管理页面左边的选项栏中点击“防火墙配置”,然后选择激活“放置ARP病毒攻击”一项,再根据网络具体情况输入放置ARP攻击每秒发送的帧即可。

文章出自:CCIE那点事 http://www.jdccie.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。 禁止全文转载。
本文链接:http://www.jdccie.com/?p=277转载请注明转自CCIE那点事
如果喜欢:点此订阅本站
  • 相关文章
  • 为您推荐
  • 各种观点

暂时还木有人评论,坐等沙发!
发表评论

您必须 [ 登录 ] 才能发表留言!