安全急救班——鎖定源頭 驅逐ARP夢魘

來源:本站原創 安全技術 超過878 views圍觀 0條評論

剖析案例掌握技巧

現實中的ARP癥狀不僅復雜,而且會根據局域網的結構出現各種問題和排查難度,特別是在電腦過多的情況下,往往會大大增加排查難度。下面的這個案例就是我真實處理的。

現場狀況:記得機器狗變種大規模爆發時,公司局域網各個網段頻繁出現問題,我經常在不同樓層間跑動,最嚴重的一次是3個網段的多個部門都出現斷網情況。我趕到現場后,發現故障電腦打開網頁速度緩慢,內部交換文件也時斷時續。

我懷疑是ARP病毒在搞鬼了,調出命令提示符窗口,在窗口中輸入Ping命令,Ping局域網內另外一臺已經開機的電腦IP地址,但是發現無法Ping通,此時已經十有八九肯定是中了ARP病毒。為了保險起見,我又在命令提示符窗口輸入命令“ARP –d”,這個命令的意思就是“告訴”電腦刪除ARP緩存。

在運行完這個命令后,電腦可以打開網頁了,但是稍作停留網絡連接就出現了問題,打開瀏覽器輸入網址后就開始莫名其妙地大量彈出廣告窗口。此時雖然不能夠斷定是機器狗病毒,但是我已經可以斷定局域網內有ARP攻擊的問題了。但是由于局域網內電腦數量過于龐大,目前看來ARP攻擊源頭不止一個,如何查找到多個ARP攻擊源頭就成為了需要解決的難題。

解決方法:由于局域網內電腦過多,如果采用傳統的手工定位,逐一對比MAC地址幾乎不太可能,因此我決定使用工具來協助解決問題。而且根據剛才的檢查狀況,局域網內部肯定有ARP病毒流竄,并造成了封包無法送到正確的地址問題。

我使用了一個名為ARP Checker的免費ARP欺騙檢測工具,安裝好這個工具后,只需要選擇“始終檢測”一項,軟件就能夠針對指定網段內的所有IP地址發送Ping與Telnet的封包,多數電腦會無法響應而出現time out的現象,唯一有響應的電腦就有可能是中了ARP病毒的電腦。因為這類型的病毒必須確保數據會傳送回受感染的電腦,而受感染電腦的ARP緩存通常會變成固定式,不會因為接收到假的ARP封包而修改ARP緩存。

很快檢測結果出來了(圖4),其中一個局域網內有三臺電腦被定位,可能是ARP源頭。定位好源頭之后,我首先現將毒源電腦網絡連接斷開,然后再用閃存制作的殺毒軟件逐一進行殺毒,將問題清理干凈。

 

預防方法:根據我的經驗,目前ARP病毒大多是透過網頁掛馬的方式感染用戶電腦,因此局域網內最好能夠進行IP地址綁定,使用工具設定電腦ARP緩存為固定模式,這樣病毒就無法修改ARP緩存,電腦就夠將數據傳送至正確的地址了。

如果電腦數量太過龐大無法進行逐一綁定,可以啟用網絡設備中的動態ARP檢查功能。它可以檢查ARP交換情況并拒絕假的ARP封包。以俠諾FVR420V路由器為例,首先打開瀏覽器輸入路由器IP地址,進入登錄界面,然后輸入用戶名和密碼進入管理頁面,在管理頁面左邊的選項欄中點擊“防火墻配置”,然后選擇激活“放置ARP病毒攻擊”一項,再根據網絡具體情況輸入放置ARP攻擊每秒發送的幀即可。

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文鏈接:http://www.qdxgqk.live/?p=277轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
  • 相關文章
  • 為您推薦
  • 各種觀點
?
暫時還木有人評論,坐等沙發!
發表評論

您必須 [ 登錄 ] 才能發表留言!

?
?
萌宠夺宝游戏