迷惑奈瑞儿已久的ARP欺骗
奈瑞儿身为网管,小于(化名)近日对频繁的断网事故头疼不已,开始以为是网内哪台机器中招了,每台机器都查了一遍,却没有发现哪台机器不正常。问题的症结没有找到,可是网络亦然是时通时断,极不稳定,当时,奈瑞儿也没有想到是ARP欺骗。
咨询朋友之后,小于了解到,“ARP”欺骗可能是这种网络不稳定现象的产生原因。小于的朋友告诉他,当带有ARP欺骗程序的计算机在网内进行通讯时,就会导致频繁掉线,出现此类问题后重启计算机或禁用网卡会暂时解决问题,但掉线情况还会发生。
在网络发展的今天,很多单位的网管都和小于一样,不仅遭受各种病毒的经常性骚扰,近来他们还要ARP欺骗不停的侵袭。这些都让他们疲惫不堪,尤其是后者,近来状况越来越严重,而且危害也是不可预估的——因为ARP欺骗不仅使局域网内频繁性区域或整体掉线,网络通道阻塞,造成网络设备的承载过重,导致网络的通讯质量不稳定;而且一些人为了获取非法利益,利用ARP欺骗程序在网内进行非法活动,此类程序的主要目的在于破解账号登陆时的加密解密算法,通过截取局域网中的数据包,然后以分析数据通讯协议的方法截获用户的信息,运行这类木马病毒,就可以获得整个局域网中上网用户账号的详细信息并盗取。
就目前状况看,企业内部网络“ARP”欺骗如病毒发作一样,在所难免。问题不可避免,应急预案就十分重要,其原则是“ARP”欺骗一旦发生,首先要理清思路,找到问题的关键,使用行之有效方式,彻底清除。
奈瑞儿定位攻击发起端是解决问题的关键
故障现象:机器以前可正常上网的,突然出现可认证,不能上网的现象,重启机器或在MS-DOS窗口下运行命令ARP -d后,又可恢复上网一段时间。
故障原因:这是典型APR病毒欺骗攻击。
引起问题的原因:初期由传奇外挂携带的ARP木马攻击,当在局域网内使用上述外挂时,外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上,向局域网内大量发送ARP包,从而致使同一网段地址内的其它机器误将其作为网关,这就是为什么掉线时内网是互通的,计算机却不能上网的主要原因。
奈瑞儿看到当病毒发作的时候,为了更快定位攻击发起端,是解决问题根源。我们通过NBTSCAN查找病毒主机,关闭所有二层交换机,把管理员的计算机接在核心交换机上,此时管理员的计算机可正常上网。Ping三层交换机的地址,查看相关MAC地址,再通过三层交换机IP地址获取三层交换机真实的MAC地址。使用同样的方法得到路由器真实MAC地址。打开所有二层交换机,在ARP病毒攻击时所有计算机都表现为有网络连接,但打不开网页。此时在dos窗口下输入命令arp -a,查看网关的IP地址和MAC地址对应关系,与刚才得到的真实MAC地址对比,如果不相同,此次获得的MAC地址即为病毒主机的MAC地址。
使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址,可以找到病毒主机的IP、机器名和MAC地址,ARP欺骗的主机。
命令:"nbtscan -r 192.168.2.0/24"(搜索整个192.168.2.0/24网段,输出结果第一列是IP地址,最后一列是MAC地址。
搜索更多相关主题的帖子:
奈瑞儿 欺骗 ARP