定位ARP病毒攻击源头及预防方法概要

定位 ARP 攻击源头和防御方法

1.定位 ARP 攻击源头

主动定位方式:因为所有的 ARP 攻击源都会有其特征 —— 网卡会处于混杂模式,可以通过 ARPKiller 这样的工具扫描网内有哪台机器的网卡是处于混杂模式的,从而判断这台机器有 可能就是 ― 元凶 ‖ 。定位好机器后,再做病毒信息收集,提交给趋势科技做分析处理。

标注:网卡可以置于一种模式叫混杂模式, 在这种模式下工作的网卡能够收到一切通过它的 数据,而不管实际上数据的目的地址是不是它。这实际就是 Sniffer 工作的基本原理:让网 卡接收一切它所能接收的数据。

被动定位方式:在局域网发生 ARP 攻击时,查看交换机的动态 ARP 表中的内容,确定攻击 源的 MAC 地址;也可以在局域居于网中部署 Sniffer 工具,定位 ARP 攻击源的 MAC 。

也可以直接 Ping 网关 IP , 完成 Ping 后, 用 ARP – a 查看网关 IP 对应的 MAC 地址, 此 MAC 地址应该为欺骗的 MAC 。

使用 NBTSCAN 可以取到 PC 的真实 IP 地址、机器名和 MAC 地址,如果有 ‖ARP 攻击 ‖ 在 做怪,可以找到装有 ARP 攻击的 PC 的 IP 、机器名和 MAC 地址。

命令:―nbtscan -r 192.168.160.0/24‖ (搜索整个 192.168.160.0/24网段 , 即

192.168.160.1-192.168.160.254 ; 或 ―nbtscan 192.168.160.25-137‖ 搜索

192.168.160.25-137 网 段, 即 192.168.160.25-192.168.160.137。 输出结果第一列是 IP 地址, 最后一列是 MAC 地址。

NBTSCAN 的使用范例:

假设查找一台 MAC 地址为 ―000d870d585b ‖ 的病毒主机。

1将压缩包中的 nbtscan.exe 和 cygwin1.dll 解压缩放到 c:下。

2 在 Windows 开始 — 运行 — 打开, 输入 cmd (windows98输入 ―command‖ , 在出现的 DOS 窗口中输入:C: btscan -r 192.168.160.1/24(这里需要根据用户实际网段输入,回车。

3通过查询 IP--MAC 对应表,查出 ―000d870d585b ‖ 的病毒主机的 IP 地址为

―192.168.160.200‖ 。

通过上述方法,我们就能够快速的找到病毒源,确认其 MAC —— 〉机器名和 IP 地址。

2.防御方法

a. 使用可防御 ARP 攻击的三层交换机,绑定端口 -MAC-IP ,限制 ARP 流量,及时发现并自 动阻断 ARP 攻击端口, 合理划分 VLAN , 彻底阻止盗用 IP 、 MAC 地址, 杜绝 ARP

的攻击。

b. 对于经常爆发病毒的网络,进行 Internet 访问控制,限制用户对网络的访问。此类 ARP 攻 击程序一般都是从 Internet 下载到用户终端,如果能够加强用户上网的访问控制,就能极大 的减少该问题的发生。

c. 在发生 ARP 攻击时,及时找到病毒攻击源头,并收集病毒信息,可以使用趋势科技的 SIC2.0,同时收集可疑的病毒样本文件,一起提交到趋势科技的 TrendLabs 进行分析, TrendLabs 将以最快的速度提供病毒码文件,从而可以进行 ARP 病毒的防御。