1.定位ARP攻擊源頭
主動定位方式(計算機愛好者,學習計算機基礎,電腦入門,請到本站,我站同時提供計算機基礎知識教程,計算機基礎知識試題供大家學習和使用),:因為所有的ARP攻擊源都會有其特征——網卡會處于混雜模式,可以通過ARPKiller這樣的工具掃描網內有哪臺機器的網卡是處于混雜模式的,從而判斷這臺機器有可能就是“元兇”。定位好機器后,再做病毒信息收集,提交給趨勢科技做分析處理。
標注:網卡可以置于一種模式叫混雜模式(promiscuous),在這種模式下工作的網卡能夠收到一切通過它的數據,而不管實際上數據的目的地址是不是它。這實際就是Sniffer工作的基本原理:讓網卡接收一切它所能接收的數據。
被動定位方式:在局域網發生ARP攻擊時,查看交換機的動態ARP表中的內容,確定攻擊源的MAC地址;也可以在局域居于網中部署Sniffer工具,定位ARP攻擊源的MAC。
也可以直接Ping網關IP,完成Ping后,用ARP –a查看網關IP對應的MAC地址,此MAC地址應該為欺騙的,使用NBTSCAN可以取到PC的真實IP地址、機器名和MAC地址,如果有”ARP攻 擊”在做怪,可以找到裝有ARP攻擊的PC的IP、機器名和MAC地址。
命令:“nbtscan -r 192.168.16.0/24”(搜索整個192.168.16.0/24網段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 網段,即192.168.16.25-192.168.16.137。輸出結果第一列是IP地址,最后一列是MAC地址。NBTSCAN的使用范例:
假設查找一臺MAC地址為“000d870d585f”的病毒主機。
1)將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:下。
2)在Windows開始—運行—打開,輸入cmd(windows98輸入“command”),在出現的DOS窗口中輸入:C: btscan -r 192.168.16.1/24(這里需要根據用戶實際網段輸入),回車。
3)通過查詢IP–MAC對應表,查出“000d870d585f”的病毒主機的IP地址為“192.168.16.223”。
通過上述方法,我們就能夠快速的找到病毒源,確認其MAC——〉機器名和IP地址。
2.防御方法
a.使用可防御ARP攻擊的三層交換機,綁定端口-MAC-IP,限制ARP流量,及時發現并自動阻斷ARP攻擊端口,合理劃分VLAN,徹底阻止盜用IP、MAC地址,杜絕ARP的攻擊。
b.對于經常爆發病毒的網絡,進行Internet訪問控制,限制用戶對網絡的訪問。此類ARP攻擊程序一般都是從Internet下載到用戶終端,如果能夠加強用戶上網的訪問控制,就能極大的減少該問題的發生。
c.在發生ARP攻擊時,及時找到病毒攻擊源頭,并收集病毒信息,可以使用趨勢科技的SIC2.0,同時收集可疑的病毒樣本文件,一起提交到趨勢科技的TrendLabs進行分析,TrendLabs將以最快的速度提供病毒碼文件,從而可以進行ARP病毒的防御。
