[心得]arp偽裝攻擊一般使用者解決方式

看板NetSecurity (資安 資訊安全)作者 (Sarod)時間17年前 (2008/01/21 16:51), 編輯推噓0(003)
留言3則, 2人參與, 最新討論串1/1
因為有網友沒辦法正常開啟網頁,所以將文章轉貼此處,文章很長,請各位包涵。 這種攻擊方式針對的是網路架構的問題,跟系統無關,所以不同的系統有不同的解決方式,不過原理都是一樣的,這邊只提供簡單的解決Client端解決方式, Server端的部份等有空再寫一篇吧。 首先針對PTT上的網友提出的問題給予回覆: 但怎樣才能確知Gateway的mac是正確的呢? 因為我反覆的arp -d 和 ping gateway'IP 再去arp -a裡面看, 發現mac位址會變動,所以不知道哪個才是真的gateway的mac, 哪個是中毒電腦的mac? 因為在學網,所以不知如何查起...囧 另外開機執行的bat,要怎麼寫呢? 直接放在啟動內嗎? 因為arp偽裝主要就是偽裝GW的mac address, 所以會有碰到mac address變換的問題, 而這個變換的mac address就是中arp偽裝的電腦喔!! 所以確認GW的mac address時,一定要確定你的網路是正常的可以連出網際網路, 那時的mac address才是對的。 除了ping以外,你可以利用nbtstat這個指令找出正確的GW(win only)。 在cmd底下打nbtstat -a GW的IP, 你會看見這個IP的資訊,包括電腦名稱,IP,mac address等。 先確定這個IP的電腦名稱是你們的GW吧。 至於bat的寫法,你可以開啟記事本, 在裡面打上: arp -d arp -s GW的IP GW的mac_address 然後存檔成x.bat 放在啟動就行了,不過這個方式只能暫時解決燃眉之急, 最重要的還是要網管人員將已中arp偽裝的電腦找出來然後解毒並且修正網路環境的漏洞。 在觀念上即為手動設定你電腦GW的IP及mac address,別讓它被其他的arp封包所欺騙, Client端解決的方式只能注意這一點,不過如果GW本身都被欺騙的話.. 你想出去也有問題就是了,這部份只能靠網管人員解決。 -- http://sanature.blogspot.com/ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 118.169.1.225

01/21 18:29, , 1F
我跑nbtstat -a GW的IP 會出現 Host not found.
01/21 18:29, 1F

01/21 18:30, , 2F
而arp -a 卻看的到GW的mac位址...?
01/21 18:30, 2F

01/21 19:59, , 3F
這是因為協定的問題,有些主機或IP分享器會無法偵測
01/21 19:59, 3F
文章代碼(AID): #17b5qjmV (NetSecurity)
文章代碼(AID): #17b5qjmV (NetSecurity)