[心得]arp偽裝攻擊一般使用者解決方式

看板NetSecurity (資安資訊安全)作者evansariel (Sarod)時間17年前 (2008/01/21 16:51)推噓0(0推 0噓 3→)

留言3則, 2人參與討論串1/1

因為有網友沒辦法正常開啟網頁，所以將文章轉貼此處，文章很長，請各位包涵。這種攻擊方式針對的是網路架構的問題，跟系統無關，所以不同的系統有不同的解決方式，不過原理都是一樣的，這邊只提供簡單的解決Client端解決方式， Server端的部份等有空再寫一篇吧。首先針對PTT上的網友提出的問題給予回覆：但怎樣才能確知Gateway的mac是正確的呢? 因為我反覆的arp -d 和 ping gateway'IP 再去arp -a裡面看, 發現mac位址會變動,所以不知道哪個才是真的gateway的mac, 哪個是中毒電腦的mac? 因為在學網,所以不知如何查起...囧另外開機執行的bat,要怎麼寫呢? 直接放在啟動內嗎? 因為arp偽裝主要就是偽裝GW的mac address，所以會有碰到mac address變換的問題，而這個變換的mac address就是中arp偽裝的電腦喔！！所以確認GW的mac address時，一定要確定你的網路是正常的可以連出網際網路，那時的mac address才是對的。除了ping以外，你可以利用nbtstat這個指令找出正確的GW（win only）。在cmd底下打nbtstat -a GW的IP，你會看見這個IP的資訊，包括電腦名稱，IP，mac address等。先確定這個IP的電腦名稱是你們的GW吧。至於bat的寫法，你可以開啟記事本，在裡面打上： arp -d arp -s GW的IP GW的mac_address 然後存檔成x.bat 放在啟動就行了，不過這個方式只能暫時解決燃眉之急，最重要的還是要網管人員將已中arp偽裝的電腦找出來然後解毒並且修正網路環境的漏洞。在觀念上即為手動設定你電腦GW的IP及mac address，別讓它被其他的arp封包所欺騙， Client端解決的方式只能注意這一點，不過如果GW本身都被欺騙的話.. 你想出去也有問題就是了，這部份只能靠網管人員解決。 -- http://sanature.blogspot.com/ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 118.169.1.225