arp偽裝攻擊網管人員查找解毒

看板NetSecurity (資安 資訊安全)作者 (Sarod)時間16年前 (2008/01/21 16:57), 編輯推噓6(6022)
留言28則, 4人參與, 最新討論串1/1
這一篇是給予網管人員的查找及解決方案, 之前我曾經嘗試過許多方法來查詢中arp偽裝的電腦,在這邊我提出幾種方式: 1.最土法煉鋼的方法,利用arp -a及GW的連接比對mac address, 當你看見有兩個不同的IP卻擁有同一個mac address時, 代表這個mac address的擁有者就是中鏢了。 2.查探DHCP伺服器的Log,當你見到DHCP的Log中, 有某台電腦常常無端跟你重新要IP,那台也是可能中鏢的電腦。 3.最後一種方式,透過第三方軟體,不過我個人感覺這種方式最有效率。 第一種軟體:ethereal(現在叫wireshark) 第二種軟體:Packetyzer 第一種不用介紹了,開放原碼的封包探測軟體。 我建議你在client端上裝Packetyzer就夠了,使用方式就是抓你那張網卡的封包, 然後去看看你電腦是不是一直收到arp封包。 例如你看到"同時間很多個" arp: who has 192.168.1.1? Tell 192.168.1.100 這代表192.168.1.100這台電腦中鏢了,通常arp封包不會沒事狂發, 會同時間發送很多個代表有問題了,通常下面會有加上.1.1的mac address, 比對一下就知道它是不是出問題了。 利用這個方法將中鏢IP的電腦先實體斷線,然後看arp封包是否正常。 解毒的方法我也try了蠻多次,發現它的傳輸途徑不一,不過使用的東西都差不多 免疫檔: http://evansariel.googlepages.com/arpsolution.zip 這邊下載的檔案解壓縮的時候裡面有個macosx的資料夾不用理會, 因為我用的是mac系統作封裝,所以有那個資料夾。 解完有四個檔案,將中鏢的電腦斷線後重新開啟至安全模式(管理員權限), 然後將三個dll檔複製到windows/system32裡(沒中鏢的電腦照理說沒這些檔案), npf.sys那的檔案複製到windows/system32/drivers裡, 然後將這四個檔案改成唯讀,通常就能解決這台電腦偽裝欺騙的問題了。 不過有電腦潔癖的人你就重灌吧! 這四個檔案是arp攻擊的一些主程式,這四個檔案已經測試過使用正常, 幫以前的公司跟某社區網路的網管人員解決過問題, 目前沒聽到有什麼問題,不過最後還是要靠你們自己確定喔!! 不想到最後變成是我的問題QQ...我只是義務幫忙而已。 下一篇就講網路架構的東西...不過有點懶就是了XD.... p.s. 請各位記住,如果你安裝Packetyzer的話, 在你的windows/system32/drivers裡就會多一個npf.sys, 這東西到底是什麼呢?聽我慢慢道來~ 這東西其實是winpcap的驅動程式,主要用來抓取網路裝置上的封包,原本是用來給予網路或程式人員檢測探測封包之用,不過arp偽裝攻擊這東西也用到了它... 在免疫檔裡也有這個檔案,如果你有裝packetyzer的話,假設覆蓋了它,會使得packetyzer無法正常使用,這點請記住。 其他dll檔在沒有中arp偽裝的電腦上是不會存在的,如果存在的人你就自己解了它吧。 三個dll檔包括: packet.dll,pthreadVC.dll,wpcap.dll 如果你有這三個檔案就代表可能中鏢了,你在cmd下面打arp -a看看, 你是否擁有整個網段的arp列表,如果有,而你又不是伺服器的話, 就代表你就是兇手~ -- http://sanature.blogspot.com/ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 118.169.1.225

01/21 19:00, , 1F
在安裝Packetyzer時,似乎會對你提供的四個檔案進行寫入
01/21 19:00, 1F

01/21 19:01, , 2F
因為我之前有在網路上搜尋到你提供的這四個檔,那要讓他
01/21 19:01, 2F

01/21 19:02, , 3F
修改嗎?
01/21 19:02, 3F

01/21 19:03, , 4F
因為我當時貼進去資料夾時,並沒有覆蓋等提示,所以我的
01/21 19:03, 4F

01/21 19:03, , 5F
電腦應該沒有中毒...!
01/21 19:03, 5F

01/21 19:57, , 6F
文中有說,packetyzer需要npf.sys驅動,如果你要用
01/21 19:57, 6F

01/21 19:58, , 7F
packetyzer就必須將windows/system32/drivers/npf.sys
01/21 19:58, 7F

01/21 19:58, , 8F
解除唯讀讓它覆蓋。
01/21 19:58, 8F

01/21 20:01, , 9F
沒有中毒增加你說的那四個檔案可以預防被其他電腦傳染
01/21 20:01, 9F

01/21 20:02, , 10F
至於arp -s或antiarp是為了使網路能正常使用
01/21 20:02, 10F

01/22 12:35, , 11F
那如果我綁arp -s 還是有部份網頁開的慢慢的,那就是GW
01/22 12:35, 11F

01/22 12:36, , 12F
那裡出問題了嗎? 感謝!
01/22 12:36, 12F

01/22 12:59, , 13F
部份網頁開得慢的因素就太多了,GW的loading變重的話也
01/22 12:59, 13F

01/22 13:00, , 14F
會造成網路速度變慢,不然你可以tracert看看囉
01/22 13:00, 14F

01/22 13:06, , 15F
例如在cmd打tracert www.google.com,看看是哪個節點
01/22 13:06, 15F

01/22 13:07, , 16F
出了問題。
01/22 13:07, 16F

01/22 17:54, , 17F
蠻奇怪的,我試過綁幾組可能的GW mac,結果情況都差不多,
01/22 17:54, 17F

01/22 17:55, , 18F
都是有些網頁不能開,有些網頁可以開...@@?
01/22 17:55, 18F

01/22 17:55, , 19F
不是照理說如果綁到錯誤的GW mac應該就出不去了嘛...@@
01/22 17:55, 19F

01/22 17:56, , 20F
另外,還是很感謝你熱心回覆喔!!
01/22 17:56, 20F

01/22 18:39, , 21F
GW不對當然出不去啊,不過你說的是網頁,看一下有沒設
01/22 18:39, 21F

01/22 18:40, , 22F
proxy吧
01/22 18:40, 22F

01/22 18:51, , 23F
再往下這篇文就太長了,釐清arp欺騙的問題之後,其他問
01/22 18:51, 23F

01/22 18:52, , 24F
題之後,剩下的問題可以換po在應當的版面囉
01/22 18:52, 24F

01/22 18:54, , 25F
用加註方式很難回答完整XD...不知在打什麼
01/22 18:54, 25F

01/22 22:01, , 26F
總之,先感謝大大熱心協助囉,其他問題我再向計中詢問囉!
01/22 22:01, 26F

02/26 20:41, , 27F
推推
02/26 20:41, 27F

03/11 21:53, , 28F
請問有被攻擊的狀況是會出現廣告小視窗的嗎?
03/11 21:53, 28F
文章代碼(AID): #17b5w034 (NetSecurity)
文章代碼(AID): #17b5w034 (NetSecurity)