arp偽裝攻擊網管人員查找解毒
這一篇是給予網管人員的查找及解決方案,
之前我曾經嘗試過許多方法來查詢中arp偽裝的電腦,在這邊我提出幾種方式:
1.最土法煉鋼的方法,利用arp -a及GW的連接比對mac address,
當你看見有兩個不同的IP卻擁有同一個mac address時,
代表這個mac address的擁有者就是中鏢了。
2.查探DHCP伺服器的Log,當你見到DHCP的Log中,
有某台電腦常常無端跟你重新要IP,那台也是可能中鏢的電腦。
3.最後一種方式,透過第三方軟體,不過我個人感覺這種方式最有效率。
第一種軟體:ethereal(現在叫wireshark)
第二種軟體:Packetyzer
第一種不用介紹了,開放原碼的封包探測軟體。
我建議你在client端上裝Packetyzer就夠了,使用方式就是抓你那張網卡的封包,
然後去看看你電腦是不是一直收到arp封包。
例如你看到"同時間很多個"
arp: who has 192.168.1.1? Tell 192.168.1.100
這代表192.168.1.100這台電腦中鏢了,通常arp封包不會沒事狂發,
會同時間發送很多個代表有問題了,通常下面會有加上.1.1的mac address,
比對一下就知道它是不是出問題了。
利用這個方法將中鏢IP的電腦先實體斷線,然後看arp封包是否正常。
解毒的方法我也try了蠻多次,發現它的傳輸途徑不一,不過使用的東西都差不多
免疫檔:
http://evansariel.googlepages.com/arpsolution.zip
這邊下載的檔案解壓縮的時候裡面有個macosx的資料夾不用理會,
因為我用的是mac系統作封裝,所以有那個資料夾。
解完有四個檔案,將中鏢的電腦斷線後重新開啟至安全模式(管理員權限),
然後將三個dll檔複製到windows/system32裡(沒中鏢的電腦照理說沒這些檔案),
npf.sys那的檔案複製到windows/system32/drivers裡,
然後將這四個檔案改成唯讀,通常就能解決這台電腦偽裝欺騙的問題了。
不過有電腦潔癖的人你就重灌吧!
這四個檔案是arp攻擊的一些主程式,這四個檔案已經測試過使用正常,
幫以前的公司跟某社區網路的網管人員解決過問題,
目前沒聽到有什麼問題,不過最後還是要靠你們自己確定喔!!
不想到最後變成是我的問題QQ...我只是義務幫忙而已。
下一篇就講網路架構的東西...不過有點懶就是了XD....
p.s. 請各位記住,如果你安裝Packetyzer的話,
在你的windows/system32/drivers裡就會多一個npf.sys,
這東西到底是什麼呢?聽我慢慢道來~
這東西其實是winpcap的驅動程式,主要用來抓取網路裝置上的封包,原本是用來給予網路或程式人員檢測探測封包之用,不過arp偽裝攻擊這東西也用到了它...
在免疫檔裡也有這個檔案,如果你有裝packetyzer的話,假設覆蓋了它,會使得packetyzer無法正常使用,這點請記住。
其他dll檔在沒有中arp偽裝的電腦上是不會存在的,如果存在的人你就自己解了它吧。
三個dll檔包括:
packet.dll,pthreadVC.dll,wpcap.dll
如果你有這三個檔案就代表可能中鏢了,你在cmd下面打arp -a看看,
你是否擁有整個網段的arp列表,如果有,而你又不是伺服器的話,
就代表你就是兇手~
--
http://sanature.blogspot.com/
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 118.169.1.225
推
01/21 19:00, , 1F
01/21 19:00, 1F
→
01/21 19:01, , 2F
01/21 19:01, 2F
→
01/21 19:02, , 3F
01/21 19:02, 3F
→
01/21 19:03, , 4F
01/21 19:03, 4F
→
01/21 19:03, , 5F
01/21 19:03, 5F
→
01/21 19:57, , 6F
01/21 19:57, 6F
→
01/21 19:58, , 7F
01/21 19:58, 7F
→
01/21 19:58, , 8F
01/21 19:58, 8F
→
01/21 20:01, , 9F
01/21 20:01, 9F
→
01/21 20:02, , 10F
01/21 20:02, 10F
推
01/22 12:35, , 11F
01/22 12:35, 11F
→
01/22 12:36, , 12F
01/22 12:36, 12F
→
01/22 12:59, , 13F
01/22 12:59, 13F
→
01/22 13:00, , 14F
01/22 13:00, 14F
→
01/22 13:06, , 15F
01/22 13:06, 15F
→
01/22 13:07, , 16F
01/22 13:07, 16F
推
01/22 17:54, , 17F
01/22 17:54, 17F
→
01/22 17:55, , 18F
01/22 17:55, 18F
→
01/22 17:55, , 19F
01/22 17:55, 19F
→
01/22 17:56, , 20F
01/22 17:56, 20F
→
01/22 18:39, , 21F
01/22 18:39, 21F
→
01/22 18:40, , 22F
01/22 18:40, 22F
→
01/22 18:51, , 23F
01/22 18:51, 23F
→
01/22 18:52, , 24F
01/22 18:52, 24F
→
01/22 18:54, , 25F
01/22 18:54, 25F
推
01/22 22:01, , 26F
01/22 22:01, 26F
推
02/26 20:41, , 27F
02/26 20:41, 27F
推
03/11 21:53, , 28F
03/11 21:53, 28F
NetSecurity 近期熱門文章
PTT數位生活區 即時熱門文章