|
1.定位arp攻擊源頭
主動定位方式:因?yàn)樗械腁RP攻擊源都會有其特征——網(wǎng)卡會處于混雜模式�,可以通過arpKiller這樣的工具掃描網(wǎng)內(nèi)有哪臺機(jī)器的網(wǎng)卡是處于混雜模式的,從而判斷這臺機(jī)器有可能就是“元兇”�����。定位好機(jī)器后�,再做病毒信息收集,提交給趨勢科技做分析處理���。
標(biāo)注:網(wǎng)卡可以置于一種模式叫混雜模式(promiscuous)�,在這種模式下工作的網(wǎng)卡能夠收到一切通過它的數(shù)據(jù)�����,而不管實(shí)際上數(shù)據(jù)的目的地址是不是它���。這實(shí)際就是Sniffer工作的基本原理:讓網(wǎng)卡接收一切它所能接收的數(shù)據(jù)。
被動定位方式:在局域網(wǎng)發(fā)生ARP攻擊時(shí)��,查看交換機(jī)的動態(tài)arp表中的內(nèi)容�,確定攻擊源的MAC地址;也可以在局域居于網(wǎng)中部署Sniffer工具����,定位arp攻擊源的MAC����。
也可以直接Ping網(wǎng)關(guān)IP�,完成Ping后,用ARP –a查看網(wǎng)關(guān)IP對應(yīng)的MAC地址��,此MAC地址應(yīng)該為欺騙的,使用NBTSCAN可以取到PC的真實(shí)IP地址���、機(jī)器名和MAC地址���,如果有”ARP攻 擊”在做怪,可以找到裝有arp攻擊的PC的IP�、機(jī)器名和MAC地址。
命令:“nbtscan -r 192.168.16.0/24”(搜索整個(gè)192.168.16.0/24網(wǎng)段, 即192.168.16.1-192.168.16.254)�;或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 網(wǎng)段,即192.168.16.25-192.168.16.137���。輸出結(jié)果第一列是IP地址���,最后一列是MAC地址����!BTSCAN的使用范例:
假設(shè)查找一臺MAC地址為“000d870d585f”的病毒主機(jī)����。
1)將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:下�����。
2)在Windows開始—運(yùn)行—打開���,輸入cmd(windows98輸入“command”)�����,在出現(xiàn)的dos窗口中輸入:C: btscan -r 192.168.16.1/24(這里需要根據(jù)用戶實(shí)際網(wǎng)段輸入)���,回車。
3)通過查詢IP–MAC對應(yīng)表�����,查出“000d870d585f”的病毒主機(jī)的IP地址為“192.168.16.223”��。
通過上述方法��,我們就能夠快速的找到病毒源��,確認(rèn)其MAC——〉機(jī)器名和IP地址���。
2.防御方法
a.使用可防御ARP攻擊的三層交換機(jī)�,綁定端口-MAC-IP�����,限制ARP流量�����,及時(shí)發(fā)現(xiàn)并自動阻斷arp攻擊端口�����,合理劃分VLAN���,徹底阻止盜用IP����、MAC地址,杜絕arp的攻擊�。
b.對于經(jīng)常爆發(fā)病毒的網(wǎng)絡(luò),進(jìn)行Internet訪問控制�����,限制用戶對網(wǎng)絡(luò)的訪問�。此類arp攻擊程序一般都是從Internet下載到用戶終端,如果能夠加強(qiáng)用戶上網(wǎng)的訪問控制�����,就能極大的減少該問題的發(fā)生�����。
c.在發(fā)生ARP攻擊時(shí)��,及時(shí)找到病毒攻擊源頭��,并收集病毒信息����,可以使用趨勢科技的SIC2.0,同時(shí)收集可疑的病毒樣本文件����,一起提交到趨勢科技的TrendLabs進(jìn)行分析�����,TrendLabs將以最快的速度提供病毒碼文件,從而可以進(jìn)行arp病毒的防御
本文出自:億恩科技【www.riomediacenter.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)����!虛擬主機(jī)域名注冊頂級提供商!15年品質(zhì)保障��!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
