您所在的位置:网络安全 > 黑客攻防 > 黑客专区 > ARP攻防 > 快速发现局域网内狂发ARP攻击包的机器

快速发现局域网内狂发ARP攻击包的机器

2007-01-08 15:25 佚名 小熊 字号:T | T
一键收藏,随时查看,分享好友!

在外地出差做网络安全的实施,住的宾馆到处时感染ARP欺骗病毒的机器,他们狂发ARP攻击包,导致正常用户无法上网。作为网管或喜欢信息安全的网友们,遇到这样的问题应当如何解决呢,下面就谈一下自己的一些想法。

AD:

我昨天在赛迪网技术社区[url]http://bbs.network.ccidnet.com/thread.php?fid=24[/url]里发帖时就说,我现在在外地出差做网络安全的实施,住的这个宾馆到处时感染ARP欺骗病毒的机器,他们狂发ARP攻击包,导致正常用户无法上网。

我上次说了,可以使用诸如AntiArpSniffer3.1单机版软件,防御ARP攻击的。但我想问题总的解决呀,我们作为网管或喜欢信息安全的网友们,遇到这样的问题应当如何解决呢,下面我就谈一下自己的一些想法:

1、对于类似宾馆或小型网络环境,一般是只有一个VLAN的,在这样的情况下,可以通过一台接入网络的主机,定期查看自己的ARP表,看看在定期删除ARP缓存后,有哪些机器的IP/MAC对应表马上又到你的机器上了。

举例:

C:\>arp -a

Interface: 192.168.1.236 --- 0x10004
Internet Address     Physical Address     Type
192.168.1.1         00-0a-eb-c1-d8-60   dynamic
192.168.1.22       00-e0-4c-c2-7e-50   dynamic
192.168.1.144     00-e0-4c-f0-e1-33   dynamic
192.168.1.233     00-e0-4c-a9-35-72   dynamic


这样就可以直接发现感染主机了。

2、对于大型的网络环境,一般是有多个VLAN的,在这样的情况下,可以通过专门的网管系统对交换机的ARP缓存的变化来查看整个网络ARP攻击情况,也可以通过AntiArpSniffer1.2网络版软件来查看攻击者的IP和真实MAC了。

注:对于某些ARP攻击是采取骗取网关的合法MAC或使用其他随意伪造的MAC进行攻击的手段,只能靠管理员手动的进行认真细致的排除了。

谢谢大家,一点经验和感悟的共享。欢迎跟大家随时交流!!




分享到:

  1. 工业控制系统已经成为黑客的重要目标
  2. 揭秘:黑客究竟对你的「被盗数据」做了什么?

热点职位

更多>>

热点专题

更多>>

读书

实时UML与Rational Rose RealTime建模案例剖析
本书将实时系统、实时统一建模语言、实时系统的统一开发过程和Rational Rose RealTime建模环境有机地结合起来,以案例为基础,系

最新热帖

更多>>

51CTO旗下网站

领先的IT技术网站 51CTO 领先的中文存储媒体 WatchStor 中国首个CIO网站 CIOage 中国首家数字医疗网站 HC3i 51CTO学院