您所在的位置:网络安全 > 黑客攻防 > 黑客专区 > ARP攻防 > 局域网ARP欺骗排查解决报告

局域网ARP欺骗排查解决报告

2007-09-13 15:03 xueyan 51CTO.com 字号:T | T
一键收藏,随时查看,分享好友!

下面是一份局域网ARP欺骗排查解决报告。

AD:

上周四下午,单位网络故障,无法打开网页,关掉防火墙,路由器,重新起动,故障消失,这种事情由来已久,因为网络设计初期问题......
周五出现网络时断时续现象,一本科生告诉我可能是“ARP欺骗”所致,在DOS下,输入:arp -a 发现网关MAC地址与一台IP为192.168.0.9的主机MAC相同,找到该机后,断掉,网络恢复。
本以为事情就这么过去了,然而:
周一上班又出现网络时断时续、网速慢、上不去网……众人纷纷报告,搞得我相当郁闷,情急之下发现重新起动电脑故障就消失了,于是简单要求照做。晚上在家查找了相关资料,知道遇到ARP欺骗这种事情不好搞,并且找到了应急对策:
1、              对网关做IP-MAC绑定
2、              用MAC扫描器得到网内上网主机的IP-MAC对,记录下来以备后用
周二上班前做了网关地址绑定。一上午至下班前一小时无事,但我知道,这个ARP欺骗主机像幽灵躲在暗处,时刻窥探发动攻击的最佳时刻,不把它揪出来,早晚是个事儿!现在它没有出现,可能是因为故障主机的人没来不在单位,根本没开机!果然,下班前一个小时故障再次出现!然而单位70几台上网主机三个楼层,怎么查?!有人提出一个房间一个房间的断网排查,我否定的这种干扰正常工作秩序的方案,决定重新研究新对策。下载了一个AntiArpSniffer的工具进行监控,晚上回家在不安中睡去……
周三,也就是今天早上到单位,在两台监控的主机上发现如下“欺骗机MAC地址:00-11-**--**-**-2D”(由于此地址为物理网卡地址,具有全球唯一性,故隐去真实值),软件还报告了发生欺骗的时间和大概36次的欺骗次数!但却没有查出IP地址。8点半用MAC扫描器进行全网扫描,却未发现上述MAC地址。 9点15分,有机器报告不能上网,到现场,运行栏输入:arp –d 不用关机重起,可以上网,更确定是ARP病毒所致。10点05分再次用MAC扫描器,突然闪现了IP与MAC地址对应的主机!!!火速联系机主,对方反应这几天上网速度很慢,正想重装系统。告知事发原因,并验明他昨天上午到下班前一小时确实不在单位没有开机的事实,与网络自他归来后变得不稳定现象完全符合!经对方查验其MAC地址确实与扫描出的欺骗主机地址一致!!!事主重新格式化重装系统……
虽然找出了源头并采取的相应措施,但内心始终忐忑,网络安全任重道远啊……
一切尽在观察中……
处理步骤小结
1、              应急处理不能上网的主机,在运行栏里执行命令:arp –d
2、              用AntiArpSniffer 3.5 监测网络
3、              用MAC扫描器 找出主机IP地址
4、              根据IP地址找到电脑,格式化,重装系统。
5、              OVER 
建议
对整个网络做IP-MAC绑定。

【相关文章】

【责任编辑:安妮 TEL:(010)68476606】



分享到:

热点职位

更多>>

热点专题

更多>>

读书

Java (JDK 6)学习笔记
Java学习笔记在JavaWorld技术论坛(http://www.javaworld.com.tw/)和作者的网站(http://caterpillar.onlyfun.net/Gossip/)提

最新热帖

更多>>

51CTO旗下网站

领先的IT技术网站 51CTO 领先的中文存储媒体 WatchStor 中国首个CIO网站 CIOage 中国首家数字医疗网站 HC3i 51CTO学院