醉墨 发表于 2009-6-2 19:49:46

使用“ARP防火墙单机版软件”快速定位ARP攻击源

使用“ARP防火墙单机版软件”快速定位ARP攻击源

本文介绍如何通过“ARP防火墙单机版”快速定位ARP攻击源,这种方法能有效的辅助并帮助管理员分析并彻底解决ARP问题。
如果你的网络出现大量或者部分计算机无法上网或者网速断断续续、IP冲突等问题,建议在无法上网的计算机上安装“ARP防火墙”,介绍使用以下3种方法来解决ARP问题:
一.[外部攻击]
1、如果“ARP防火墙”界面出现[外部攻击]的选项卡,说明你的局域网存在ARP攻击问题:一般情况下软件能自动显示攻击者IP地址,如果无法显示攻击者的IP地址,请点击软件界面上的“追踪”按钮,约5分钟后会自动显示攻击者IP地址。
如果依然无法显示攻击者IP,可能这个MAC地址是虚假的,也就是局域网中没有这个MAC地址,请通过以下方法来解决:
Q: 如果攻击者的MAC是伪造的,有办法查到攻击者是谁吗?
A: 如果你的交换机带网管功能,是可以查到的。假设攻击者伪造的MAC地址为AA-AA-AA-AA-AA-AA,办法如下:
    (1) 登录核心交换机,通过以下命令查询虚假MAC的来源
      #sh mac-address-table dynamic address aaaa.aaaa.aaaa
   命令输出类似如下:
               Mac Address Table
-------------------------------------------
Vlan    Mac Address       Type      Ports
----    -----------       --------    -----
   7    0010.db58.3480    DYNAMIC   Po1
   7    aaaa.aaaa.aaaa   DYNAMIC   Gi1/0/11   <<<<<
    (2) 通过以下命令查询Gi1/0/11接的主机,还是网络设备
    #show cdp neighbors
   如果Gi1/0/11接的是交换机,那么登录此交换机,重复上述操作。如果接的是主机,那么此主机即是攻击者。

1、从ARP防火墙V4.2 Beta2版本之后默认并没有开启“分析接受到的ARP数据包”,请在软件设置-->其他-->勾选“分析接受到的ARP数据包“,接“确定”按钮之后软件将自动分析接受到的ARP数据包。
2、通过分析接受到的ARP数据包能有效的判断当前局域网是否存在ARP问题。点击“分析接收到的ARP”选项卡,右击“累计”栏目进行排序,如果“ 广播-Request ” 和“ 非广播-Reply ”的数量超过100或者更多,请注意这些计算机很有可能存在问题,建议最有效的方法是在这些计算机上安装ARP防火墙。
三、[对外ARP攻击]

1、如果安装了ARP防火墙出现[对外ARP攻击]的选项卡,说明你的计算机中毒或者对外发送欺骗数据,ARP防火墙已经完全具备ARP病毒专杀功能,请参阅/bbs/ShowPost.asp?ThreadID=1554
ARP攻击现在经常发生,遇到这些问题怎么办呢?请看下面笔者给出的解决方法!
  前段时间经常有用户打电话抱怨上网时断时续,有时甚至提示连接受限、根本就无法获得IP(我们单位用的是动态IP)。交换机无法ping通,而指示灯状态正常。重启交换机后客户机可以上网,但很快又涛声依旧!严重影响了用户使用,甚至给用户造成了直接经济损失,(我们单位很多人都在炒股、炒基金,由于无法及时掌握行情,该出手时无法出手。)
  根据用户描述的情形和我们多次处理的经验,可以肯定是由于网络中存在ARP攻击(ARP欺骗)所致。至于什么是ARP攻击,我就不用再说了吧。知道了问题所在,但如何解决呢?
  虽然可以采用在交换机绑定MAC地址和端口、在客户机绑定网关IP和MAC地址的“双绑”办法预防,但由于网管的工作量太大,且不能保证所有的用户都在自己的电脑上绑定网关IP和MAC地址,所以我们采取以下措施来预防和查找ARP攻击。
  我们推荐用户在自己的电脑上安装ColorSoft开发的ARP防火墙(原名Anti ARP Sniffer),该软件通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址,可以保障安装该软件的电脑正常上网;拦截外部对本机的ARP攻击和本机对外部的ARP攻击。
  如果发现内部ARP攻击,直接处理本机就行了;如果发现外部ARP攻击,则根据实际情况通过攻击者的IP地址和/或MAC地址查找该攻击者电脑。
  好了,让我们一起行动吧。
  1、在同一网段的电脑下载ARP防火墙(WWW.AntiARP.COM)、安装、运行。第一天,一切正常,没发现攻击行为。第二天,开机不到半小时就发现了ARP攻击,如图1。
/qzone/newblog/v5/editor/css/loading.gif
页: [1]
查看完整版本: 使用“ARP防火墙单机版软件”快速定位ARP攻击源