作者evansariel (Sarod)
看板NetSecurity
标题arp伪装攻击网管人员查找解毒
时间Mon Jan 21 16:57:32 2008
这一篇是给予网管人员的查找及解决方案,
之前我曾经尝试过许多方法来查询中arp伪装的电脑,在这边我提出几种方式:
1.最土法炼钢的方法,利用arp -a及GW的连接比对mac address,
当你看见有两个不同的IP却拥有同一个mac address时,
代表这个mac address的拥有者就是中镖了。
2.查探DHCP伺服器的Log,当你见到DHCP的Log中,
有某台电脑常常无端跟你重新要IP,那台也是可能中镖的电脑。
3.最後一种方式,透过第三方软体,不过我个人感觉这种方式最有效率。
第一种软体:ethereal(现在叫wireshark)
第二种软体:Packetyzer
第一种不用介绍了,开放原码的封包探测软体。
我建议你在client端上装Packetyzer就够了,使用方式就是抓你那张网卡的封包,
然後去看看你电脑是不是一直收到arp封包。
例如你看到"同时间很多个"
arp: who has 192.168.1.1? Tell 192.168.1.100
这代表192.168.1.100这台电脑中镖了,通常arp封包不会没事狂发,
会同时间发送很多个代表有问题了,通常下面会有加上.1.1的mac address,
比对一下就知道它是不是出问题了。
利用这个方法将中镖IP的电脑先实体断线,然後看arp封包是否正常。
解毒的方法我也try了蛮多次,发现它的传输途径不一,不过使用的东西都差不多
免疫档:
http://evansariel.googlepages.com/arpsolution.zip
这边下载的档案解压缩的时候里面有个macosx的资料夹不用理会,
因为我用的是mac系统作封装,所以有那个资料夹。
解完有四个档案,将中镖的电脑断线後重新开启至安全模式(管理员权限),
然後将三个dll档复制到windows/system32里(没中镖的电脑照理说没这些档案),
npf.sys那的档案复制到windows/system32/drivers里,
然後将这四个档案改成唯读,通常就能解决这台电脑伪装欺骗的问题了。
不过有电脑洁癖的人你就重灌吧!
这四个档案是arp攻击的一些主程式,这四个档案已经测试过使用正常,
帮以前的公司跟某社区网路的网管人员解决过问题,
目前没听到有什麽问题,不过最後还是要靠你们自己确定喔!!
不想到最後变成是我的问题QQ...我只是义务帮忙而已。
下一篇就讲网路架构的东西...不过有点懒就是了XD....
p.s. 请各位记住,如果你安装Packetyzer的话,
在你的windows/system32/drivers里就会多一个npf.sys,
这东西到底是什麽呢?听我慢慢道来~
这东西其实是winpcap的驱动程式,主要用来抓取网路装置上的封包,原本是用来给予网路或程式人员检测探测封包之用,不过arp伪装攻击这东西也用到了它...
在免疫档里也有这个档案,如果你有装packetyzer的话,假设覆盖了它,会使得packetyzer无法正常使用,这点请记住。
其他dll档在没有中arp伪装的电脑上是不会存在的,如果存在的人你就自己解了它吧。
三个dll档包括:
packet.dll,pthreadVC.dll,wpcap.dll
如果你有这三个档案就代表可能中镖了,你在cmd下面打arp -a看看,
你是否拥有整个网段的arp列表,如果有,而你又不是伺服器的话,
就代表你就是凶手~
--
http://sanature.blogspot.com/
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 118.169.1.225
1F:推 sapiakevin:在安装Packetyzer时,似乎会对你提供的四个档案进行写入 01/21 19:00
2F:→ sapiakevin:因为我之前有在网路上搜寻到你提供的这四个档,那要让他 01/21 19:01
3F:→ sapiakevin:修改吗? 01/21 19:02
4F:→ sapiakevin:因为我当时贴进去资料夹时,并没有覆盖等提示,所以我的 01/21 19:03
5F:→ sapiakevin:电脑应该没有中毒...! 01/21 19:03
6F:→ evansariel:文中有说,packetyzer需要npf.sys驱动,如果你要用 01/21 19:57
7F:→ evansariel:packetyzer就必须将windows/system32/drivers/npf.sys 01/21 19:58
8F:→ evansariel:解除唯读让它覆盖。 01/21 19:58
9F:→ evansariel:没有中毒增加你说的那四个档案可以预防被其他电脑传染 01/21 20:01
10F:→ evansariel:至於arp -s或antiarp是为了使网路能正常使用 01/21 20:02
11F:推 sapiakevin:那如果我绑arp -s 还是有部份网页开的慢慢的,那就是GW 01/22 12:35
12F:→ sapiakevin:那里出问题了吗? 感谢! 01/22 12:36
13F:→ evansariel:部份网页开得慢的因素就太多了,GW的loading变重的话也 01/22 12:59
14F:→ evansariel:会造成网路速度变慢,不然你可以tracert看看罗 01/22 13:00
15F:→ evansariel:例如在cmd打tracert www.google.com,看看是哪个节点 01/22 13:06
16F:→ evansariel:出了问题。 01/22 13:07
17F:推 sapiakevin:蛮奇怪的,我试过绑几组可能的GW mac,结果情况都差不多, 01/22 17:54
18F:→ sapiakevin:都是有些网页不能开,有些网页可以开...@@? 01/22 17:55
19F:→ sapiakevin:不是照理说如果绑到错误的GW mac应该就出不去了嘛...@@ 01/22 17:55
20F:→ sapiakevin:另外,还是很感谢你热心回覆喔!! 01/22 17:56
21F:→ evansariel:GW不对当然出不去啊,不过你说的是网页,看一下有没设 01/22 18:39
22F:→ evansariel:proxy吧 01/22 18:40
23F:→ evansariel:再往下这篇文就太长了,厘清arp欺骗的问题之後,其他问 01/22 18:51
24F:→ evansariel:题之後,剩下的问题可以换po在应当的版面罗 01/22 18:52
25F:→ evansariel:用加注方式很难回答完整XD...不知在打什麽 01/22 18:54
26F:推 sapiakevin:总之,先感谢大大热心协助罗,其他问题我再向计中询问罗! 01/22 22:01
27F:推 epephanylo:推推 02/26 20:41
28F:推 msAston:请问有被攻击的状况是会出现广告小视窗的吗? 03/11 21:53