作者evansariel (Sarod)
看板NetSecurity
標題arp偽裝攻擊網管人員查找解毒
時間Mon Jan 21 16:57:32 2008
這一篇是給予網管人員的查找及解決方案,
之前我曾經嘗試過許多方法來查詢中arp偽裝的電腦,在這邊我提出幾種方式:
1.最土法煉鋼的方法,利用arp -a及GW的連接比對mac address,
當你看見有兩個不同的IP卻擁有同一個mac address時,
代表這個mac address的擁有者就是中鏢了。
2.查探DHCP伺服器的Log,當你見到DHCP的Log中,
有某台電腦常常無端跟你重新要IP,那台也是可能中鏢的電腦。
3.最後一種方式,透過第三方軟體,不過我個人感覺這種方式最有效率。
第一種軟體:ethereal(現在叫wireshark)
第二種軟體:Packetyzer
第一種不用介紹了,開放原碼的封包探測軟體。
我建議你在client端上裝Packetyzer就夠了,使用方式就是抓你那張網卡的封包,
然後去看看你電腦是不是一直收到arp封包。
例如你看到"同時間很多個"
arp: who has 192.168.1.1? Tell 192.168.1.100
這代表192.168.1.100這台電腦中鏢了,通常arp封包不會沒事狂發,
會同時間發送很多個代表有問題了,通常下面會有加上.1.1的mac address,
比對一下就知道它是不是出問題了。
利用這個方法將中鏢IP的電腦先實體斷線,然後看arp封包是否正常。
解毒的方法我也try了蠻多次,發現它的傳輸途徑不一,不過使用的東西都差不多
免疫檔:
http://evansariel.googlepages.com/arpsolution.zip
這邊下載的檔案解壓縮的時候裡面有個macosx的資料夾不用理會,
因為我用的是mac系統作封裝,所以有那個資料夾。
解完有四個檔案,將中鏢的電腦斷線後重新開啟至安全模式(管理員權限),
然後將三個dll檔複製到windows/system32裡(沒中鏢的電腦照理說沒這些檔案),
npf.sys那的檔案複製到windows/system32/drivers裡,
然後將這四個檔案改成唯讀,通常就能解決這台電腦偽裝欺騙的問題了。
不過有電腦潔癖的人你就重灌吧!
這四個檔案是arp攻擊的一些主程式,這四個檔案已經測試過使用正常,
幫以前的公司跟某社區網路的網管人員解決過問題,
目前沒聽到有什麼問題,不過最後還是要靠你們自己確定喔!!
不想到最後變成是我的問題QQ...我只是義務幫忙而已。
下一篇就講網路架構的東西...不過有點懶就是了XD....
p.s. 請各位記住,如果你安裝Packetyzer的話,
在你的windows/system32/drivers裡就會多一個npf.sys,
這東西到底是什麼呢?聽我慢慢道來~
這東西其實是winpcap的驅動程式,主要用來抓取網路裝置上的封包,原本是用來給予網路或程式人員檢測探測封包之用,不過arp偽裝攻擊這東西也用到了它...
在免疫檔裡也有這個檔案,如果你有裝packetyzer的話,假設覆蓋了它,會使得packetyzer無法正常使用,這點請記住。
其他dll檔在沒有中arp偽裝的電腦上是不會存在的,如果存在的人你就自己解了它吧。
三個dll檔包括:
packet.dll,pthreadVC.dll,wpcap.dll
如果你有這三個檔案就代表可能中鏢了,你在cmd下面打arp -a看看,
你是否擁有整個網段的arp列表,如果有,而你又不是伺服器的話,
就代表你就是兇手~
--
http://sanature.blogspot.com/
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 118.169.1.225
1F:推 sapiakevin:在安裝Packetyzer時,似乎會對你提供的四個檔案進行寫入 01/21 19:00
2F:→ sapiakevin:因為我之前有在網路上搜尋到你提供的這四個檔,那要讓他 01/21 19:01
3F:→ sapiakevin:修改嗎? 01/21 19:02
4F:→ sapiakevin:因為我當時貼進去資料夾時,並沒有覆蓋等提示,所以我的 01/21 19:03
5F:→ sapiakevin:電腦應該沒有中毒...! 01/21 19:03
6F:→ evansariel:文中有說,packetyzer需要npf.sys驅動,如果你要用 01/21 19:57
7F:→ evansariel:packetyzer就必須將windows/system32/drivers/npf.sys 01/21 19:58
8F:→ evansariel:解除唯讀讓它覆蓋。 01/21 19:58
9F:→ evansariel:沒有中毒增加你說的那四個檔案可以預防被其他電腦傳染 01/21 20:01
10F:→ evansariel:至於arp -s或antiarp是為了使網路能正常使用 01/21 20:02
11F:推 sapiakevin:那如果我綁arp -s 還是有部份網頁開的慢慢的,那就是GW 01/22 12:35
12F:→ sapiakevin:那裡出問題了嗎? 感謝! 01/22 12:36
13F:→ evansariel:部份網頁開得慢的因素就太多了,GW的loading變重的話也 01/22 12:59
14F:→ evansariel:會造成網路速度變慢,不然你可以tracert看看囉 01/22 13:00
15F:→ evansariel:例如在cmd打tracert www.google.com,看看是哪個節點 01/22 13:06
16F:→ evansariel:出了問題。 01/22 13:07
17F:推 sapiakevin:蠻奇怪的,我試過綁幾組可能的GW mac,結果情況都差不多, 01/22 17:54
18F:→ sapiakevin:都是有些網頁不能開,有些網頁可以開...@@? 01/22 17:55
19F:→ sapiakevin:不是照理說如果綁到錯誤的GW mac應該就出不去了嘛...@@ 01/22 17:55
20F:→ sapiakevin:另外,還是很感謝你熱心回覆喔!! 01/22 17:56
21F:→ evansariel:GW不對當然出不去啊,不過你說的是網頁,看一下有沒設 01/22 18:39
22F:→ evansariel:proxy吧 01/22 18:40
23F:→ evansariel:再往下這篇文就太長了,釐清arp欺騙的問題之後,其他問 01/22 18:51
24F:→ evansariel:題之後,剩下的問題可以換po在應當的版面囉 01/22 18:52
25F:→ evansariel:用加註方式很難回答完整XD...不知在打什麼 01/22 18:54
26F:推 sapiakevin:總之,先感謝大大熱心協助囉,其他問題我再向計中詢問囉! 01/22 22:01
27F:推 epephanylo:推推 02/26 20:41
28F:推 msAston:請問有被攻擊的狀況是會出現廣告小視窗的嗎? 03/11 21:53