局域網受ARP欺騙攻擊后的解決方法(圖)

2019-11-05 03:09:09

字體：大中小

來源：轉載

供稿：網友

【故障現象】當局域網內某臺主機運行ARP欺騙的木馬程序時，會欺騙局域網內所有主機和安全網關，讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過安全網關上網現在轉由通過病毒主機上網，切換的時候用戶會斷一次線。
　　
　　切換到病毒主機上網后，假如用戶已經登陸了傳奇服務器，那么病毒主機就會經常偽造斷線的假像，那么用戶就得重新登錄傳奇服務器，這樣病毒主機就可以盜號了。
　　
　　由于ARP欺騙的木馬程序發作的時候會發出大量的數據包導致局域網通訊擁塞以及其自身處理能力的限制，用戶會感覺上網速度越來越慢。當ARP欺騙的木馬程序停止運行時，用戶會恢復從安全網關上網，切換過程中用戶會再斷一次線。
　　
　　【快速查找】在WebUIà系統狀態à系統信息à系統歷史記錄中，看到大量如下的信息:
　　
　　MAC SPOOF 192.168.16.200
　　
　　MAC Old 00:01:6c:36:d1:7f
　　
　　MAC New 00:05:5d:60:c7:18
　　
　　這個消息代表了用戶的MAC地址發生了變化，在ARP欺騙木馬開始運行的時候，局域網所有主機的MAC地址更新為病毒主機的MAC地址(即所有信息的MAC New地址都一致為病毒主機的MAC地址)。
　　
　　同時在安全網關的WebUIà高級配置à用戶治理à讀ARP表中看到所有用戶的MAC地址信息都一樣，或者在WebUIà系統狀態à用戶統計中看到所有用戶的MAC地址信息都一樣。
　　
　　假如是在WebUIà系統狀態à系統信息à系統歷史記錄中看到大量MAC Old地址都一致，則說明局域網內曾經出現過ARP欺騙(ARP欺騙的木馬程序停止運行時，主機在安全網關上恢復其真實的MAC地址)。
　　
　　在上面我們已經知道了使用ARP欺騙木馬的主機的MAC地址，那么我們就可以使用NBTSCAN(下載地址:http://www.utt.com.cn/upload/nbtscan.rar)工具來快速查找它。
　　
　　NBTSCAN可以取到PC的真實ip地址和MAC地址，假如有”傳奇木馬”在做怪，可以找到裝有木馬的PC的IP/和MAC地址。
　　
　　命令:“nbtscan -r 192.168.16.0/24”(搜索整個192.168.16.0/24網段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 網段，即192.168.16.25-192.168.16.137。輸出結果第一列是IP地址，最后一列是MAC地址。
　　
　　NBTSCAN的使用范例:
　　
　　假設查找一臺MAC地址為“000d870d585f”的病毒主機。
　　
　　1)將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:/下。
　　
　　2)在Windows開始à運行à打開，輸入cmd(windows98輸入“command”)，在出現的DOS窗口中輸入:C:/nbtscan -r 192.168.16.1/24(這里需要根據用戶實際網段輸入)，回車。
　　　局域網受ARP欺騙攻擊后的解決方法(圖)

　　3)通過查詢IP--MAC對應表，查出“000d870d585f”的病毒主機的IP地址為“192.168.16.223”。
　　
　　【解決辦法】
　　
　　采用雙向綁定的方法解決并且防止ARP欺騙。
　　
　　1、在PC上綁定安全網關的IP和MAC地址：
　　
　　1）首先，獲得安全網關的內網的MAC地址（例如HiPER網關地址192.168.16.254的MAC地址為0022aa0022aa）。
　　
　　2）編寫一個批處理文件rarp.bat內容如下：
　　
　　@echo off
　　
　　arp -d
　　
　　arp -s 192.168.16.254 00-22-aa-00-22-aa
　　
　　將文件中的網關IP地址和MAC地址更改為實際使用的網關IP地址和MAC地址即可。
　　
　　將這個批處理軟件拖到“windowsà開始à程序à啟動”中。
　　
　　3）假如是網吧，可以利用收費軟件服務端程序（pubwin或者萬象都可以）發送批處理文件rarp.bat到所有客戶機的啟動目錄。Windows2000的默認啟動目錄為“C:/Documents and Settings/All Users「開始」菜單程序啟動”。
　　
　　2、在安全網關上綁定用戶主機的IP和MAC地址：
　　
　　在WebUIà高級配置à用戶治理中將局域網每臺主機均作綁定。
　　
　局域網受ARP欺騙攻擊后的解決方法(圖)