Re: [問題] 關於ARP網路攻擊的疑問~希望大家解惑

作者evansariel (Sarod)

看板NetSecurity

標題Re: [問題] 關於ARP網路攻擊的疑問~希望大家解惑

時間Mon Jan 14 17:29:41 2008

※ 引述《loui921 (雨過天晴)》之銘言： : ※ [本文轉錄自 AntiVirus 看板] : 作者: loui921 (雨過天晴) 看板: AntiVirus : 標題: [問題] 關於ARP網路攻擊的疑問~希望大家解惑 : 時間: Sun Jan 13 02:23:18 2008 : 我不是中毒...預設的內容可以刪掉吼? : 我蒐尋打了一下ARP...查不到什麼資料... : 所以PO文詢問...如果PO錯地方請說一下~"~ : 最近我們學校常常遭受ARP網路攻擊 : 導致宿網非常不穩定 : 學校是直接把該中毒電腦的網路封鎖 : 讓他無法利用區域網路繼續攻擊其他電腦 : 但沒多久又會有新的電腦中類似的病毒 : 所以想請問一下有沒有比較好的預防方法 : 或者是殺毒感覺好像一般的防毒軟體沒辦法殺掉他 : 才會一直到現在都沒有解決良策 : 因為PO到一半...順便也問問推薦的防火牆 : 如果可以爬文找到~麻煩告知一下 : 因為我正在趕期末>"< : 只有時間大概看一下文 : 沒有很多時間去爬... : 最後~在此先謝謝大家的回答^^ arp攻擊的部份，問題在於網路的邏輯架構不完整，宿網又不太會去使用一個IP綁一個mac address的政策。因為你不是網管人員，所以這邊我就不提掃描跟找出兇手的方法，只提可以讓你不斷線的方法囉：首先先知道arp攻擊的大概方式，簡單來說，當你要找GateWay的IP時，會發送一個who has 10.0.0.1的arp封包，如果有中arp病毒的那台電腦這時就會發作，跟你講說它有10.0.0.1的位置，mac address是"它的mac address"。這樣你就找不到GateWay的mac address啦，然後就把封包都丟給那台偽裝的電腦。所以大部分都稱它為arp偽裝攻擊。再來說解決方法，打開cmd， 1.arp -a 查看你現在的arp列表 2.arp -d 清除所有arp列表 3.arp -s gatewate的mac address 將你gw的mac address手動綁定上面的指令重開機之後就會失效，你可以寫一個bat檔一開機就執行。 -- -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 118.169.3.55

→ evansariel:arp -s 10.0.0.1 mac-address才對少打了gw IP 01/14 17:32

推 loui921:謝謝幫忙~~~我想這樣已經可以解決很多人的問題了^^ 01/14 18:35

推 loui921:所以我要打arp -s 157.55.85.xxx 類似這樣? 01/14 18:46

→ loui921:而那IP就是getewate的mac address?? 01/14 18:47

→ evansariel:你先用ipconfig /all查你的GW IP跟address 01/14 21:36

→ evansariel:arp -s ip macaddress ，ip跟address都是閘道器的 01/14 21:36

→ evansariel:打的格式類似 arp -s 192.168.1.1 00:14:51:7c:d9:e0 01/14 21:38

推 sapiakevin:但怎樣才能確知Gateway的mac是正確的呢? 因為我反覆的 01/20 23:35

→ sapiakevin:arp -d 和 ping gateway'IP 再去arp -a裡面看,發現mac 01/20 23:35

→ sapiakevin:位址會變動,所以不知道哪個才是真的gateway的mac,哪個 01/20 23:36

→ sapiakevin:是中毒電腦的mac? 因為在學網,所以不知如何查起...囧 01/20 23:37

推 sapiakevin:另外開機執行的bat,要怎麼寫呢? 直接放在啟動內嗎? 01/20 23:40

→ evansariel:我將簡單的解決方式放在此頁，因為這東西還會變種，如 01/21 01:04

→ evansariel:如果有其他的問題再提問，因為這東西還蠻麻煩的 01/21 01:05

→ evansariel:http://sanature.blogspot.com/2008/01/arpclient.html 01/21 01:06

→ evansariel:解毒的我丟另一篇，也可以確認一下自己是否中毒。 01/21 02:04

推 sapiakevin:目前情況為部份網頁無法開啟,大大給的連結開不起來..@@ 01/21 14:41

推 sapiakevin:我用AntiARP跑出來的gateway mac 都是同一組,而用arp-a 01/21 14:45

→ sapiakevin:看到的GW mac卻會變動,真奇妙...囧 01/21 14:45

→ evansariel:我重新發一篇在下面了，希望能解決你的問題。 01/21 16:58

→ evansariel:因為AntiARP會先去確認GW的正常通道，arp這個指令單純 01/21 17:13

→ evansariel:只是給予使用者查看arp列表而已,不是修復工具,差別在此 01/21 17:13

→ evansariel:不過AntiARP算是使用第三方軟體來達成arp -s的功能，所 01/21 17:15

→ evansariel:以我不喜歡，萬一因此又中了木馬得不償失，故只介紹-s 01/21 17:15

推 sapiakevin:太感謝大大的熱心協助了...~~~ 我再跑跑看囉~ 01/21 18:28

推 loui921:謝謝大大的熱心協助>"< 01/22 10:27

→ evansariel:互相研究囉..反正我現在沒事作XD 01/22 18:55

推 mnmnqq:話說成大的宿網好像就是一個ip綁一個mac address? 02/23 02:24

推 mnmnqq:這篇好專業@@推!! 02/23 02:28