|
|
 |
|
|
| 1. Re:彻底解决ARP病毒的可能方法? |
  |
|
 |
|
HP : 1029 / 1715
MP : 4138 / 29477
EXP : 61%
|
|
rotartsinimdA
成员等级: 69
发表总数: 12415
金币总数: 429
所属组别: 管理员
注册日期: 2003/01/1
|
继续YY一下吧
| QUOTE |
集中式的解决方案的挑战在于:
1.如何识别和定位ARP攻击的来源?
2.有什么措施可用阻断这种攻击? -- 注意串接在网络中间的solution由于性能和功能问题有可能很难实现。
|
非常同意麦子这些话
特别是串接在网络中间的solution由于性能和功能问题有可能很难实现
那么只能是旁路设备
旁路设备定位和识别ARP攻击基本上只有2条路
1> SNIFFER
2> SNMP
SNIFFER的方式,部署起来有点恐怖,放在后面再考虑
SNMP的方式,可能也是一个残念
先说说SNMP的方式:
首先,要保证我们旁路的ARP攻击检测设备(以下简称ASK——ARP SPOOF KILLER)与其他网络设备的可靠的SNMP连接,采用什么方式比较好呢?
VLAN?ASK主动发ARP包维护网络设备的ARP表或者SWITCH的CAM Table?
似乎都不是一种好的方法,嗯,第一步就碰到了有点麻烦的问题。
假设,仅仅是假设,假设ASK与网络设备之间的通讯不会受到影响,那么怎么来检测和定位ARP攻击或者变种的ARP攻击呢?
再假设一下,ARP攻击发生在一台L2 SWITCH上,攻击者对整个网段除网关外的所有主机主动发起ARP应答企图冒充网关,L2 SWITCH上联L3 SWITCH
ARP TABLE
SWITCH CAM TABLE
在没有病毒的情况下,对于一个基本没有变化的网络,可以得到一个很全的IP-MAC对应表以及MAC-SWITCH PORT对应表,至少,能够知道在整个网络,哪些MAC地址是“合法”的。
对于固定IP的网络,这些信息可能非常有用,不过对于DHCP的网络,似乎有用的只有MAC-SWITCH PORT对应表以及各个VLAN的网关的IP-MAC对应表,有,总比没有强。
ARP攻击,多半是冒充网关发ARP应答,而且攻击的基本上都是整个网段
因此,这样的攻击会反馈到L3 SWITCH上,L3 SWITCH上的IP-ARP对应表会有异常变化,对比原有的正常数据,应该可以找到一个比较可疑的MAC,再通过其他技术定位到SWITCH PORT。
麻烦的是,若攻击不能反馈到L3 SWITCH,那么仅仅用SNMP来定位攻击好像比较困难。
真的是残念
处理ARP病毒到是比较简单,定位到SWITCH PORT后直接SHUTDOWN PORT,EMAIL通知管理员人工处理。
.....
明天再继续吧,估计到最后应该是SNIFFER+SNMP
xxbin@netbuddy.org |
|
|
|
| 2. RE: 彻底解决ARP病毒的可能方法? |
|
|
 |
|
HP : 0 / 450
MP : 139 / 7002
EXP : 3%
|
|
名动江湖
成员等级: 19
发表总数: 419
金币总数: 371
所属组别: 中级成员
注册日期: 2003/07/27
|
不太同意你的看法,当客户的网络的稳定程度达到可以让客户放心的地步,用户自然会上更多的业务到网络上。那时候新设备、新软件的业务对大家这些混IT的不就是新的大餐吗???
| QUOTE | 唉,如果让客户加强管理,可能偶们混IT的特别是搞网络的就没啥饭吃了
残念 |
签名
---
我喜欢的不是分蛋糕
签名
---
现有的蛋糕太小,做大点分起来分得更多
签名
---
那天我问你的事情到最后的发展印证了我的观点。
签名
---
教主,恕我冒犯了
签名
------
从明天起,做一个虔诚的人,
学习,科研,勤做笔记。
从明天起,关心过程与HOWTO,
我有一个愿望,面朝西方,跪拜xxbin。
拜xxbin教,您心灵的港湾。
|
|
|
|
| 3. Re:彻底解决ARP病毒的可能方法? |
|
|
 |
|
HP : 0 / 1
MP : 0 / 0
EXP : 0%
|
|
新手上路
成员等级: 1
发表总数: 1
金币总数: 11
所属组别: 普通成员
注册日期: 2008/03/12
|
被arp烦到了,来看看。
之前看过个帖子是手工更改客户端路由表,利用病毒并不查看routes 表的优先级来加假网关来防御……
不知道效果怎么样,可以的话倒是可以做批处理。 |
|
|
|
| 4. Re:彻底解决ARP病毒的可能方法? |
|
|
|
|
|
HP : 0 / 1
MP : 0 / 0
EXP : 0%
|
|
新手上路
成员等级: 1
发表总数: 1
金币总数: 11
所属组别: 普通成员
注册日期: 2008/07/8
|
我不是搞开发滴,不过可以写一个开机运行绑定mac的脚本再加上在交换机上绑定网关mac.双向绑定能预防arp病毒的问题
我有个BT的朋友将lan中所有机子都在交换机上做了mac静态绑定并且关闭了mac表的自动更新,client也全做了网关静态绑定.对arp攻击绝对免疫  |
|
|
|
| 5. Re:彻底解决ARP病毒的可能方法? |
|
|
|
|
|
HP : 0 / 1
MP : 0 / 0
EXP : 0%
|
|
新手上路
成员等级: 1
发表总数: 2
金币总数: 14
所属组别: Banned
注册日期: 2008/08/15
|
海蜘蛛网络科技提出了一种彻底解决ARP攻击和内网流量攻击的解决办法,不过是需要路由加客户端配合解决的,安装量虽大,但效果是100%。
其工作原理是通过加载网卡驱动,完全接管Windows的网络通信,从中分析ARP和攻击数据包,通过海蜘蛛路由协助,掌握局域网相关数据,并依据这些数据对客户机通信进行调整,从而从根本上解决ARP欺骗和内流流量攻击问题, 由于客户端直接与路由配合使用,这种模式的可靠性和效率远远大于一般的C/S(客户端/服务端)架构的同类软件。 |
|
|
