防范ARP欺骗的一种方法 |
|
精华序号:80
来自论坛:小熊在线 《网络论坛》
原始帖子:.
内容说明:
- 防范ARP欺骗的一种方法(753字) 滚珠轴承 (170838)于2007/01/22(09:00:37)..
研究了不少网吧的ARP病毒变种,现在的ARP病毒真是好厉害,对装了ARP保护神的机器可以搞到机器差不多瘫痪。
曾考虑过使用arpdog进行实时检测,在发现有机器试图欺骗时对该机也发起个ARP攻击,造成它掉线。不过研究之后发现这也不是个好办法,中病毒的机器会不停地发包,直到它认为达到目的为止。机器会同时对网关和欺骗目标广播大量的ARP更新请求,这样就造成网络不堪负荷,相当于DDOS攻击了。
另一个办法是关闭网卡的ARP响应,只使用静态ARP表。前提是需要在服务器和客户机上做好双向绑定。
当关闭服务器的ARP响应后,通常病毒在刚启动时,第一件事就是发送ARP请求要求获得网关的MAC地址,但是石沉大海,无法获得响应,病毒当时就抓瞎了,根据实际监测,这时候病毒就处于沉默期,会停一段时间以后继续向网关发个ARP请求包,但是无法进行下步欺骗了。
客户机则已经静态绑定了网关的MAC地址,上网不受影响。
Linux早就实现了可以关闭网卡上的ARP响应,不知道为什么,很少有人用到这个。似乎只有很坚固的系统才会用到。
ARP病毒发作的前提:一是要获得网关的MAC;二是要获得被欺骗的机器的MAC;三是可以刷新掉MAC缓存;四是重定向被欺骗机器的路由。
除了第一条可以在网关服务器上进行设置来解决,其他都很难做到完全保护好。
关闭网卡的ARP响应后,病毒还是可以获得同网段其他机器的MAC地址,根据监测,此时病毒只能偶尔、随意地发几个包,不足以造成掉线的状况。
关闭网卡的ARP响应可能是最彻底的解决办法,也可以抵抗今后出现的ARP病毒变种。其他的主动对抗措施只有50%的成功概率,代价是可能引起网络瘫痪。
对抗ARP欺骗,也可以从windows客户端想办法,打一些免疫补丁,禁止接受重定向包等,来加固windows。也可以使用高级一点的交换机,在交换机上就做端口和MAC的绑定。
- ◎ 网上一些所谓的免疫补丁,只不过是不安winpopup安装成功,这对于用PUBWIN记费的网吧跟本没用,因为PUBWIN本身就需要winpopup(84字) 刘十九 (170852)于2007/01/22(15:47:44)..
至于其它免疫补丁我还没找到过。
网吧操作系统WINXP SP1
网卡:8139(集成地)
中心交换机:DES-1226G
路由器:ROS2。9。26 网卡:82559
滚珠轴承你有什么意见。
- 搜一下彩蝶软件,它的网站有免费版的AntiArpSniffer,很好用,能保证单机正常上网(21字) 滚珠轴承 (170853)于2007/01/22(16:29:39)..
或者到我的网盘上下这个软件:xfgsj.ys168.com
- ◎ 这软件升级包分成了客户端和服务端。前段时间下载来看了看,并没有在网吧内批量安装(77字) 刘十九 (170900)于2007/01/24(00:10:04)..
对于这个关闭网卡的ARP响应,只使用静态ARP表
技术感兴趣,就是不知如何操作。。MAC地址路由器已经绑定。客户机也绑定了网关的IP地址。但一些ARP攻击还是无法防住
- 删帖子伤积极性,只有把技术帖顶上去,让广告帖沉下去算了(空) 20km无线联网 (170850)于2007/01/22(11:21:44)..
本论坛由小熊在线(www.beareyes.com)joyt制作及维护