廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 9895 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
superwisely
個人文章 個人相簿 個人日記 個人地圖
小有名氣
級別: 小有名氣 該用戶目前不上站
推文 x6 鮮花 x22
分享: 轉寄此文章 Facebook Plurk Twitter 版主評分 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[病毒蠕蟲] 定位ARP攻擊源頭和防禦方法
三、定位ARP攻擊源頭和防禦方法
1.定位ARP攻擊源頭

主動定位方式:因為所有的ARP攻擊源都會有其特徵——網卡會處於混雜模式,可以通過ARPKiller這樣的工具掃瞄網內有哪台機器的網卡是處於混雜模式的,從而判斷這台機器有可能就是「元兇」。定位好機器後,再做病毒信息收集,提交給趨勢科技做分析處理。

標註:網卡可以置於一種模式叫混雜模式(promiscuous),在這種模式下工作的網卡能夠收到一切通過它的資料,而不管實際上資料的目的地址是不是它。這實際就是Sniffer工作的基本原理:讓網卡接收一切它所能接收的資料。

被動定位方式:在局域網發生ARP攻擊時,查看交換機的動態ARP表中的內容,確定攻擊源的MAC地址;也可以在局域居於網中部署Sniffer工具,定位ARP攻擊源的MAC。

也可以直接Ping網關IP,完成Ping後,用ARP –a查看網關IP對應的MAC地址,此MAC地址應該為欺騙的MAC。

使用NBTSCAN可以取到PC的真實IP地址、機器名和MAC地址,如果有」ARP攻擊」在做怪,可以找到裝有ARP攻擊的PC的IP、機器名和MAC地址。

命令:「nbtscan -r 192.168.16.0/24」(搜索整個192.168.16.0/24網段、即192.168.16.1-192.168.16.254);或「nbtscan 192.168.16.25-137」搜索192.168.16.25-137 網段,即192.168.16.25-192.168.16.137。輸出結果第一列是IP地址,最後一列是MAC地址。

NBTSCAN的使用範例:

假設查找一台MAC地址為「000d870d585f」的病毒主機。

1)將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:下。

2)在Windows開始—運行—打開,輸入cmd(windows98輸入「command」),在出現的DOS窗口中輸入:C: btscan -r 192.168.16.1/24(這裡需要根據用戶實際網段輸入),回車。

3)通過查詢IP--MAC對應表,查出「000d870d585f」的病毒主機的IP地址為「192.168.16.223」。

通過上述方法,我們就能夠快速的找到病毒源,確認其MAC——〉機器名和IP地址。



2.防禦方法

a.使用可防禦ARP攻擊的三層交換機,綁定連接埠-MAC-IP,限制ARP流量,及時發現並自動阻斷ARP攻擊連接埠,合理劃分VLAN,徹底阻止盜用IP、MAC地址,杜絕ARP的攻擊。

b.對於經常爆發病毒的網路,進行Internet訪問控制,限制用戶對網路的訪問。此類ARP攻擊程序一般都是從Internet下載到用戶終端,如果能夠加強用戶上網的訪問控制,就能極大的減少該問題的發生。

c.在發生ARP攻擊時,及時找到病毒攻擊源頭,並收集病毒信息,可以使用趨勢科技的SIC2.0,同時收集可疑的病毒樣本檔案,一起提交到趨勢科技的TrendLabs進行分析,TrendLabs將以最快的速度提供病毒碼檔案,從而可以進行ARP病毒的防禦。

此文章被評分,最近評分記錄
財富:50 (by upside) | 理由: 感謝提供資訊 數位男女因你而豐富



Hello~
獻花 x1 回到頂端 [樓 主] From:台灣中華電信 | Posted:2006-11-15 17:20 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.094278 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言