由于今天刚好碰到了一个ARP攻击的。所以今天就献丑一下。把处理方式写一下。ARP的原理我就不多说了。网上一大堆。直接讲操作。没有什么技术含量。请君莫笑。这只是一个案例而已。
今天接到一个客户的投诉他的网站被添加了一段<iframe http://..... /frame>代码。但是服务器上的网页源文件里却没有,直觉告诉我们,一定又是ARP在做怪了。由于事先已经安装了ARP防火墙。但是只能检测到攻击。却不能够抵御住攻击。通过软件自带的日志发现其MAC地址是00-0B-6A-5D-79-12 检测IP地址为192.168.1.143(为了方便就随便写一个IP了。)但是奇怪的是192.168.1.143这个IP并没有用。ping telnet 都是不通的。怀疑有伪造IP的嫌疑。先不管了。反正我们有MAC在。直接上交换机查MAC对应的端口。show mac-address-table dynamic 000B.6A5D.7912 昏。。。。一号端口。这不是我们的交换机的端口么。。本来以为只要有MAC地址通过查询MAC和端口的对应关系。找到端口号,直接封端口就完了的事。看来是泡汤了。
上面的办法失效了。再从服务器上下手,我想你修改我的通信数据包。我的数据肯定要经过攻击者的MAC。也就是攻击者在对服务器进行攻击的时候肯定在ARP包中修改了交换机的MAC地址。然后再转发数据包。于是从ARP缓存里下手查一下,或许能够找到点蛛丝马迹。
登陆服务器arp -a 竟然发现有2条信息。大家都知道一般情况下是只有一条的。
Internet Address Physical Address Type
192.168.0.1 00-0B-6A-5D-79-12 dynamic 这是正确的网关地址
192.168.0.136 00-0B-6A-5D-79-12 dynamic
到这里不用说了,。大家应该都知道是谁在搞鬼了。没错,就是这个192.168.0.136这台机器。剩下的不说了。找到该IP对应的机器。关机、拔线、封端口。随便你了。
我把192.168.0.136这台机器的端口封掉以后。天下终于太平了。
写这个文章,说实话我都觉得有点汗颜。。并没有什么独特之处。。只是在思路上稍微做了一点点变化。以前我们都是有软件直接查到攻击者的IP、MAC,然后交换机上直接封掉就可以了。这里不一样了。希望大家看过后能够说一点自己在处理此类问题的心得。大家共同学习。共同进步嘛。
1450
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
