2013年5月21日下午至5月22日,ARP攻击校园网,导致全校大面积不了上网,领导急,压力大,整理下文章.
由于ARP欺骗攻击,利用了ARP协议的设计缺陷,光靠包过滤、IP+MAC+端口绑定等传统办法是比较难解决的。
通过对ARP欺骗攻击原理的剖析,如果要防御该类型攻击,最理想的办法是在接入层对ARP报文进行内容有效性检查,对于没有通过检查的报文进行丢弃处理。在接入层交换机上采取的这种技术,我们称为ARP入侵检测
# ARP –a
查看本机ARP缓存,正常情况下第一栏打印本机IP地址,第二栏返回当前网关的IP地址和MAC地址。
正常模式:网络中只有一个网关,客户机arp -a 只有一条arp记录,并且这条记录是当前网关的IP --> MAC 的映射。
混杂模式:当ARP缓存中arp有多条IP -->MAC 的记录,说明当前为混杂模式,网的网关不是唯一的.
ARP入侵检测
ARP攻击检测方案
1. 尝试使用"arp -a"命令查看本地ARP缓存表,查找重复MAC地址或错误的网关地址。
2. 尝试使用nbtscan.exe工具扫描分析网内IP地址与MAC地址。
3. 尝试使用"ping"命令测试本机与其他内网主机的延迟时间,延迟高则可疑。
4. 尝试使用金山贝壳ARP防火墙拦截ARP攻击数据包,根据攻击拦截日志进行判断。
5. 尝试使用"彩影ARP防火墙(原AntiARPSniffer)"分析流量,查找可疑攻击源。
6. 尝试使用"WireShark"、"科来网络分析系统"、"Sniffer Pro"等嗅探分析软件对网络数据进 行抓包检测,查找发布大量Broadcast类数据包源主机及其他无请求响应类ARP数据包发送源,或根据ARP包头源MAC地址与二层以太网数据帧SA字段进行比较,查看其是否一致来判断是否遭受ARP病毒攻击。
7. 开启“诺顿企业版防护软件”网络威胁保护一项中的“防御MAC地址欺骗”功能。 [其他杀毒软件亦同]
8. 尝试使用"折半法"(每次切断一半主机的网络连接)分析判断病毒源主机物理位置。
9. 尝试登陆路由器,检查DHCP分配日志信息与ARP缓存表,再做IP/MAC地址绑定。
10. 尝试登陆交换机,查看MAC地址表,查找可疑MAC对应物理端口号,确定主机位置。 或开启"端口镜像"技术使用其他PC做旁侧流量的分析判断。
11. 根据交换机数据传输状态指示灯闪烁频率,判断病毒源,频次高则可疑。
12. 检测路由器是否开启了Proxy ARP造成网络中存在大量ARP广播风暴或ARP扫描类数据 包,从而导致相关软件报告攻击。