ARP欺騙木馬只需成功感染壹臺電腦,就可能導致整個局域網都無法上網,嚴重的甚至可能帶來整個網絡的癱瘓。該木馬發作時除了會導致同壹局域網內的其他用戶上網出現時斷時續的現象外,還會竊取用戶密碼。如盜取QQ密碼、盜取各種網絡遊戲密碼和賬號去做金錢交易,盜竊網上銀行賬號來做非法交易活動等,這是木馬的慣用伎倆,給用戶造成了很大的不便和巨大的經濟損失。
常用的維護方法
搜索網上,目前對於ARP攻擊防護問題出現最多是綁定IP和MAC和使用ARP防護軟件,也出現了具有ARP防護功能的路由器。呵呵,我們來了解下這三種方法。
3.1 靜態綁定
最常用的方法就是做IP和MAC靜態綁定,在網內把主機和網關都做IP和MAC綁定。
欺騙是通過ARP的動態實時的規則欺騙內網機器,所以我們把ARP全部設置為靜態可以解決對內網PC的欺騙,同時在網關也要進行IP和MAC的靜態綁定,這樣雙向綁定才比較保險。
方法:
對每臺主機進行IP和MAC地址靜態綁定。
通過命令,arp -s可以實現 “arp –s IP MAC地址 ”。
例如:“arp –s 192.168.10.1 AA-AA-AA-AA-AA-AA”。
如果設置成功會在PC上面通過執行 arp -a 可以看到相關的提示:
Internet Address Physical Address Type
192.168.10.1 AA-AA-AA-AA-AA-AA static(靜態)
壹般不綁定,在動態的情況下:
Internet Address Physical Address Type
192.168.10.1 AA-AA-AA-AA-AA-AA dynamic(動態)
說明:對於網絡中有很多主機,500臺,1000臺...,如果我們這樣每壹臺都去做靜態綁定,工作量是非常大的。。。。,這種靜態綁定,在電腦每次重起後,都必須重新在綁定,雖然也可以做壹個批處理文件,但是還是比較麻煩的!
3.2 使用ARP防護軟件
目前關於ARP類的防護軟件出的比較多了,大家使用比較常用的ARP工具主要是欣向ARP工具,Antiarp等。它們除了本身來檢測出ARP攻擊外,防護的工作原理是壹定頻率向網絡廣播正確的ARP信息。我們還是來簡單說下這兩個小工具。
3.2.1 欣向ARP工具
它有5個功能:
A. IP/MAC清單
選擇網卡。如果是單網卡不需要設置。如果是多網卡需要設置連接內網的那塊網卡。
IP/MAC掃描。這裏會掃描目前網絡中所有的機器的IP與MAC地址。請在內網運行正常時掃描,因為這個表格將作為對之後ARP的參照。
之後的功能都需要這個表格的支持,如果出現提示無法獲取IP或MAC時,就說明這裏的表格裏面沒有相應的數據。
B. ARP欺騙檢測
這個功能會壹直檢測內網是否有PC冒充表格內的IP。妳可以把主要的IP設到檢測表格裏面,例如,路由器,電影服務器,等需要內網機器訪問的機器IP。
(補充)“ARP欺騙記錄”表如何理解:
“Time”:發現問題時的時間;
“sender”:發送欺騙信息的IP或MAC;
“Repeat”:欺詐信息發送的次數;
“ARP info”:是指發送欺騙信息的具體內容.如下面例子:
time sender Repeat ARP info 22:22:22 192.168.1.22 1433 192.168.1.1 is at 00:0e:03:22:02:e8
這條信息的意思是:在22:22:22的時間,檢測到由192.168.1.22發出的欺騙信息,已經發送了1433次,他發送的欺騙信息的內容是:192.168.1.1的MAC地址是00:0e:03:22:02:e8。
打開檢測功能,如果出現針對表內IP的欺騙,會出現提示。可以按照提示查到內網的ARP欺騙的根源。提示壹句,任何機器都可以冒充其他機器發送IP與MAC,所以即使提示出某個IP或MAC在發送欺騙信息,也未必是100%的準確。所有請不要以暴力解決某些問題。
C. 主動維護
這個功能可以直接解決ARP欺騙的掉線問題,但是並不是理想方法。他的原理就在網絡內不停的廣播制定的IP的正確的MAC地址。
“制定維護對象”的表格裏面就是設置需要保護的IP。發包頻率就是每秒發送多少個正確的包給網絡內所有機器。強烈建議盡量少的廣播IP,盡量少的廣播頻率。壹般設置1次就可以,如果沒有綁定IP的情況下,出現ARP欺騙,可以設置到50-100次,如果還有掉線可以設置更高,即可以實現快速解決ARP欺騙的問題。但是想真正解決ARP問題,還是請參照上面綁定方法。
D. 欣向路由器日誌
收集欣向路由器的系統日誌,等功能。
E. 抓包
類似於網絡分析軟件的抓包,保存格式是.cap。
3.2.1 Antiarp
這個軟件界面比較簡單,以下為我收集該軟件的使用方法。
A. 填入網關IP地址,點擊[獲取網關地址]將會顯示出網關的MAC地址。點擊[自動防護]即可保護當前網卡與該網關的通信不會被第三方監聽。註意:如出現ARP欺騙提示,這說明攻擊者發送了ARP欺騙數據包來獲取網卡的數據包,如果您想追蹤攻擊來源請記住攻擊者的MAC地址,利用MAC地址掃描器可以找出IP 對應的MAC地址。
B. IP地址沖突
如頻繁的出現IP地址沖突,這說明攻擊者頻繁發送ARP欺騙數據包,才會出現IP沖突的警告,利用Anti ARP Sniffer可以防止此類攻擊。
C. 您需要知道沖突的MAC地址,Windows會記錄這些錯誤。查看具體方法如下:
右擊[我的電腦]--[管理]--點擊[事件查看器]--點擊[系統]--查看來源為[TcpIP]---雙擊事件可以看到顯示地址發生沖突,並記錄了該MAC地址,請復制該MAC地址並填入Anti ARP Sniffer的本地MAC地址輸入框中(請註意將:轉換為-),輸入完成之後點擊[防護地址沖突],為了使MAC地址生效請禁用本地網卡然後再啟用網卡,在CMD命令行中輸入Ipconfig /all,查看當前MAC地址是否與本地MAC地址輸入框中的MAC地址相符,如果更改失敗請與我聯系。如果成功將不再會顯示地址沖突。
註意:如果您想恢復默認MAC地址,請點擊[恢復默認],為了使MAC地址生效請禁用本地網卡然後再啟用網卡。
3.3 具有ARP防護功能的路由器
這類路由器以前聽說的很少,對於這類路由器中提到的ARP防護功能,其實它的原理就是定期的發送自己正確的ARP信息。但是路由器的這種功能對於真正意義上的攻擊,是不能解決的。
遭受ARP攻擊的最常見的特征就是掉線,壹般情況下不需要處理壹定時間內可以回復正常上網,因為ARP欺騙是有老化時間的,過了老化時間就會自動的回復正常。現在大多數路由器都會在很短時間內不停廣播自己的正確ARP信息,使受騙的主機回復正常。但是如果出現攻擊性ARP欺騙(其實就是時間很短的量很大的欺騙ARP,1秒有個幾百上千的),它是不斷的發起ARP欺騙包來阻止內網機器上網,即使路由器不斷廣播正確的包也會被他大量的錯誤信息給淹沒。
可能妳會有疑問:我們也可以發送比欺騙者更多更快正確的ARP信息啊?如果攻擊者每秒發送1000個ARP欺騙包,那我們就每秒發送1500個正確的ARP信息!
面對上面的疑問,我們仔細想想,如果網絡拓撲很大,網絡中接了很多網絡設備和主機,大量的設備都去處理這些廣播信息,那網絡使用起來好不爽,再說了會影響到我們工作和學習。ARP廣播會造成網絡資源的浪費和占用。如果該網絡出了問題,我們抓包分析,數據包中也會出現很多這類ARP廣播包,對分析也會造成壹定的影響。