UC知道关于ARP攻击问题?
来源:百度知道 编辑:UC知道 时间:2024/05/20 22:05:05
为了防范我前一阵下了一个"ARP防火墙单机版" 防火墙官方网站是www.antiarp.com
此防火墙确实挺好的 只要是ARP攻击就能成功的拦截下来
但是最近我看防火墙的日志 发现一个用户的IP是英文 MAC会变 不知道因为什么
一下是日志的简短一部分:
48 2008-10-18 14:10:50 2008-10-18 14:10:50 192.168.018.189 43-2C-02-49-B2-0C unknown 非广播:回复 1
49 2008-10-18 14:10:50 2008-10-18 14:10:50 192.168.018.189 B4-31-C2-5F-A4-71 unknown 非广播:回复 1
50 2008-10-18 14:10:53 2008-10-18 14:10:53 192.168.018.189 AD-61-F7-78-E6-5E unknown 非广播:回复 1
51 2008-10-18 14:10:53 2008-10-18 14:10:53 192.168.018.189 DF-54-75-57-E5-14 unknown 非广播:回复 1
52 2008-10-18 14:10:56 2008-10-18 14:10:56 192.168.018.189 91-53-92-63-81-4C unknown 非广播:回复 1
53 2008-10-18 14:10:56 2008-10-18 14:10:56 192.168.018.189 C3-03-B7-21-91-6E unknown 非广播:回复 1
54 2008-10-18 14:11:00 2008-10-18 14:11:00
这是典型的ARP欺骗病毒
病毒发作的时候,可以看到所有的ip地址的mac地址被修改为00-e0-4c-8c-9a-47,正常的时候可以看到00-e0-4c-8c-9a-47的ip地址为192.168.0.131,就是这台机器中毒,将该机器的网线拔掉,再观察。
中毒的机器可能不止一台,请多观察。
进入机器dos窗口的方式为,点击“开始”,点击“运行”,键入command,回车,就可以进入dos窗口,然后就可以用arp –a命令查看IP地址和mac地址对应的情况。
工作流程:
首先,将本机MAC通过arp欺骗广播至局域网,使局域网中的工作站误认为本机是网关.该流程会造成局域网与internet连接中断,使游戏与服务器断开链接.待用户重新启动游戏并进行帐号登陆时,帐户信息并不会直接通过网关上传到代理服务器,而是上传到正在进行arp欺骗的传奇杀手软件中.通过传奇杀手自身的解密手段,会获得该帐户的真实用户名及密码.从而达到窃取玩家帐号的目的.
发作状况:
局域网与internet链接速度突然变慢甚至断开.网络游戏断开链接,且重新登陆后提示服务器无相应.
故障排除:
在局域网中受影响的客户机上执行arp -a,在回溃信息中会发现重复mac地址.该mac地址对应的即为使用传奇杀手的计算机.而重复的地址就是被arp欺骗后的网关地址.此时可根据mac地址前的ip地址查找该计算机并采取有效手段关闭程序.如果在运行该程序前,该机IP地址已经被更改,则需通过对应的MAC列表查找该物理网卡所存在的计算机.(由此可见,备份一张详细的局域网mac地址列表有多重要)
预防措施:
如工作站采用xp/2k3操作系统,可逐台执行"arp -s 网关ip 网关mac"来绑定网关的IP地址.
很遗憾,由于win2k/98及更低档次的操作系统中,arp防护功能并不完善,所以在大部分网吧,该程序并没有方便且经济的方法来预防.
1.在网关上生成mac列表,并设置网关上内网网卡防止ARP欺骗.
2.使用具有IP-MAC绑定功能的智能交换机,绑定