2024年3月21日发(作者:)

如何精确定位进行 ARP 攻击 找到攻击源头

1.定位 ARP 攻击源头

主动定位方式:因为所有的 ARP 攻击源都会有其特征——网卡会处于混杂模式,可以

通过 ARPKiller 这样的工具扫描网内有哪台机器的网卡是处于混杂模式的, 从而判断这台

机 器有可能就是“元凶” 。定位好机器后,再做病毒信息收集,提交给趋势科技做分析处

理。

标注:网卡可以置于一种模式叫混杂模式(promiscuous ,在这种模式下工作的网卡能

够收到一切通过它的数据,而不管实际上数据的目的地址是不是它。这实际就是 Sniffer 工

作的基本原理:让网卡接收一切它所能接收的数据。

被动定位方式:在局域网发生 ARP 攻击时,查看交换机的动态 ARP 表中的内容,确定攻

击 源的 MAC 地址;也可以在局域居于网中部署 Sniffer 工具,定位 ARP 攻击源的 MAC 。

也可以直接 Ping 网关 IP ,完成 Ping 后,用 ARP – a 查看网关 IP 对应的 MAC 地址,

此 MAC 地址应该为欺骗的 , 使用 NBTSCAN 可以取到 PC 的真实 IP 地址、机器名和

MAC 地址,如果有” ARP 攻 击”在做怪,可以找到装有 ARP 攻击的 PC 的 IP 、机器名和

MAC 地址。

命 令 :“ nbtscan -r 192.168.16.0/24” (搜 索 整 个 192.168.16.0/24网 段 , 即

192.168.16.1-192.168.16.254 ; 或 “ nbtscan 192.168.16.25-137” 搜索

192.168.16.25-137 网段, 即 192.168.16.25-192.168.16.137。输出结果第一列是 IP 地

址,最后一列是 MAC 地址。 NBTSCAN 的使用范例:

假设查找一台 MAC 地址为“ 000d870d585f ”的病毒主机。

1将压缩包中的 和 解压缩放到 c:下。

2在 Windows 开始—运行—打开,输入 cmd (windows98输入“ command ” ,在

出现 的 DOS 窗口中输入:C: btscan -r 192.168.16.1/24(这里需要根据用户实际网段输

入 , 回车。

3通过查询 IP – MAC 对应表,查出“ 000d870d585f ”的病毒主机的 IP 地址为

“ 192.168.16.223” 。

通过上述方法,我们就能够快速的找到病毒源,确认其 MAC ——〉机器名和 IP 地址。

2.防御方法

a. 使用可防御 ARP 攻击的三层交换机,绑定端口 -MAC-IP ,限制 ARP 流量,及时发现

并自动阻断 ARP 攻击端口,合理划分 VLAN ,彻底阻止盗用 IP 、 MAC 地址,杜绝 ARP 的

攻击。

b. 对于经常爆发病毒的网络, 进行 Internet 访问控制, 限制用户对网络的访问。 此类

ARP 攻击程序一般都是从 Internet 下载到用户终端,如果能够加强用户上网的访问控制,就

能极 大的减少该问题的发生。

c. 在发生 ARP 攻击时,及时找到病毒攻击源头,并收集病毒信息,可以使用趋势科技 的

SIC2.0,同时收集可疑的病毒样本文件,一起提交到趋势科技的 TrendLabs 进行分析,

TrendLabs 将以最快的速度提供病毒码文件,从而可以进行 ARP 病毒的防御。