局域网中受ARP欺骗攻击后的解决方法
【故障现象】当局域网内某台主机运行arp欺骗的木马程序时,会欺骗局域网内所有主机和安全网关,让所有上网的流量必须经过病毒主机。其他用户原来直接通过安全网关上网现在转由通过病毒主机上网,切换的时候用户会断一次线。
切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。
由于arp欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当arp欺骗的木马程序停止运行时,用户会恢复从安全网关上网,切换过程中用户会再断一次线。
【快速查找】在webuià系统状态à系统信息à系统历史记录中,看到大量如下的信息:
mac spoof 192.168.16.200
mac old 00:01:6c:36:d1:7f
mac new 00:05:5d:60:c7:18
这个消息代表了用户的mac地址发生了变化,在arp欺骗木马开始运行的时候,局域网所有主机的mac地址更新为病毒主机的mac地址(即所有信息的mac new地址都一致为病毒主机的mac地址)。
同时在安全网关的webuià高级配置à用户管理à读arp表中看到所有用户的mac地址信息都一样,或者在webuià系统状态à用户统计中看到所有用户的mac地址信息都一样。
如果是在webuià系统状态à系统信息à系统历史记录中看到大量mac old地址都一致,则说明局域网内曾经出现过arp欺骗(arp欺骗的木马程序停止运行时,主机在安全网关上恢复其真实的mac地址)。
在上面我们已经知道了使用arp欺骗木马的主机的mac地址,那么我们就可以使用nbtscan(下载地址:http://www.utt.com.cn/upload/nbtscan.rar)工具来快速查找它。
nbtscan可以取到pc的真实ip地址和mac地址,如果有”传奇木马”在做怪,可以找到装有木马的pc的ip/和mac地址。
命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段,即192.168.16.25-192.168.16.137。输出结果第一列是ip地址,最后一列是mac地址。
nbtscan的使用范例:
假设查找一台mac地址为“000d870d585f”的病毒主机。
1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:\下。
2)在windows开始à运行à打开,输入cmd(windows98输入“command”),在出现的dos窗口中输入:c:\nbtscan -r 192.168.16.1/24(这里需要根据用户实际网段输入),回车。
通过查询ip--mac对应表,查出“000d870d585f”的病毒主机的ip地址为“192.168.16.223”。</p>
<p> 【解决办法】 </p>
<p> 采用双向绑定的方法解决并且防止arp欺骗。 </p>
<p> 1、在pc上绑定安全网关的ip和mac地址: </p>
<p> 1)首先,获得安全网关的内网的mac地址(例如hiper网关地址192.168.16.254的mac地址为0022aa0022aa<webuià基本配置à局域网端口mac地址>)。 </p>
<p> 2)编写一个批处理文件rarp.bat内容如下: </p>
<p> @echo off </p>
<p> arp -d </p>
<p> arp -s 192.168.16.254 00-22-aa-00-22-aa </p>
<p> 将文件中的网关ip地址和mac地址更改为实际使用的网关ip地址和mac地址即可。 </p>
<p> 将这个批处理软件拖到“windowsà开始à程序à启动”中。 </p>
<p> 3)如果是网吧,可以利用收费软件服务端程序(pubwin或者万象都可以)发送批处理文件rarp.bat到所有客户机的启动目录。windows2000的默认启动目录为“c:\documents and settings\all users「开始」菜单程序启动”。 </p>
<p> 2、在安全网关上绑定用户主机的ip和mac地址: </p>
<p> 在webuià高级配置à用户管理中将局域网每台主机均作绑定。 </p>
<p><img src=)
- · 超级DIY WindowsXP登录界面自己做
- · 黑客攻击揭密-分析选定的网络攻击
- · 打破常规 构造特殊字符进行渗透入侵
- · 实用技巧:如何全面抵制黑客攻击
- · 木马“加/脱壳”的详细实现过程
- · 黑客横行的时代 URL地址都会说谎
- · 网管必知 路由器保护内网安全九大步骤
- · 入侵技巧 通过“鼠洞”控制你的电脑
- · 网管必知 严禁即时通信工具使用代理
- · 火眼金睛识木马 木马画皮伪装七计
- · 实例讲解 黑客入侵论坛各种手段大暴光
- · 互联网的巨大威胁 ICMP洪水攻击浅析
- · 查杀耗尽CPU资源的Explored病毒
- · CCNP路由精华7:在可扩展的网络中实施BGP
- · CCNP路由精华6:配置基本的边界网关协议
- · CCNP路由精华4:互连多个OSPF区域
- · CCNP路由精华5:配置EIGRP
- · CCNP路由精华3:在单个区域办配置OSPF
- · IE收藏夹也可以按名称排序
- · 网管必备 校园网的主动防护策略配置实例
- · Windows 2000/XP在局域网内批量升级
- · 黑客经常更改的系统配置文件及注册表
- · 底层安全——路由篇
- · 黑客实施攻击的步骤与方法
- · 关闭包藏祸心的危险端口
- · 几个易被误认为病毒的文件
- · 没有电脑的入侵 深入浅出社会工程学
- · 通过asp木马配合serv-u取得管理员权限
- · 信息安全的隐患-GoogleHacking原理和防范
- · 用Wingate5.02设置网站过滤
- · 澄清Web网站安全性的五个误解
- · 中国黑客谱系
- · Microsoft RSS Feed 产品索引
- · HONEYPOT(蜜罐)技术
- · 网卡网络配置基础
- · 教你如何调试思科路由器
- · 百炼成钢-打磨你的Outpost防火墙
- · 卡巴斯基杀毒软件优化设置指南
- · Internet Explorer 7 的新图标
- · 255台以上电脑网络互连,IP的分配
- · 高危病毒预警:近日可能爆发大规模蠕虫病毒
- · 无线上网有了新突破--CDMA1X亮相十运会 最高传输速率达2.4Mbps
- · Google、雅虎搜索技术大比拼
- · 详解六大QQ病毒特征及清除方法
- · 浅析ICMP洪水攻击
- · 互联--破解卡卡系统
- · 设置磁盘读写权限 彻底封杀QQ的各种广告
- · 金梅电影系统破解笔记(破解率80%以上)
- · DLL木马揭秘
- · 游戏外挂基本原理及实现
- · Word 2003的10个小技巧
- · 如何在Windows 2003中得到登陆密码
- · 让ADSL永不断线 实战
- · Md5密码破解武器大揭密
- · 网络钓鱼式攻击 挂QQ等级网站
- · 获得leadbbs论坛站webshell后进后台最简便之法
- · 菜鸟入门:webshell是什么?
- · PHP注入+MYSQL=SYSTEM权限
- · 高端系统FreeBSD 照样给你溢出
- · 清除恶意RM文件的弹出窗口广告