面对30p/s的arp攻击我哭笑不得。。。。

karlpopper · 发表于 2008-10-17 00:22:48

居住环境：出租屋
网络环境：TPLINK宽带小路由 2M 电信 8口小交换机星型网络
网络状况：人均带宽不足
突出矛盾：人均带宽不足还有人搞东搞西
=====================================================
虽然网络本来是慢了点，不过我们也没啥要求，最多就是看个新闻啥的，慢点就慢点，总能打开。
后来发觉有人发ARP欺骗，说自己是网关，频率还很高，达到30包一秒，打开SNIFFER一看满眼的ARP，十分气愤，但这也不比公司能够实施行政手段，我没管理权，被欺骗就有被欺骗的风险，我可不想让我的数据被人随意的窃听。
那。。。
arp -s一下事实证明无效。。。。
搞了反而彻底和外网无缘了，什么都打不开了。
没办法装个360的ARP防火墙，心想这下能搞定了吧，不过毛病依旧，所以在这里被ARP骚扰的朋友千万别选这个360，不管用的。
但我当时不知道360不行啊，竟然显示0攻击，这还了得，防火墙都饶过去了？？网还是上不上。
我彻底气急败坏了，用winarpattacker以大概4000p/s的速度flood他，我知道那家伙肯定鼠标都动不了了，但是我依旧是上不去网这解决不了问题
问题出现转机是在我决定换掉360之后，换上了金山的ARP防火墙，瞬间痛快了。
不过我实际的工作环境主要还是在LINUX下面，我也arp -f也arpping过统统没用
其他的办法暂时没试。终于忍不住跑去那家探了一下究竟，却发现他们家卡吧司机，360都有装，也不报毒！更找不到网管软件的影子，我是着实郁闷了。。。。简单的处理了一下，好了一天不过到了今天晚上再次不行了，也不知道问题具体出在哪里。。。
我也实在没心思去搞他们的污七八糟的东西，但不搞我的LINUX能怎么办呢？
鄙视一下如今的某些杀毒软件。。。。
想想明天要不我给自己架个基于WINDOWS的防火墙把LINUX放到防火墙后面好了。。。。
牢骚牢骚
平时所学所用在这个ARP前面都成废品了。。。。

karlpopper · 发表于 2008-10-17 01:56:46

我也没什么好解决办法了
明天尝试过去做个系统做点预防措施但实际估计是无效的毕竟机器的控制权在他的手里他是有意还是无意的我是没心思揣测
再把路由的帐号要过来做个网关上的绑定比较好。
毕竟我能杜绝他欺骗我的机器但不能杜绝他欺骗网关。

karlpopper · 发表于 2008-10-17 01:59:00

补充一下 360那个不行我估计有一定的可能是他发送数据包的频率较低对频率较高的攻击（即向网关报告假我的机器的MAC）没有什么效果
毕竟好像谁喊的快谁是老大啊。。。。。

[ 本帖最后由 karlpopper 于 2008-10-17 02:13 编辑 ]

karlpopper · 发表于 2008-10-17 06:06:23

arping -A -c xxxxx -w xxx -s local -I interface gw
linux下默认是有arping这个命令的可以用来不断的向目标机器发送reply的包但速度也是太慢。。。。

liuheliuxi · 发表于 2008-10-17 07:58:29

如果你没有管理权，也没法阻止别人发病毒，又不愿意黑人家，那么除了比ARP速度，我还真不知道有什么办法了

紫金山 · 发表于 2008-10-17 09:57:10

发现他们家卡吧司机，360都有装，也不报毒！这个安装它干吗……

karlpopper · 发表于 2008-10-17 19:40:19

找到原因了是他在偷用P2POVER

雪海梦 · 发表于 2008-10-17 21:41:48

还是装个正规的防火墙才保安全,360的纯粹是摆设,当然不会起作了!

pctemplar · 发表于 2008-10-17 23:18:34

同情LZ的遭遇害！我和你们情况差不多，只不过我是房东，掌管网络生杀大权。
可惜啊，人家看P2P网络电视、迅雷+BT疯狂下载这些我也管不着啊！
我一直在用路由绑定（支持最多8个IP/MACARP绑定），再多一台机器就不能用了
安全策略只允许最多8台电脑。机器再多几台的话，到时候就只能用P2P终结者管理它们了。

只是一个神话 · 发表于 2008-10-18 21:53:25

P2POVER是双向欺骗的，你在本机装ARP防火墙当然就不管用了，而且不装可能还能上网，装了就彻底断了。所以这不是ARP防火墙的问题。

[ 本帖最后由只是一个神话于 2008-10-18 21:56 编辑 ]

karlpopper · 发表于 2008-10-18 22:32:15

金山ARP防火墙是会发送10-50P/S的数据包通知网关正确的本机MAC的
360没这个功能

只是一个神话 · 发表于 2008-10-19 13:02:41

首先，我对我10楼的错误言论表示歉意，昨天没有做测试就想当然的发表了意见，不好意思。

今天做了P2POVER的测试，发现实际操作中，P2POVER使用的是单向欺骗，它只欺骗客户机，而没有欺骗网关。测试过程中我使用了两个ARP防火墙，分别是360ARP防火墙和瑞星的ARP防火墙，在这个测试过程中都没有主动发送任何数据包。LZ说的金山ARP我没用过，有机会把金山和ANTIARP都测试一下。

既然P2POVER是单向欺骗的，那么，只要在本机实现单向绑定即可。LZ出现的现象应该不是P2POVER所导致的。如果是P2POVER的ARP攻击，只要你正常运行了360和瑞星防火墙，都不会造成断网。

karlpopper · 发表于 2008-10-19 16:52:39

版主考虑过这个问题没有
就是P2POVER在控制状态下是单向的欺骗
但是他的功能并不是只是欺骗数据包还可以达到所谓限速以及禁止上网的效果
也就是说在平时单纯的处于控制状态的情况下是只是单向欺骗
但是一旦那个人想不让其他人上双向欺骗就出现了
我大概是这么个思路实际也没细看因为没有P2POVER加之对网关应该是非广播的

karlpopper · 发表于 2008-10-19 17:01:10

不过我不确定他的限制上网是不是把scr 和dst给搞成一个发送IP冲突
当时我的确是没遇到IP冲突又联系不到网关的
而且我是已经绑定了的对于其他的HOST好似没有受到实质影响所以有了这个想法

只是一个神话 · 发表于 2008-10-19 18:46:05

原帖由 karlpopper 于 2008-10-19 16:52 发表
版主考虑过这个问题没有
就是P2POVER在控制状态下是单向的欺骗
但是他的功能并不是只是欺骗数据包还可以达到所谓限速以及禁止上网的效果
也就是说在平时单纯的处于控制状态的情况下是只是单向欺骗
但是一旦那个 ...

我也有考虑过这个问题，所以有详细用过一遍P2POVER的功能，没有发现有双向欺骗的功能，因为我是测试的，所以可能有些地方不怎么全面。另外我在P2POVER主机上用P2POVER禁上被控制主机上网后，再在被控制端上安装ARP防火墙可以正常上网，因为测试中安装ARP防火墙的机器没有发送任何ARP应答包，而且因为我的测试环境是共享环境，所以可以抓到所有数据包，其中并没有P2POVER主机欺骗网关的包所以我说P2POVER是单向欺骗的，当然也不排除P2POVER会在某一时刻进行双向欺骗，但我觉得这种可能性不大，LZ遇到的问题可能不是单纯的P2POVER造成的，应该还有更深层次的东西。

PS：单向欺骗也可以实现禁止上网的效果，当数据包发向P2POVER的时候，只要P2POVER主机不转发就断网了。

只是一个神话 · 发表于 2008-10-19 18:53:13

LZ能否讲解一下scr和dst，并且讲解一下你说的：他的限制上网是不是把scr 和dst给搞成一个发送IP冲突是什么意思？

我对这个不熟。

探索者 · 发表于 2009-3-31 12:04:18

提供一个简单的思路：如果对方没有装防火墙，你给他来个IP拒绝服务攻击，例如让他自己的机子循环发给他自己数据包，让他的机子当掉。然后你这里看看是否上网就顺利了？要主动进攻，才能最佳防守。

huang4312 · 发表于 2009-11-5 18:26:23

呵呵！双绑才是硬道理啊！其他的都是白说了

面对30p/s的arp攻击我哭笑不得。。。。

评分

回复 14# 的帖子