再写个假IP和MAC地址的排查

qzyuanmu

   得益于"菜版"的帖子,想到一种同样的方法,本不应该另起一帖,不过,听说那样没分

现况: 假MAC地址正在攻击,频率较高, 发起攻击的机器为一台(多了,同理可得)
原理: 当攻击的机器从网络上隔离以后,我们的分析软件将抓不到数据包 (逐步排除法)



图 1. (一).我们分析软件在 核心交换机上抓包,可以明显的发现大量假MAC的攻击包.
      (二).拔掉 A交换机 以后,发现假MAC的攻击包出现中断,由此可得,攻击主机连在
           A交换机 上,重新部署 分析软件,如 图 2


图 2. (一).分析软件部署以后,发现重新抓获假MAC的攻击包,
      (二).经过几次查拔,发现 拔掉 P-3 的主机时,发现假MAC的攻击包出现中端,
      (三).OK ,对于单一主机的攻击已经解决,定点排除 .





  

[ 本帖最后由 qzyuanmu 于 2007-8-20 11:02 编辑 ]

paw

一定要排查?不能直接从分析软件上找到是什么机器吗? 弱弱的问一句.

qzyuanmu

因为 IP和MAC地址都是伪装的，所以从分析软件上并确定不了

ycguitar

排除也是一个不错的方式!

糊涂

楼主,交换机A下接的是P1,P2,P3,P4,P5,P6.....PN 那你完蛋了

查交换机MAC表不就行了?搞那么复杂干什么?

qzyuanmu

原帖由 糊涂 于 2007-8-20 00:55 发表
楼主,交换机A下接的是P1,P2,P3,P4,P5,P6.....PN 那你完蛋了

查交换机MAC表不就行了?搞那么复杂干什么?

只考虑了不可管理的二层交换机，不好意思

txdjf

类似这种情况可以直接通过ping+arp直接判断，然后直接用排除法，无需再部署分析软件，不过如果学习分析软件例外，呵呵

qzyuanmu

原帖由 txdjf 于 2007-8-20 10:16 发表
类似这种情况可以直接通过ping+arp直接判断，然后直接用排除法，无需再部署分析软件，不过如果学习分析软件例外，呵呵

ping+arp 可以解决　，望指教

txdjf

这种情况应该会有时通时不通的现象，一般是伪造的网关MAC地址，持续ping网关地址，出现不通的时候，用arp -a会出现两个一样的MAC地址，如果是固定IP ,可以直接排除，如果自动获取IP，那想办法找到那个和网关一样的MAC地址的IP机子，就可排除

qzyuanmu

原帖由 txdjf 于 2007-8-20 10:33 发表
这种情况应该会有时通时不通的现象，一般是伪造的网关MAC地址，持续ping网关地址，出现不通的时候，用arp -a会出现两个一样的MAC地址，如果是固定IP ,可以直接排除，如果自动获取IP，那想办法找到那个和网关一样 ...

如果你对应了一下你所有的资料,发现IP和MAC 地址都是假的,确定不了的,怎么搞 ?

txdjf

不理解，能解释一下吗？怎么发现IP和MAC地址都是假的？IP假的不是冲突了吗

qzyuanmu

原帖由 txdjf 于 2007-8-20 11:19 发表
不理解，能解释一下吗？怎么发现IP和MAC地址都是假的？IP假的不是冲突了吗

你指冲突 ,?,应该有两种

一,你正常的IP为  192.168.1.12--192.168.1.133 正在使用, 那么假冒 192.168.1.134--192.168.1.254 肯定不存在冲突了

二,就算它假冒了 192.168.1.12-192.168.1.133中的几个IP地址,只有几个特定 的程序发送,应该还是可以的,因为事实证明,这中情况经常发生 .

就如 ARP欺骗 冒充 网关  就是两个IP一样,而MAC地址不一样,

只是一个神话

PING+ARP能查伪MAC攻击？

“这种情况应该会有时通时不通的现象，一般是伪造的网关MAC地址，持续ping网关地址，出现不通的时候，用arp -a会出现两个一样的MAC地址，如果是固定IP ,可以直接排除，如果自动获取IP，那想办法找到那个和网关一样的MAC地址的IP机子，就可排除”

这位兄弟说的对，一般是伪造网关的MAC，但是何以会出现两个一样的MAC地址？所谓伪MAC攻击就是告诉大家网关的MAC在***上面，也就是说这个伪MAC本身对应的IP就是网关IP，何两个相同的MAC地址？

但有一种情况会出现两MAC一样，就是ARP嗅探欺骗，也就是说网关，客户端机器一起欺骗，但这个MAC是真实的，所以在某些时候，会出现相同MAC对应不同IP的情况，这样排查的方法就太多了。

所以PING+ARP是不可能排查出伪MAC攻击的。

当然，这是我的看法，如果txdjf对我说的有不同看法，请指正，我们都希望能有一种简单易行的方法去排查伪MAC攻击。

ValorZ

原帖由 txdjf 于 2007-8-20 10:33 发表
这种情况应该会有时通时不通的现象，一般是伪造的网关MAC地址，持续ping网关地址，出现不通的时候，用arp -a会出现两个一样的MAC地址，如果是固定IP ,可以直接排除，如果自动获取IP，那想办法找到那个和网关一样 ...

这种情况只出现在对方使用本机正确的MAC地址来污染其他人网关的arp table.如果对方使用伪造的mac地址,或者使用其它电脑的mac地址,那么你说的这个方法就会造成错误的判断.

txdjf

其实我也不是太懂的，我曾经在一家客户（网吧）碰到过这个问题，没办法解决，后来看见网上的方法解决的，我刚才找了一下，文章还在，贴过来大家一起看看，向各位老大学习

引用

关于近期影响网吧线路病毒的通告
  
近段时间很多网吧反映频繁掉线，我公司多次检查，均排除网络故障引起。2月7日经过查处，确认目前引起网吧掉线的原因是病毒引起，该问题在全省均有发生，该病毒对主机代理和路由器代理的网吧均会造成影响。

该病毒发作时候的特征为，中毒的机器会伪造某台电脑的MAC地址，如该伪造地址为网关服务器的地址，那么对整个网吧均会造成影响，用户表现为上网经常瞬断。



一、在任意客户机上进入命令提示符(或MS-DOS方式)，用arp –a命令查看：



C:\WINNT\system32>arp -a

Interface: 192.168.0.193 on Interface 0x1000003

  Internet Address      Physical Address      Type

  192.168.0.1        00-50-da-8a-62-2c     dynamic

  192.168.0.23        00-11-2f-43-81-8b     dynamic

  192.168.0.24        00-50-da-8a-62-2c     dynamic

  192.168.0.25        00-05-5d-ff-a8-87     dynamic

  192.168.0.200        00-50-ba-fa-59-fe     dynamic



可以看到有两个机器的MAC地址相同，那么实际检查结果为 00-50-da-8a-62-2c为192.168.0.24的MAC地址，192.168.0.1的实际MAC地址为00-02-ba-0b-04-32，我们可以判定192.168.0.24实际上为有病毒的机器，它伪造了192.168.0.1的MAC地址。



二、在192.168.0.24上进入命令提示符(或MS-DOS方式)，用arp –a命令查看：



C:\WINNT\system32>arp -a

Interface: 192.168.0.24 on Interface 0x1000003

  Internet Address      Physical Address      Type

  192.168.0.1        00-02-ba-0b-04-32     dynamic

  192.168.0.23        00-11-2f-43-81-8b     dynamic

  192.168.0.25        00-05-5d-ff-a8-87     dynamic

  192.168.0.193        00-11-2f-b2-9d-17     dynamic

  192.168.0.200        00-50-ba-fa-59-fe     dynamic



可以看到带病毒的机器上显示的MAC地址是正确的，而且该机运行速度缓慢，应该为所有流量在二层通过该机进行转发而导致，该机重启后网吧内所有电脑都不能上网，只有等arp刷新MAC地址后才正常，一般在2、3分钟左右。



三、如果主机可以进入dos窗口，用arp –a命令可以看到类似下面的现象：



C:\WINNT\system32>arp -a

Interface: 192.168.0.1 on Interface 0x1000004

  Internet Address      Physical Address      Type

  192.168.0.23        00-50-da-8a-62-2c     dynamic

  192.168.0.24        00-50-da-8a-62-2c     dynamic

  192.168.0.25        00-50-da-8a-62-2c     dynamic

  192.168.0.193        00-50-da-8a-62-2c     dynamic

  192.168.0.200        00-50-da-8a-62-2c     dynamic



该病毒不发作的时候，在代理服务器上看到的地址情况如下：



C:\WINNT\system32>arp  -a

Interface: 192.168.0.1 on Interface 0x1000004

  Internet Address      Physical Address      Type

  192.168.0.23        00-11-2f-43-81-8b     dynamic

  192.168.0.24        00-50-da-8a-62-2c     dynamic

  192.168.0.25        00-05-5d-ff-a8-87     dynamic

  192.168.0.193        00-11-2f-b2-9d-17     dynamic

  192.168.0.200        00-50-ba-fa-59-fe     dynamic



病毒发作的时候，可以看到所有的ip地址的mac地址被修改为00-50-da-8a-62-2c，正常的时候可以看到MAC地址均不会相同。



解决办法：

一、采用客户机及网关服务器上进行静态ARP绑定的办法来解决。

1．  在所有的客户端机器上做网关服务器的ARP静态绑定。

首先在网关服务器（代理主机）的电脑上查看本机MAC地址

C:\WINNT\system32>ipconfig  /all

Ethernet adapter 本地连接 2:

        Connection-specific DNS Suffix  . :

        Description . . . . . . . . . . . : Intel(R) PRO/100B PCI Adapter (TX)

        Physical Address. . . . . . . . . : 00-02-ba-0b-04-32

        Dhcp Enabled. . . . . . . . . . . : No

        IP Address. . . . . . . . . . . . : 192.168.0.1

        Subnet Mask . . . . . . . . . . . : 255.255.255.0

       然后在客户机器的DOS命令下做ARP的静态绑定

C:\WINNT\system32>arp  –s  192.168.0.1  00-02-ba-0b-04-32

注：如有条件，建议在客户机上做所有其他客户机的IP和MAC地址绑定。



2．  在网关服务器（代理主机）的电脑上做客户机器的ARP静态绑定

首先在所有的客户端机器上查看IP和MAC地址，命令如上。

然后在代理主机上做所有客户端服务器的ARP静态绑定。如：

C:\winnt\system32> arp  –s  192.168.0.23  00-11-2f-43-81-8b

    C:\winnt\system32> arp  –s  192.168.0.24  00-50-da-8a-62-2c

    C:\winnt\system32> arp  –s  192.168.0.25  00-05-5d-ff-a8-87

。。。。。。。。。



3．  以上ARP的静态绑定最后做成一个windows自启动文件，让电脑一启动就执行以上操作，保证配置不丢失。



二、有条件的网吧可以在交换机内进行IP地址与MAC地址绑定



三、IP和MAC进行绑定后，更换网卡需要重新绑定，因此建议在客户机安装杀毒软件来解决此类问题：该网吧发现的病毒是变速齿轮2.04B中带的，病毒程序在 http://www.wgwang.com/list/3007.html 可下载到：



1、  KAV(卡巴斯基)，可杀除该病毒，病毒命名为：TrojanDropper.Win32.Juntador.c
杀毒信息：07.02.2005 10:48:00    C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\B005Z0K9\Gear_Setup[1].exe  infected  TrojanDropper.Win32.Juntador.c



2、  瑞星可杀除该病毒，病毒命名为：TrojanDropper.Win32.Juntador.f



3、  另：别的地市报金山毒霸和瑞星命名:“密码助手”木马病毒(Win32.Troj.Mir2)或Win32.Troj.Zypsw.33952的病毒也有类似情况。

只是一个神话

txdjf兄弟提供的案例并不是我们常说的伪MAC攻击，我们常说的伪MAC攻击是不存在的MAC地址攻击。不过这个案例不错啊，谢谢分享！

hshletter

如果正发生arp攻击的话，这台电脑应该处理sniffer状态,是否可以扫描一下网络中处于sniffer状态的电脑？个人理解。

qzyuanmu

原帖由 hshletter 于 2007-8-21 08:49 发表
如果正发生arp攻击的话，这台电脑应该处理sniffer状态,是否可以扫描一下网络中处于sniffer状态的电脑？个人理解。

是说处于　混杂模式下的网卡　吧，扫下也可以，因为一般来说，处于这个模式下的肯定是处于不正常的应用之下．

如果能用这种方法解决问题，可能也行的，不过找出不正常的机器也是很好的　，

另外希望介绍个　这样的工具

hshletter

原帖由 qzyuanmu 于 2007-8-21 08:58 发表


是说处于　混杂模式下的网卡　吧，扫下也可以，因为一般来说，处于这个模式下的肯定是处于不正常的应用之下．

如果能用这种方法解决问题，可能也行的，不过找出不正常的机器也是很好的　，

另外希望介 ...

网上有这样的工具，工具叫什么名字我也不是很清楚，搜索一下应该可以搜索到的，我记得论坛有发过一篇这样的文章(扫描处于混杂模式下的网卡)，我根据这篇文章也写过一这样的一个工具;要能发送arp数据包的话，这台电脑应该是已经处于混杂模式下了(这只是我的个人理解，呵呵，还请各位高手多多指教)。

只是一个神话

微软有个小工具的，可以检测混杂模式的网卡，http://support.microsoft.com/kb/892853/zh-cn

如果是伪MAC攻击，攻击者的网卡会处于混杂模式吗？

qzyuanmu

真有先见之明 ,特此顶一下,什么时候我的网络出现这个问题啊,等着涨工资

hshletter

原帖由 只是一个神话 于 2007-8-21 11:28 发表
微软有个小工具的，可以检测混杂模式的网卡，http://support.microsoft.com/kb/892853/zh-cn

如果是伪MAC攻击，攻击者的网卡会处于混杂模式吗？

以前帮一个公司做过这样的处理，网络时断时续，抓了一下包，发现有ARP扫描(IP,MAC地址是真实的)，用自己的工具扫描了一下网络中处于混杂中的电脑，发现只有一台电脑处于混杂状态，对这台电脑进行详细扫描，发现是财务部的一个台式机，中了病毒，经常乱发arp数据包，清除这台电脑的病毒，上述状态消失。

只是一个神话

混杂模式是基于嗅探才会产生的，如果仅仅是ARP攻击好像不会产生混杂模式吧？我也尝试过，不管是真MAC还是伪MAC进行ARP攻击（断网或是欺骗），网卡都没处于混杂模式，但是我一开嗅探软件就出现混杂模式。
hshletter兄遇到的情况可能是这么一种情况，这个木马是ARP欺骗的木马，我进行的ARP欺骗攻击并没有嗅探欺骗到的数据，但是木马都是集ARP欺骗与嗅探一身的，所以该机器的网卡是处于混杂模式下的，也因为如此，所以这是真实个MAC的，如果是假的就实现不了欺骗。
有兴趣的可以做下测试，用科来的数据包构造器和播放器就能实现ARP攻击，当然，在测试的时候切记不可用科来抓取数据包，因为科来本来就是嗅探软件，一旦使用科来抓取数据包就会出现混杂模式。

�?怒的熊貓

呵呵我觉得划分vlan要好些吧~不能划分的排查也很好，不过机器一多就开始有些麻烦了

niko

呵呵，学习Ing～～

不过我在做实验遇到的情况是MAC是假的，IP也是假的，而且是模拟成外网的，该如何解决啊。
Sniffer抓图如下：