内网伪IP\MAC后进行DDOS攻击，网络分析软件也没用，怎么办（研究）

菜是美德 · 发表于 2007-6-23 13:35:35

最近我试了一款DDOS攻击程序，用它来攻击内网机器，然后用网络分析软件来分析，分析出来的结果是，该DDOS程序先扫描网内所有机器的IP及MAC地址，然后进行伪装，攻击时，查出来的攻击源IP和MAC地址都是假的，是网内其它机器的，不停的变换，查出来的结果等于是网内所有机器都在攻击。
面对这种情况要怎么解决？高人指点一下，小弟还未想到解决方法。
如果有人在网吧进行攻击，根本就没法查，网吧那么多机器，不可能一台一台的关掉测试。论坛上有其它同志提出可以在可网管交换机上查看桥表（也就是交换机的MAC对应表），我觉得这不太可能实现，因为一般的网吧不可能会用那么专业的交换机吧，网吧老板要考虑成本。还有同志提出从交换机各端口的LED闪烁程度查看，我觉得这个方法也不可行，网吧的机器，在有人上机的情况下，都会不停的进行通信，QQ\WEB\GAME\MOVIE\都会不停的进行通信，病毒发作乱发数据和正常上网时交换机上的LED闪烁度基本上是看不出来的。

对于伪IP伪MAC进行内网攻击，哪位大侠讲解一下自己的看法，提供一个完善的解决方法。感激不尽。

菜是美德 · 发表于 2007-6-23 13:58:07

用过IRIS\SPYNET(相当于SINFFER）进行抓包，抓出来的包都是伪局域网内其它机器的IP和MAC地址

palm · 发表于 2007-6-23 14:07:28

以前看到过，使用科来网络分析系统 + 分路器（TAP）可以解决这个问题。

菜是美德 · 发表于 2007-6-23 14:13:30

也许你还不明白我说的问题
我所用的IRIS和SPYNET和你说的科来及SINFFER都是网络抓包分析软件。现在我的问题不是抓不到包，是抓出来的包里面的MAC地址是假的。

菜是美德 · 发表于 2007-6-23 14:22:40

有的攻击软件用假IP，但是MAC还是真的，那样能查出是哪一台机发出来的，但是现在的情况是MAC和假全是假的

lcylcyll · 发表于 2007-6-23 15:50:33

这DDOS工具叫什么啊！1
我网吧就有可能中了这个！！
我们用科来看一点都有没有什么可疑的流量！！
都很正常！
但是我们拨了内网的线接外网可通的！！
可是一接内网就掉线！
弄得我不知怎么样才好啊！！

sunyy28 · 发表于 2007-6-23 15:51:03

既然是可网管交换机，那就简单了。
在交换机端口上，把端口和计算机网卡的mac地址一起绑定，如果mac地址不对就让端口自动关闭就可以了

sunyy28 · 发表于 2007-6-23 15:54:56

一般的可网管交换机都有这个功能，就是实施和维护比较困难。因为要一个个端口加，第一次工作量会比较大！
楼主请顺便告诉我们你用的DDOS工具是什么

sunyy28 · 发表于 2007-6-23 16:01:53

我在单位里就是这么做的，客户的笔记本需要接入Internet都只能事先申请，然后在指定的区域进行。内部用户就更不用说了，私自挪动、调换机器都不可以，因为他们的mac地址和交换机许可的不匹配，都要先申请。当然在一些会议区域、公用区域就没有硬性禁止，但是通常都是关闭的，只在需要使用时才打开，这样就阻止了从单位内部进行的端口攻击。

sunyy28 · 发表于 2007-6-23 16:07:07

当然，档次高一些的交换机也能支持动态绑定，这样配置工作量就小了。但是系统开销也相应增加，交换机效率也低一些。所以一般2-300台机器用静态绑定就可以了，前提是你不需要经常大规模的挪机器。

palm · 发表于 2007-6-23 17:23:45

看是否有DDOS攻击，可以采取查看矩阵图，如下。DDOS攻击流量并一定很大，因为数据包小可以发得更多，我们可以从几个特征来判断是否是DDOS攻击：
1. 大量的多点向一个点发起数据。
2. 这些攻击IP收不到任何数据包，（IP应该是伪造的）
3. 矩阵连线也是单向（绿色）

xuefu · 发表于 2007-6-23 20:11:59

能不能发你的捕获数据文件来看一看?这样好分析一些

菜是美德 · 发表于 2007-6-24 10:48:27

晚上再进行测试，测后再把结果把包和DDOS工具一起发出来

是这样的，当时有192.168.1.1(网关) 192.168.1.65 192.168.1.43 192.168.1.78这几台机器在运行,我打开IRIS进行网络截包分析,我在192.168.1.78 DDOS攻击192.168.1.65这台机器.
然后在IRIS中看到192.168.1.78正在逐个向192.168.1.1~192.168.1.255这些机器发出ARP询问,询问完之后就出现大量的WWW(HTTP A^)访问,源地址是刚才询问过有回应的各个机器的MAC和IP. 目标地址是192.168.1.65.
有的攻击源MAC和IP和目标IP都是192.168.1.65

由此分析:该DDOS工具攻击前先扫一下同网段内存的机器,以获得他们的IP及MAC地址.然后以网内其它机器的身份来发出DDOS攻击包

菜是美德 · 发表于 2007-6-24 11:00:57

上面几楼说的在可网管交换机中把计算机终端的MAC和交换机端口绑定。
这个方法也不行，因为网吧一般都不会去买可网管交换机。就算有也只是主干交换机才是可网管交换机。

例我的网吧，是这样的，因特网→光纤收发器→华为AR2811路由（网关）→华为3COM5024P可网管交换机（主干交换机）→子交换机（不可网管）→计算机终端

lcylcyll · 发表于 2007-6-24 14:22:50

我们的网吧也是和楼主的一个样都是同一类型的网络！
但是同时我们也用了ARP绑定还是一样会有ARP攻击！
我们用的是双绑也不行！！

huaigu · 发表于 2007-7-2 23:14:17

双绑定也会遭到 ARP攻击么?

sivalei · 发表于 2007-7-2 23:51:33

lz你的情况很好办嘛，

你是quidway s5000p还是h3c s5000p

这个都没关系，一个一个端口的做镜像，然后抓包。

流量大的syn就是ddos了，找到了，断端口，找到下挂的交换机，下挂的交换机无非24口撑死50口

一台一台机器排查就ok了。

何况中毒机器可以做嗅探，肯定网卡置于混杂模式，找到混杂的pc，进一步缩小范围

然后找出毒源即可。

虫虫 · 发表于 2007-7-16 02:58:52

现在很多路由上都有绑定功能，绑了还出ARP，你们只要把内网PC设置成仅通过路由访问外网，意思也就是只认路由的MAC地址，才能访问外网，应该就可以不受ARP的毒害了
内网的攻击问题，在楼上说的那些情况下，我个人认为，在有那中攻击情况发生的时候，把流量下调，然后在你的中心交换服务器上架设抓包工具，就可以找出那台PC的流量异常了，但是，前提是你的所以PC设备都有在路由绑定MAC地址的前提下进行

sbkhncel · 发表于 2007-7-17 16:33:57

今天我也遇到这种情况。同样的情况是，我也无法查出是那台机子干的“好事”，后来，我一台台重起过后，才查出来。不过，杀病毒时，却没有报病毒，我就郁闷咯。难道是外网？不知道。。。。。。。搞不清楚。。。

twoeyes · 发表于 2007-7-19 23:49:31

只要是可网管交换机，不管是真实还是伪装的地址都可以通过定位端口来找到元凶。

zzgpitt · 发表于 2007-7-20 01:02:16

高手要出来了,

表现一下了,

蓝色梦园 · 发表于 2007-7-20 13:44:45

看来现在的ARP越来越顽强了，借助TAP一步步排查吧！

msi111 · 发表于 2007-7-20 17:13:35

是人越来越狡猾还是病毒越来越狡猾??

v313376448 · 发表于 2007-7-20 17:54:11

原帖由 msi111 于 2007-7-20 17:13 发表
是人越来越狡猾还是病毒越来越狡猾??

应该是人吧

lswlzlp · 发表于 2007-7-23 21:24:44

抓包，和绑定基本没什么用，这些办法本人试过。楼主说的对，一般网吧都不会花大价钱更换三层交换机和防ARP的路由。
本人用的是华为AR18-22-24路由，在路由中建立pppoe server能完全防止此类情况。目前本人是这样做的。没有发生掉线。
可加我的QQ大家一起探讨 75659445

fangtian3000 · 发表于 2007-7-29 18:03:22

非网管交换机，出现ARP欺骗攻击时，可以这样做：
1、一个hub，联接到交换机上
2、一台监控电脑，捕捉数据包，联接到hub
3、将每台电脑的网线从交换机断开，联接到hub，一台一台地测

xinya225 · 发表于 2007-10-7 14:19:06

方法好象也很多
呵呵
看来病毒强了
各位的防毒也强了
学习\

Vurtne123 · 发表于 2007-10-10 09:54:32

1 .要求与ISP协助和合作
获得你的主要互联网服务供应商（ISP）的协助和合作是非常重要的。分布式拒绝服务（DDoS）攻击主要是耗用带宽，单凭你自己管理网络是无法对付这些攻击的。与你的ISP协商，确保他们同意帮助你实施正确的路由访问控制策略以保护带宽和内部网络。最理想的情况是当发生攻击时你的ISP愿意监视或允许你访问他们的路由器

2 . 优化路由和网络结构
需要调整路由表以将拒绝服务攻击的影响减到最小。为了防止SYN flood攻击，应设置TCP侦听功能。另外禁止网络不需要使用的UDP和ICMP包通过，尤其是不应该允许出站ICMP“不可到达”消息。

protein · 发表于 2007-10-10 11:19:18

27楼正解.
1.找出所攻击的IP
2.初步判断哪部分电脑最可疑,它们是首先排除的对象.
3.用一台8口或16口的HUB接上抓包机和你要排查的机后联上交换机.
4.再用科来分析所抓到的包(最好过滤一下)
4.DDOS攻击并不一定只有那么一两台机.(外话,因为你是在测试)
这需要你动手去拨线,也可以多弄两个HUB,省下点时间.

田林 · 发表于 2008-7-18 14:34:11

怎样在科来中来判断网卡的混杂模式

内网伪IP\MAC后进行DDOS攻击，网络分析软件也没用，怎么办（研究）

本帖子中包含更多资源

````````

防ARP远离掉线

急!