CSNA网络分析论坛»首页 流量分析 网络分析 原创:伪造IP与MAC的攻击查找。
123下一页
返回列表 发帖
查看: 56667|回复: 82

原创:伪造IP与MAC的攻击查找。

[复制链接]
菜鸟人飞
发表于 2007-8-8 16:59:58 | 显示全部楼层 |阅读模式
自2005年以来,ARP攻击就以攻击方法简单、攻击速度快、攻击效果好而深受越来越多恶作剧者的青睐,从而导致在近1年多的时间里,网络中的ARP攻击无处不在,各大论坛从未停止过ARP攻击的讨论,一些遭受过ARP攻击的用户甚至到了谈“ARP”色变的程度。

根据攻击者的真实性,ARP攻击可以分为三类:

1.攻击者的IP和MAC都是真实的;
2.攻击者的IP更改,MAC是真实的;
3.攻击者的IP和MAC均更改,甚至伪造。

对于前两种情况,我们知道借助科来网络分析系统的智能诊断功能,可以轻松地定位攻击源。但第3种情况,这种方法则不能有效定位攻击源,而这种情况的ARP攻击,正日渐增多,所以对这种同时更改IP和MAC的ARP攻击的排查,成为了目前ARP攻击排查工作的重中之重。

下面我们对同时更改IP和MAC的ARP攻击进行讨论(第1种和第2种ARP攻击不此讨论范围之内),并给出这种情况下的解决方案

。。。。。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

hander
发表于 2007-8-8 20:44:36 | 显示全部楼层
好方法

就是部署起来麻烦点而已
回复

使用道具 举报

发表于 2007-8-8 22:57:12 | 显示全部楼层
一般企业都没有TAP设备,也很少有企业会去买一个这样的设备,所以这个方法很难得到普及。不过也就这一种可行的办法能解决伪IP与MAC攻击。当然,拔网线除外,虽然这也是一个办法,但可行性太差了。

所以大家平时多注意一下下面机器的情况,杀毒软件要没问题。没事多用科来抓包看看,一来学习,二来看看网络有什么问题。有条件的静态绑定一下,平时做好“主机名-IP-MAC-姓名”的表格。
回复

使用道具 举报

菜鸟人飞
 楼主| 发表于 2007-8-9 09:46:34 | 显示全部楼层
绑定是比较好的方法,如“只是一个神话”所言,尽量做好“主机名-IP-MAC-姓名”的绑定,这样能大大提高故障排查速度。

是的,大多企业可能都不会配备一个TAP在那儿放着,所以说这种方法是存在一定局限性的,普及起来的确较难。不过在网络中确实出现伪造地址攻击,而其它方法不能有效查找时,不妨一用。
回复

使用道具 举报

mixixing
发表于 2007-8-9 11:48:27 | 显示全部楼层

绑定是比较好的方法

绑定是比较好的方法
尽量做好“主机名-IP-MAC-姓名”的绑定
回复

使用道具 举报

ysj0769
发表于 2007-8-9 12:13:54 | 显示全部楼层
谢谢版主的幸勤劳作!

最近有些病毒,不但伪造网关MCA欺骗网关,还让局或内的机子访问任何一个网站时,都会重定向制造病毒网站同时下载病毒,不知这中ARP期骗版主有没有什么看法
回复

使用道具 举报

qzyuanmu
发表于 2007-8-9 12:58:39 | 显示全部楼层
原帖由 ysj0769 于 2007-8-9 12:13 发表
谢谢版主的幸勤劳作!

最近有些病毒,不但伪造网关MCA欺骗网关,还让局或内的机子访问任何一个网站时,都会重定向制造病毒网站同时下载病毒,不知这中ARP期骗版主有没有什么看法



做好绑定 ,让它攻击的第一步实现不了,杀毒,就是找病毒源的问题而已, 前几天我发过这样的帖子,可以去看看
回复

使用道具 举报

KIMICN
发表于 2007-8-9 16:00:44 | 显示全部楼层
如果没有更便捷的办法找出罪魁祸首,那么我们可以缩小范围。多划分VLAN这样可以缩小排查范围也可以减低影响,在各交换机端口设置端口广播抑制,比如storm-control broadcast、action shutdown 华为交换机设置broadcast-suppression 。有些网络准入软件客户端也可以设置每秒广播包数甚至是TCP连接数。这样应该可以把影响降低到最低,再不行就用楼主所说的方法,再不行就请出无所不能的拔线大法!找出肇事者通过行政手段扣工资 通报批评相片贴到墙上。这样以后上网就人人自危 呵呵捣乱中毒的机会就大大地减少啦

评分

1

查看全部评分

回复

使用道具 举报

heiboy
发表于 2007-8-10 11:08:26 | 显示全部楼层
此文的思路值得收藏,但是操作起来2个方面的限制:1.tap设备的购买 2.内网计算机数目过多 烦乱的情况下,执行起来将非常头疼
回复

使用道具 举报

cwym29
发表于 2007-8-10 13:33:32 | 显示全部楼层
思路不错,操作起来较难,支持楼主,但希望有更好的方法出现。
回复

使用道具 举报

osx1969
发表于 2007-8-10 21:13:26 | 显示全部楼层

回复 #1 菜鸟人飞 的帖子

感谢菜兄的精彩分析。
回复

使用道具 举报

荒村孤坟
发表于 2007-8-10 22:22:32 | 显示全部楼层
谢谢提供。。。学习了。。。
回复

使用道具 举报

sqzhujun
发表于 2007-8-12 10:37:35 | 显示全部楼层
对与大的网络估计还是很难,假如说多台。怎么办呢。这样分下去很累的。
回复

使用道具 举报

糊涂
发表于 2007-8-14 12:50:21 | 显示全部楼层
一个VLAN里面有几百台计算机你怎么办?这样岂不是累死人?

我个人认为用不着这样大费周章吧?

如果攻击者A连帧头里面的源MAC也伪造成D的MAC,很有可能导致交换机MAC表混乱,

使D的网络出现问题,如果是这样的话,查一下交换机的MAC表看看有没有D的MAC在

不同的端口不就行了?

如果A只伪造了ARP包里面的源MAC地址,没有伪造帧头里面的源MAC地址,

那么我们可以很轻易地在其他B,C被攻击的机器上捕捉到攻击的ARP包,再查看这些ARP包帧头

的源MAC地址就可以知道究竟是谁攻击了
回复

使用道具 举报

cwym29
发表于 2007-8-14 14:45:59 | 显示全部楼层
如果是二层交换机,那怎么查看其MAC表呢?
回复

使用道具 举报

糊涂
发表于 2007-8-14 16:05:24 | 显示全部楼层
原帖由 cwym29 于 2007-8-14 14:45 发表
如果是二层交换机,那怎么查看其MAC表呢?


二层交换机一定不能查看MAC表吗?看有没有这个功能罢了,如果没有的话你按楼主的方法查吧,希望你的网络机器不要太多好了
回复

使用道具 举报

naboo
发表于 2007-8-14 16:29:44 | 显示全部楼层
一切的一切,都要建立在网管人员(千万不要想到网吧维护人员,不是看不起人,真的是能力和术业的问题)辛勤的劳动之上~~如:登记所有设备的详细清单(常谈,没办法)!

很多企业(中型以上)都不会去老老实实做基础建设的。。。
回复

使用道具 举报

发表于 2007-8-14 19:49:06 | 显示全部楼层
原帖由 naboo 于 2007-8-14 16:29 发表
一切的一切,都要建立在网管人员(千万不要想到网吧维护人员,不是看不起人,真的是能力和术业的问题)辛勤的劳动之上~~如:登记所有设备的详细清单(常谈,没办法)!

很多企业(中型以上)都不会去老老实 ...



你也太看大自己了。。拿本事来说话~

你能肯定企业里网管全比网吧的网管强?

你不也看看到底是网吧中病毒机会高还是企业中病毒高?

中病毒了到底是谁处理多?多了是不是经验?经验比你少吗?

要不要比比看?
回复

使用道具 举报

jcxnsh
发表于 2007-8-14 22:40:29 | 显示全部楼层
学习了!!希望大家多讨论多发言。。
企业里一个vlan一般划多少台主机呢?我想了解一下
我虽然不太懂但也还是觉得做好绑定比较好管理。
回复

使用道具 举报

糊涂
发表于 2007-8-14 22:54:00 | 显示全部楼层
原帖由 战略高手网吧 于 2007-8-14 19:49 发表



你也太看大自己了。。拿本事来说话~

你能肯定企业里网管全比网吧的网管强?

你不也看看到底是网吧中病毒机会高还是企业中病毒高?

中病毒了到底是谁处理多?多了是不是经验?经验比你少吗?

...



我不是网吧,但处理ARP类的问题我肯定比你多,平均每日2~3次,要拿包过来给你看我一大堆

企业的网管叫    网络管理员

网吧的网管      (网吧管理员)      依我前几天去见的兼职那老板说的很白:所谓的网管只是一般的服务员

我只郁闷为啥都叫网管,每次朋友听说我做网管眼里都觉得什么什么的

网吧我个人理解做维护的叫技术员~

那我想你是属于技术员

当然也不是说企业的网管就比网吧的技术员经验多,浑水摸鱼的人我见得多

但老实说一句,网吧的网络能有多大?做网吧的网络问题多还是桌面机器的问题多 ?
回复

使用道具 举报

cwym29
发表于 2007-8-17 14:38:09 | 显示全部楼层
网吧里面也是有一批高手的。
以前有个领导,技术能力相当厉害,刚开始的时候就是在网吧里混的。
回复

使用道具 举报

菜鸟人飞
 楼主| 发表于 2007-8-17 14:42:28 | 显示全部楼层
请大家切勿在企业网管和网吧网管这个问题上争论。

每个行业,都有尖子,而每个行业,都会有拉后腿的。

我从不否认网吧管理人员的技术能力,也从不认为企业网管的技术能力就要高人一等。一切,都要用事实说话。

希望大家在此讨论技术、交流技术、共同学习、共同提高,这才是我们的初衷,不是吗?
回复

使用道具 举报

xv0813
发表于 2007-8-21 09:51:46 | 显示全部楼层
办法是好 就是很麻烦 电脑多了就麻烦了
回复

使用道具 举报

xinya225
发表于 2007-9-23 11:58:26 | 显示全部楼层
太麻烦了吧
攻击的 时候把网线比这省事多了
回复

使用道具 举报

egg8617
发表于 2007-9-24 15:11:12 | 显示全部楼层
看看。学习借鉴一下。。
回复

使用道具 举报

xhcyy
发表于 2007-9-24 17:54:34 | 显示全部楼层
同意版主的话,大家多和气交流学习,别扯其他的太远~~
回复

使用道具 举报

fafaaipingping
发表于 2007-9-24 18:05:11 | 显示全部楼层
我们要多多经验啊
     呵呵   
   学习 学习
回复

使用道具 举报

luxxsys
发表于 2007-9-24 20:40:52 | 显示全部楼层
大家都是高手,高手都想跟高手过招这是人之常情啊,大家都是要在切磋和讨论中互相提高嘛呵呵。

佩服各位的技术和经验。我还是先下来学习学习吧。

感谢各位给出的好方法和思路,成长中……
回复

使用道具 举报

luxxsys
发表于 2007-9-24 20:53:06 | 显示全部楼层
原帖由 糊涂 于 2007-8-14 12:50 发表
一个VLAN里面有几百台计算机你怎么办?这样岂不是累死人?

我个人认为用不着这样大费周章吧?

如果攻击者A连帧头里面的源MAC也伪造成D的MAC,很有可能导致交换机MAC表混乱,

使D的网络出现问题,如果是这样 ...



果然是好方法。楼主提供的方法也是比较好的思路不过确实有比较大的局限性。糊涂高手的方法还是比较好的,看来还是经验非常重要啊。

学习了……
回复

使用道具 举报

luxxsys
发表于 2007-9-24 20:54:09 | 显示全部楼层
原帖由 cwym29 于 2007-8-14 14:45 发表
如果是二层交换机,那怎么查看其MAC表呢?


二层交换机为什么不能查看MAC表呢?难道别的品牌没有这个功能吗?我只用过思科的哦,孤陋寡闻了……
回复

使用道具 举报

下一页 »
123下一页
返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表