Chinaunix

标题: arp欺骗防范大讨论[怎没人拍砖,CU的网络&安全专家看不起这个问题吗,hoho] [打印本页]
作者: 举家流浪    时间: 2006-03-24 15:21
标题: arp欺骗防范大讨论[怎没人拍砖,CU的网络&安全专家看不起这个问题吗,hoho]
06年真是多事之秋,新年刚到,arp欺骗到处泛滥,金融,高校,网吧,很头疼。
目前,我发现存在两种类型的arp欺骗:

1)对网关发起针对用户pc的 MAC地址的arp欺骗;
2)对用户pc发起针对网关MAC地址的arp欺骗;

目前对于此arp欺骗,大家有什么好的办法?欢迎大家排砖

arp欺骗防范大讨论

[ 本帖最后由 举家流浪 于 2006-3-26 13:03 编辑 ]
作者: wonderliang    时间: 2006-03-24 17:30
只有mac和端口榜定了
作者: charlesc    时间: 2006-03-25 22:25
希望有更多的人!
作者: jake8    时间: 2006-03-25 22:58
标题: .......
.............又来这个,今年有个arp的病毒,专搞破坏的。。。。解决方案有很多的,看你的具体的网络环境来决定啊。。。
作者: charlesc    时间: 2006-03-25 23:53
介绍几个攻击路由器和防火墙的解决办法!
作者: 举家流浪    时间: 2006-03-26 12:51
标题: 回复 2楼 wonderliang 的帖子
邦定一般能解决ip冲突和盗用,但对arp欺骗没有太大作用
作者: 举家流浪    时间: 2006-03-26 12:53
标题: 回复 4楼 jake8 的帖子
搂主,可以介绍介绍,给个网址也行,先多谢了
作者: 大块头    时间: 2006-03-26 14:33
我写了个工具,可以防止arp欺骗的,如果需要可以联系我,我的邮箱xueya@126.com,注名:cu
作者: inhell    时间: 2006-03-27 09:05
绑定之后是可以不被欺骗,
但是它还是狂发广播包啊
作者: cnadl    时间: 2006-03-27 10:02
sniffer或者IDS都可以检测出来
作者: charlesc    时间: 2006-03-27 11:16
原帖由 cnadl 于 2006-3-27 10:02 发表
sniffer或者IDS都可以检测出来



总算有一条有用的意见。
作者: fortitude    时间: 2006-03-27 13:06
继续不懂。。学习
作者: ravenhua    时间: 2006-03-27 13:08
只要能找到源头,就有办法处理,完全防范好像不太可能吧!
作者: fortitude    时间: 2006-03-27 13:15
菜菜的问句:arp是地址解析协议吧?
作者: cnadl    时间: 2006-03-27 15:50
原帖由 charlesc 于 2006-3-27 11:16 发表



总算有一条有用的意见。



好久不见。

说实话,不改title的话偶真是懒得回这个贴,一点技术含量都no有的东东,就应该no money no service。

这个技术基本属于无比成熟的了,不知道只能说明学习方法不正确或者别的什么。

BTW,LZ,要搞什么大讨论也谈点新领域的热点问题哈,要不稿成科普贴还叫啥讨论。
作者: fortitude    时间: 2006-03-27 16:01
偶稀饭科普贴。。嘿嘿
作者: PKkingSon    时间: 2006-03-27 16:12
交换机端口绑定mac
客户机绑定其他机器为静态(表格可使用中央存储),关闭icmp重定向。
作者: 举家流浪    时间: 2006-03-29 00:36
原帖由 cnadl 于 2006-3-27 15:50 发表



好久不见。

说实话,不改title的话偶真是懒得回这个贴,一点技术含量都no有的东东,就应该no money no service。

这个技术基本属于无比成熟的了,不知道只能说明学习方 ...



非常感谢大家的回复,arp确实是一个无比成熟的东西,但面对简单的arp欺骗,我相信一点技术含量都没有的东西会让您束手无策,如何解决这个问题,各个厂商都在试图去解决它,或者将他的威胁降到最低,不要看不起很简单的东西。我相信一个简单的网络执法官会让贵公司或者学校的网络极其动荡不安。
作者: 举家流浪    时间: 2006-03-29 00:38
原帖由 jake8 于 2006-3-25 22:58 发表
.............又来这个,今年有个arp的病毒,专搞破坏的。。。。解决方案有很多的,看你的具体的网络环境来决定啊。。。



可否说说您的解决办法,可否简单假设几个常见的网络环境,让大家学习学习,期盼中
作者: 举家流浪    时间: 2006-03-29 00:40
原帖由 ravenhua 于 2006-3-27 13:08 发表
只要能找到源头,就有办法处理,完全防范好像不太可能吧!



确实如此,我想我们是否有办法致力于解决或者减轻这种攻击的严重程度呢?
作者: 举家流浪    时间: 2006-03-29 00:46
原帖由 PKkingSon 于 2006-3-27 16:12 发表
交换机端口绑定mac
客户机绑定其他机器为静态(表格可使用中央存储),关闭icmp重定向。



做法不错,可以解决对用户发起的针对网关的arp攻击,但对于对网关发起的正对用户主机的欺骗无法解决。
作者: cnadl    时间: 2006-03-29 12:21
原帖由 举家流浪 于 2006-3-29 00:36 发表



非常感谢大家的回复,arp确实是一个无比成熟的东西,但面对简单的arp欺骗,我相信一点技术含量都没有的东西会让您束手无策,如何解决这个问题,各个厂商都在试图去解决它,或者将他的威胁降到最低,不要看不 ...



呵呵,您错了。
作者: charlesc    时间: 2006-03-29 13:14
cnadl

好久不见,安好
作者: cnadl    时间: 2006-03-29 13:44
原帖由 charlesc 于 2006-3-29 13:14 发表
cnadl

好久不见,安好


还行,换了个地方,依然是混口饭吃,去上海的打算也一拖再拖^_^。
作者: pyrrhicke    时间: 2006-03-29 14:35
嘿嘿,还是比较简单的
作者: mjj    时间: 2006-03-29 15:34
思科交换机上有一种技术叫DAI动态arp检测,实施arp欺骗的会被自动切断。可以彻底防止arp欺骗
作者: 独孤九贱    时间: 2006-03-29 15:54
我的思路(哪天空了把代码贴上来):
1、收集局域网中的数据流,如交换机端口镜像;
2、解析每一个ARP请求/应答;
3、将包的对应关系与事先准备好的一份正确的对应关系相比对;
4、若不符合,则判断为ARP欺骗,踢它出去;
作者: wonderliang    时间: 2006-03-29 18:10
原帖由 举家流浪 于 2006-3-26 12:51 发表
邦定一般能解决ip冲突和盗用,但对arp欺骗没有太大作用



一个端口绑定mac,就不能用其他mac了
作者: 7thguest    时间: 2006-03-31 09:50
原帖由 wonderliang 于 2006-3-29 18:10 发表



一个端口绑定mac,就不能用其他mac了


帧头上当然不能用其他MAC了,但ARP欺骗是在净载里改了MAC或IP,所以IP和MAC绑定没什么用的.

另外我在2950上试了,好象没有DYNAMIC ARP INSPECTION的功能,3750是有的.
但我认为这个功能应该在接入交换机的接口做才最有效,否则接在同一台2950上的计算机之间还是可以欺骗的.
作者: toumy    时间: 2006-04-01 09:19
好像arp的问题比较的严重, 我在局域网内如果突然上不了网,用arp -d 后,马上就可以ping到gateway,但是很快就又出现这个问题了, 一直没有比较好的解决方法, 而且在arp -a时能看到0.0.0.0 xx.xx.xx.xx.xx.xx的相关信息, 一直没弄懂为何arp里会显示出这种arp信息。

有高手一定要指点一下。
作者: 举家流浪    时间: 2006-04-06 16:43
原帖由 7thguest 于 2006-3-31 09:50 发表


帧头上当然不能用其他MAC了,但ARP欺骗是在净载里改了MAC或IP,所以IP和MAC绑定没什么用的.

另外我在2950上试了,好象没有DYNAMIC ARP INSPECTION的功能,3750是有的.
但我认为这个功能应该在接入交换机的接口 ...



这个功能需要交换机的cpu来处理,如果大量的arp报文,可能会导致交换机cpu升高,影响交换机对数据的转发
作者: MeiGbson    时间: 2006-04-06 18:12
防范措施

  1.建立DHCP服务器(建议建在网关上,因为DHCP不占用多少CPU,而且ARP欺骗攻击一般总是先攻击网关,我们就是要让他先攻击网关,因为网关这里有监控程序的,网关地址建议选择192.168.10.2 ,把192.168.10.1留空,如果犯罪程序愚蠢的话让他去攻击空地址吧),另外所有客户机的IP地址及其相关主机信息,只能由网关这里取得,网关这里开通DHCP服务,但是要给每个网卡,绑定固定唯一IP地址。一定要保持网内的机器IP/MAC一一对应的关系。这样客户机虽然是DHCP取地址,但每次开机的IP地址都是一样的。

  2.建立MAC数据库,把网吧内所有网卡的MAC地址记录下来,每个MAC和IP、地理位置统统装入数据库,以便及时查询备案。

  3.网关机器关闭ARP动态刷新的过程,使用静态路邮,这样的话,即使犯罪嫌疑人使用ARP欺骗攻击网关的话,这样对网关也是没有用的,确保主机安全。
  网关建立静态IP/MAC捆绑的方法是:建立/etc/ethers文件,其中包含正确的IP/MAC对应关系,格式如下:
  192.168.2.32 08:00:4E:B0:24:47
  然后再/etc/rc.d/rc.local最后添加:
  arp -f 生效即可

  4.网关监听网络安全。网关上面使用TCPDUMP程序截取每个ARP程序包,弄一个脚本分析软件分析这些ARP协议。ARP欺骗攻击的包一般有以下两个特点,满足之一可视为攻击包报警:第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配。或者,ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内,或者与自己网络MAC数据库 MAC/IP 不匹配。这些统统第一时间报警,查这些数据包(以太网数据包)的源地址(也有可能伪造),就大致知道那台机器在发起攻击了。

  5.偷偷摸摸的走到那台机器,看看使用人是否故意,还是被任放了什么木马程序陷害的。如果后者,不声不响的找个借口支开他,拔掉网线,看看机器的当前使用记录和运行情况,确定是否是在攻击。
                                                                                 ----摘录
作者: george_young    时间: 2006-11-19 18:19
5 可以修改为:
偷偷的走到那台机器的使用者后面,一棒子敲下去,并且取出硬盘,用专用工具全盘写5次随机数据,然后将硬盘装回去,叫醒哪个鸟人,说他机器中病毒了,机器转换了线路将电连到他的键盘上了,把他击晕了。

这个病毒的名字叫cu
作者: F.D.Roosevelt    时间: 2006-11-19 19:17
arp 欺骗, 最方便的解决办法, 找到肇事者, 用肉体或者精神或者财政等等方法直接进行惩处
稍复杂的,做端口绑定, 配合 VLAN 更好.

如果不嫌烦, 你就慢慢耗着吧.



欢迎光临 Chinaunix (http://bbs.chinaunix.net/) Powered by Discuz! X3.2