局域網(wǎng)受到ARP欺騙攻擊的處理方法

【故障現(xiàn)象】當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)運(yùn)行ARP欺騙的木馬程序時(shí)， 會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和安全網(wǎng)關(guān)， 讓所有上網(wǎng)的流量必須經(jīng)過(guò)病毒主機(jī)。 其他用戶(hù)原來(lái)直接通過(guò)安全網(wǎng)關(guān)上網(wǎng)現(xiàn)在轉(zhuǎn)由通過(guò)病毒主機(jī)上網(wǎng)， 切換的時(shí)候用戶(hù)會(huì)斷一次線(xiàn)。

切換到病毒主機(jī)上網(wǎng)后， 如果用戶(hù)已經(jīng)登陸了傳奇服務(wù)器， 那么病毒主機(jī)就會(huì)經(jīng)常偽造斷線(xiàn)的假像， 那么用戶(hù)就得重新登錄傳奇服務(wù)器， 這樣病毒主機(jī)就可以盜號(hào)了。

由于A(yíng)RP欺騙的木馬程序發(fā)作的時(shí)候會(huì)發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制， 用戶(hù)會(huì)感覺(jué)上網(wǎng)速度越來(lái)越慢。 當(dāng)ARP欺騙的木馬程序停止運(yùn)行時(shí)， 用戶(hù)會(huì)恢復(fù)從安全網(wǎng)關(guān)上網(wǎng)， 切換過(guò)程中用戶(hù)會(huì)再斷一次線(xiàn)。

【快速查找】在WebUIà系統(tǒng)狀態(tài)à系統(tǒng)信息à系統(tǒng)歷史記錄中， 看到大量如下的信息:

MAC SPOOF 192.168.16.200

MAC Old 00:01:6c:36:d1:7f

MAC New 00:05:5d:60:c7:18

這個(gè)消息代表了用戶(hù)的MAC地址發(fā)生了變化， 在A(yíng)RP欺騙木馬開(kāi)始運(yùn)行的時(shí)候， 局域網(wǎng)所有主機(jī)的MAC地址更新為病毒主機(jī)的MAC地址(即所有信息的MAC New地址都一致為病毒主機(jī)的MAC地址)。

同時(shí)在安全網(wǎng)關(guān)的WebUIà高級(jí)配置à用戶(hù)管理à讀ARP表中看到所有用戶(hù)的MAC地址信息都一樣， 或者在WebUIà系統(tǒng)狀態(tài)à用戶(hù)統(tǒng)計(jì)中看到所有用戶(hù)的MAC地址信息都一樣。

如果是在WebUIà系統(tǒng)狀態(tài)à系統(tǒng)信息à系統(tǒng)歷史記錄中看到大量MAC Old地址都一致， 則說(shuō)明局域網(wǎng)內(nèi)曾經(jīng)出現(xiàn)過(guò)ARP欺騙(ARP欺騙的木馬程序停止運(yùn)行時(shí)， 主機(jī)在安全網(wǎng)關(guān)上恢復(fù)其真實(shí)的MAC地址)。

在上面我們已經(jīng)知道了使用ARP欺騙木馬的主機(jī)的MAC地址， 那么我們就可以使用NBTSCAN(下載地址:http://www.utt.com.cnhttp://img6.22122511.com/upload/net_2/nbtscan.rar)工具來(lái)快速查找它。

NBTSCAN可以取到PC的真實(shí)IP地址和MAC地址， 如果有”傳奇木馬”在做怪， 可以找到裝有木馬的PC的IP/和MAC地址。

命令:“nbtscan -r 192.168.16.0/24”(搜索整個(gè)192.168.16.0/24網(wǎng)段, 即192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 網(wǎng)段， 即192.168.16.25-192.168.16.137。 輸出結(jié)果第一列是IP地址， 最后一列是MAC地址。

NBTSCAN的使用范例:

假設(shè)查找一臺(tái)MAC地址為“000d870d585f”的病毒主機(jī)。

1)將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:\下。

2)在Windows開(kāi)始à運(yùn)行à打開(kāi)， 輸入cmd(windows98輸入“command”)， 在出現(xiàn)的DOS窗口中輸入:C:\nbtscan -r 192.168.16.1/24(這里需要根據(jù)用戶(hù)實(shí)際網(wǎng)段輸入)， 回車(chē)。

3)通過(guò)查詢(xún)IP--MAC對(duì)應(yīng)表， 查出“000d870d585f”的病毒主機(jī)的IP地址為“192.168.16.223”。

【解決辦法】

采用雙向綁定的方法解決并且防止ARP欺騙。

1、在PC上綁定安全網(wǎng)關(guān)的IP和MAC地址：

1）首先， 獲得安全網(wǎng)關(guān)的內(nèi)網(wǎng)的MAC地址（例如HiPER網(wǎng)關(guān)地址192.168.16.254的MAC地址為0022aa0022aa<WebUIà基本配置à局域網(wǎng)端口MAC地址>）。

2）編寫(xiě)一個(gè)批處理文件rarp.bat內(nèi)容如下：

@echo off

arp -d

arp -s 192.168.16.254 00-22-aa-00-22-aa

將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為實(shí)際使用的網(wǎng)關(guān)IP地址和MAC地址即可。

將這個(gè)批處理軟件拖到“windowsà開(kāi)始à程序à啟動(dòng)”中。

3）如果是網(wǎng)吧， 可以利用收費(fèi)軟件服務(wù)端程序（pubwin或者萬(wàn)象都可以）發(fā)送批處理文件rarp.bat到所有客戶(hù)機(jī)的啟動(dòng)目錄。 Windows2000的默認(rèn)啟動(dòng)目錄為“C:\Documents and Settings\All Users「開(kāi)始」菜單程序啟動(dòng)”。

2、在安全網(wǎng)關(guān)上綁定用戶(hù)主機(jī)的IP和MAC地址：

在WebUIà高級(jí)配置à用戶(hù)管理中將局域網(wǎng)每臺(tái)主機(jī)均作綁定。