ARP常見攻擊類型

個人認為常見的ARP攻擊為兩種類型：ARP掃描和ARP欺騙。

1ARP掃描（ARP請求風暴）

通訊模式（可能）：

請求->請求->請求->請求->請求->請求->應答->請求->請求->請求...

描述：

網絡中出現大量ARP請求廣播包，幾乎都是對網段內的所有主機進行掃描。大量的ARP請求廣播可能會占用網絡帶寬資源；ARP掃描一般為ARP攻擊的前奏。

出現原因（可能）：

*病毒程序，偵聽程序，掃描程序。

*如果網絡分析軟件部署正確，可能是我們只鏡像了交換機上的部分端口，所以大量ARP請求是來自與非鏡像口連接的其它主機發(fā)出的。

*如果部署不正確，這些ARP請求廣播包是來自和交換機相連的其它主機。

2ARP欺騙

ARP協議并不只在發(fā)送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包的時候，就會對本地的ARP緩存進行更新，將應答中的IP和MAC地址存儲在ARP緩存中。所以在網絡中，有人發(fā)送一個自己偽造的ARP應答，網絡可能就會出現問題。這可能就是協議設計者當初沒考慮到的！

2.1欺騙原理

假設一個網絡環(huán)境中，網內有三臺主機，分別為主機A、B、C。主機詳細信息如下描述：

A的地址為：IP：MAC:AA-AA-AA-AA-AA-AA

B的地址為：IP：MAC:BB-BB-BB-BB-BB-BB

C的地址為：IP：MAC:CC-CC-CC-CC-CC-CC

正常情況下A和C之間進行通訊，但是此時B向A發(fā)送一個自己偽造的ARP應答，而這個應答中的數據為發(fā)送方IP地址是（C的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（C的MAC地址本來應該是CC-CC-CC-CC-CC-CC，這里被偽造了）。當A接收到B偽造的ARP應答，就會更新本地的ARP緩存（A被欺騙了），這時B就偽裝成C了。同時，B同樣向C發(fā)送一個ARP應答，應答包中發(fā)送方IP地址四（A的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（A的MAC地址本來應該是AA-AA-AA-AA-AA-AA），當C收到B偽造的ARP應答，也會更新本地ARP緩存（C也被欺騙了），這時B就偽裝成了A。這樣主機A和C都被主機B欺騙，A和C之間通訊的數據都經過了B。主機B完全可以知道他們之間說的什么：）。這就是典型的ARP欺騙過程。

注意：一般情況下，ARP欺騙的某一方應該是網關。

2.2兩種情況

ARP欺騙存在兩種情況：一種是欺騙主機作為“中間人”，被欺騙主機的數據都經過它中轉一次，這樣欺騙主機可以竊取到被它欺騙的主機之間的通訊數據；另一種讓被欺騙主機直接斷網。

第一種：竊取數據（嗅探）

通訊模式：

應答->應答->應答->應答->應答->請求->應答->應答->請求->應答...

描述：

這種情況就屬于我們上面所說的典型的ARP欺騙，欺騙主機向被欺騙主機發(fā)送大量偽造的ARP應答包進行欺騙，當通訊雙方被欺騙成功后，自己作為了一個“中間人“的身份。此時被欺騙的主機雙方還能正常通訊，只不過在通訊過程中被欺騙者“竊聽”了。

出現原因（可能）：

*木馬病毒

*嗅探

*人為欺騙

第二種：導致斷網

通訊模式：

應答->應答->應答->應答->應答->應答->請求…

描述：

這類情況就是在ARP欺騙過程中，欺騙者只欺騙了其中一方，如B欺騙了A，但是同時B沒有對C進行欺騙，這樣A實質上是在和B通訊，所以A就不能和C通訊了，另外一種情況還可能就是欺騙者偽造一個不存在地址進行欺騙。

對于偽造地址進行的欺騙，在排查上比較有難度，這里最好是借用TAP設備（呵呵，這個東東好像有點貴勒），分別捕獲單向數據流進行分析！

出現原因（可能）：

*木馬病毒

*人為破壞

*一些網管軟件的控制功能ARP的處理方法前言:今年算是ARP和LOGO1病毒對網吧的危害最大,在前期我們一般采用雙向梆定的方法即可解決

但是ARP變種

出現日期大概在10月份,大家也許還在為網關掉線還以為是電信的問題還煩惱吧,其實不然

變種過程ARP病毒-變種OK病毒-變種TrojanDropper.Win32.Juntador.f或TrojanDropper.Win32.Juntador.C

現在的這個ARP變種病毒更是厲害,我把自己遇到過的情況說給大家聽聽,如果大家有這些情況,不好意思“恭喜你”

你中大獎了,呵呵~~

病毒發(fā)作情況:現在的ARP變種

不是攻擊客戶機的MAC地址攻擊路由內網網關,改變了它的原理,這點實在佩服

直接攻擊您的路由的什么地址你知道嗎?哈哈~~猜猜吧~~不賣關了~~新的變種ARP直接攻擊您路由的MAC地址和外網網關

而且直接就把綁定IP與MAC的批處理文件禁用了。一會兒全掉線,一會兒是幾臺幾臺的掉線。而且

中了ARP的電腦會把那臺電腦轉變成內網的代理服務器進行盜號和發(fā)動攻擊。如果大家發(fā)現中了ARP沒有掉線,那說明你

中了最新的變種,你只要重啟了那臺中了ARP病毒的電腦,那么受到ARP攻擊的機子就會全部掉線

內網的網關不掉包,而外網的IP和DNS狂掉,這點也是ARP變種的出現的情況,請大家留意。

我在最后會公布解決的案例和相關補丁,請大家看完全文可能對你有幫助哦,不要急著下~呵呵~

該病毒發(fā)作時候的特征為,中毒的機器會偽造某臺電腦的MAC地址,如該偽造地址為網關服務器的地址,那么對整個網吧均會造成影響,用戶表現為上網經常瞬斷。

一、在任意客戶機上進入命令提示符(或MS-DOS方式),用arp

–a命令查看:

C:\WINNT\system32>arp

-a

Interface:

93

on

Interface

0x1000003

Internet

Address

Physical

Address

Type

00-50-da-8a-62-2c

dynamic

3

00-11-2f-43-81-8b

dynamic

4

00-50-da-8a-62-2c

dynamic

5

00-05-5d-ff-a8-87

dynamic

00

00-50-ba-fa-59-fe

dynamic

可以看到有兩個機器的MAC地址相同,那么實際檢查結果為

00-50-da-8a-62-2c為4的MAC地址,的實際MAC地址為00-02-ba-0b-04-32,我們可以判定4實際上為有病毒的機器,它偽造了的MAC地址。

二、在4上進入命令提示符(或MS-DOS方式),用arp

–a命令查看:

C:\WINNT\system32>arp

-a

Interface:

4

on

Interface

0x1000003

Internet

Address

Physical

Address

Type

00-02-ba-0b-04-32

dynamic

3

00-11-2f-43-81-8b

dynamic

5

00-05-5d-ff-a8-87

dynamic

93

00-11-2f-b2-9d-17

dynamic

00

00-50-ba-fa-59-fe

dynamic

可以看到帶病毒的機器上顯示的MAC地址是正確的,而且該機運行速度緩慢,應該為所有流量在二層通過該機進行轉發(fā)而導致,該機重啟后網吧內所有電腦都不能上網,只有等arp刷新MAC地址后才正常,一般在2、3分鐘左右。

三、如果主機可以進入dos窗口,用arp

–a命令可以看到類似下面的現象:

C:\WINNT\system32>arp

-a

Interface:

on

Interface

0x1000004

Internet

Address

Physical

Address

Type

3

00-50-da-8a-62-2c

dynamic

4

00-50-da-8a-62-2c

dynamic

5

00-50-da-8a-62-2c

dynamic

93

00-50-da-8a-62-2c

dynamic

00

00-50-da-8a-62-2c

dynamic

該病毒不發(fā)作的時候,在代理服務器上看到的地址情況如下:

C:\WINNT\system32>arp

-a

Interface:

on

Interface

0x1000004

Internet

Address

Physical

Address

Type

3

00-11-2f-43-81-8b

dynamic

4

00-50-da-8a-62-2c

dynamic

5

00-05-5d-ff-a8-87

dynamic

93

00-11-2f-b2-9d-17

dynamic

00

00-50-ba-fa-59-fe

dynamic

病毒發(fā)作的時候,可以看到所有的ip地址的mac地址被修改為00-50-da-8a-62-2c,正常的時候可以看到MAC地址均不會相同。

成功就是潛意識的等待-學無止境!至弱即為至強

一步一步按步驟操作

解決辦法一:

一、采用客戶機及網關服務器上進行靜態(tài)ARP綁定的辦法來解決。

1.

在所有的客戶端機器上做網關服務器的ARP靜態(tài)綁定。

首先在網關服務器(代理主機)的電腦上查看本機MAC地址

C:\WINNT\system32>ipconfig

/all

Ethernet

adapter

本地連接

2:

Connection-specific

DNS

Suffix

.

:

Description

.

.

.

.

.

.

.

.

.

.

.

:

Intel?

PRO/100B

PCI

Adapter

(TX)

Physical

Address.

.

.

.

.

.

.

.

.

:

00-02-ba-0b-04-32

Dhcp

Enabled.

.

.

.

.

.

.

.

.

.

.

:

No

IP

Address.

.

.

.

.

.

.

.

.

.

.

.

:

Subnet

Mask

.

.

.

.

.

.

.

.

.

.

.

:

然后在客戶機器的DOS命令下做ARP的靜態(tài)綁定

C:\WINNT\system32>arp

–s

00-02-ba-0b-04-32

注:如有條件,建議在客戶機上做所有其他客戶機的IP和MAC地址綁定。

2.

在網關服務器(代理主機)的電腦上做客戶機器的ARP靜態(tài)綁定

首先在所有的客戶端機器上查看IP和MAC地址,命令如上。

然后在代理主機上做所有客戶端服務器的ARP靜態(tài)綁定。如:

C:\winnt\system32>

arp

–s

3

00-11-2f-43-81-8b

C:\winnt\system32>

arp

–s

4

00-50-da-8a-62-2c

C:\winnt\system32>

arp

–s

5

00-05-5d-ff-a8-87

。。。。。。。。。

3.

以上ARP的靜態(tài)綁定最后做成一個windows自啟動文件,讓電腦一啟動就執(zhí)行以上操作,保證配置不丟失。

二、有條件的網吧可以在交換機內進行IP地址與MAC地址綁定

三、IP和MAC進行綁定后,更換網卡需要重新綁定,因此建議在客戶機安裝殺毒軟件來解決此類問題:該網吧發(fā)現的病毒是變速齒輪2.04B中帶的,病毒程序在

/list/3007.html

可下載到:

解決方法二:

1:在網關路由上對客戶機使用靜態(tài)MAC綁定。ROUTE

OS軟路由的用戶可以參照相關教程,或是在IP--->ARP列表中一一選中對應項目單擊右鍵選擇“MAKE

STATIC”命令,創(chuàng)建靜態(tài)對應項。

用防火墻封堵常見病毒端口:134-139,445,500,6677,5800,5900,593,1025,1026,2745,3127,6129

以及P2P下載

2:在客戶機上進行網關IP及其MAC靜態(tài)綁定,并修改導入如下注冊表:

(A)禁止ICMP重定向報文

ICMP的重定向報文控制著Windows是否會改變路由表從而響應網絡設備發(fā)送給它的ICMP重定向消息,這樣雖然方便了用戶,但是有時也會被他人利用來進行網絡攻擊,這對于一個計算機網絡管理員來說是一件非常麻煩的事情。通過修改注冊表可禁止響應ICMP的重定向報文,從而使網絡更為安全。

修改的方法是:打開注冊表編輯器,找到或新建“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters”分支,在右側窗口中將子鍵“EnableICMPRedirects”(REG_DWORD型)的值修改為0(0為禁止ICMP的重定向報文)即可。

(B)禁止響應ICMP路由通告報文

“ICMP路由公告”功能可以使他人的計算機的網絡連接異常、數據被竊聽、計算機被用于流量攻擊等,因此建議關閉響應ICMP路由通告報文。

修改的方法是:打開注冊表編輯器,找到或新建“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters\Interfaces”分支,在右側窗口中將子鍵“PerformRouterDiscovery”REG_DWORD型的值修改為0(0為禁止響應ICMP路由通告報文,2為允許響應ICMP路由通告報文)。修改完成后退出注冊表編輯器,重新啟動計算機即可。

(C)設置arp緩存老化時間設置

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters

ArpCacheLifeREG_DWORD

0-0xFFFFFFFF(秒數,默認值為120秒)

ArpCacheMinReferencedLifeREG_DWORD

0-0xFFFFFFFF(秒數,默認值為600)

說明:如果ArpCacheLife大于或等于ArpCacheMinReferencedLife,則引用或未引用的ARP

緩存項在ArpCacheLife秒后到期.如果ArpCacheLife小于ArpCacheMinReferencedLife,

未引用項在ArpCacheLife秒后到期,而引用項在ArpCacheMinReferencedLife秒后到期.

每次將出站數據包發(fā)送到項的IP地址時,就會引用ARP緩存中的項。

曾經看見有人說過,只要保持IP-MAC緩存不被更新,就可以保持正確的ARP協議運行。關于此點,我想可不可以通過,修改注冊表相關鍵值達到:

默認情況下ARP緩存的超時時限是兩分鐘,你可以在注冊表中進行修改。可以修改的鍵值有兩個,都位于

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

修改的鍵值:

鍵值1:ArpCacheLife,類型為Dword,單位為秒,默認值為120

鍵值2:ArpCacheMinReferencedLife,類型為Dword,單位為秒,默認值為600

注意:這些鍵值默認是不存在的,如果你想修改,必須自行創(chuàng)建;修改后重啟計算機后生效。

如果ArpCacheLife的值比ArpCacheMinReferencedLife的值大,那么ARP緩存的超時時間設置為ArpCacheLife的值;如果ArpCacheLife的值不存在或者比ArpCacheMinReferencedLife的值小,那么對于未使用的ARP緩存,超時時間設置為120秒;對于正在使用的ARP緩存,超時時間則設置為ArpCacheMinReferencedLife的值。

我們也許可以將上述鍵值設置為非常大,不被強制更新ARP緩存。為了防止病毒自己修改注冊表,可以對注冊表加以限制。

對于小網吧,只要事先在沒遇到ARP攻擊前,通過任意一個IP-MAC地址查看工具,紀錄所有機器的正確IP-MAC地址。等到受到攻擊可以查看哪臺機器出現問題,然后通常是暴力解決,問題也許不是很嚴重。但是對于內網電腦數量過大,每臺機器都幫定所有IP-MAC地址,工作量非常巨大,必須通過專門軟件執(zhí)行。

解決辦法三:

刪除system32\npptools.dll,我維護的網吧那里刪除了一個月了,從來沒中過ARP病毒,也無任何不良反映,ARP病毒缺少了npptools.dll這個文件根本不能運行,目前所發(fā)現的ARP病毒通通提示npptools.dll出錯,無法運行

暫時還沒發(fā)現可以自動生成npptools.dll的病毒,npptools.dll本身就40多K,病毒如果還要生成自己的運行庫的話,不是幾十K的大小就可以辦到的,再大一些的就不是病毒了

當然,還是要做ARP

-S綁定,只綁定本機自身跟路由即可,可以在“一定程度上”減少ARP程序的破壞

刪除不了同志,麻煩您先關閉文件保護,最簡單的方法就是用XPLITE來關閉,網上一搜一大把的

另外再次聲明,這個方法只對ARP病毒生效,對惡意軟件只是小部分有效的

特別提醒一點:不要忘記了梆定外網網關和MAC,下面我舉個例子吧

IP:0

子網掩碼:55

網關:[一定要綁定這個網關地址和MAC]

DNS:22

備用DNS:21

個人推薦安全工具及補丁:

個人認為這點TP-LINK480T的路由做的非常好,具體請看本站的對于TP-LINK480T的路由介紹

小網吧使用TP-LINK480T的請升級最新版本,本站有下載

使用思科和華為的請綁定網關地址和MACARP攻擊原理及解決方法【故障原因】局域網內有人使用ARP欺騙的木馬程序（比如：傳奇盜號的軟件，某些傳奇外掛中也被惡意加載了此程序）?！竟收显怼恳私夤收显恚覀兿葋砹私庖幌翧RP協議。在局域網中，通過ARP協議來完成IP地址轉換為第二層物理地址（即MAC地址）的。ARP協議對網絡安全具有重要的意義。通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞。ARP協議是“AddressResolutionProtocol”（地址解析協議）的縮寫。在局域網中，網絡中實際傳輸的是“幀”，幀里面是有目標主機的MAC地址的。在以太網中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢？它就是通過地址解析協議獲得的。所謂“地址解析”就是主機在發(fā)送幀前將目標IP地址轉換成目標MAC地址的過程。ARP協議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的順利進行。每臺安裝有TCP/IP協議的電腦里都有一個ARP緩存表，表里的IP地址與MAC地址是一一對應的，如下表所示。主機IP地址MAC地址Aaa-aa-aa-aa-aa-aaBbb-bb-bb-bb-bb-bbCcc-cc-cc-cc-cc-ccDdd-dd-dd-dd-dd-dd我們以主機A（）向主機B（）發(fā)送數據為例。當發(fā)送數據時，主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了，也就知道了目標MAC地址，直接把目標MAC地址寫入幀里面發(fā)送就可以了；如果在ARP緩存表中沒有找到相對應的IP地址，主機A就會在網絡上發(fā)送一個廣播，目標MAC地址是“FF.FF.FF.FF.FF.FF”，這表示向同一網段內的所有主機發(fā)出這樣的詢問：“的MAC地址是什么？”網絡上其他主機并不響應ARP詢問，只有主機B接收到這個幀時，才向主機A做出這樣的回應：“的MAC地址是bb-bb-bb-bb-bb-bb”。這樣，主機A就知道了主機B的MAC地址，它就可以向主機B發(fā)送信息了。同時它還更新了自己的ARP緩存表，下次再向主機B發(fā)送信息時，直接從ARP緩存表里查找就可以了。ARP緩存表采用了老化機制，在一段時間內如果表中的某一行沒有使用，就會被刪除，這樣可以大大減少ARP緩存表的長度，加快查詢速度。從上面可以看出，ARP協議的基礎就是信任局域網內所有的人，那么就很容易實現在以太網上的ARP欺騙。對目標A進行欺騙，A去Ping主機C卻發(fā)送到了DD-DD-DD-DD-DD-DD這個地址上。如果進行欺騙的時候，把C的MAC地址騙為DD-DD-DD-DD-DD-DD，于是A發(fā)送到C上的數據包都變成發(fā)送給D的了。這不正好是D能夠接收到A發(fā)送的數據包了么，嗅探成功。A對這個變化一點都沒有意識到，但是接下來的事情就讓A產生了懷疑。因為A和C連接不上了。D對接收到A發(fā)送給C的數據包可沒有轉交給C。做“maninthemiddle”，進行ARP重定向。打開D的IP轉發(fā)功能，A發(fā)送過來的數據包，轉發(fā)給C，好比一個路由器一樣。不過，假如D發(fā)送ICMP重定向的話就中斷了整個計劃。D直接進行整個包的修改轉發(fā)，捕獲到A發(fā)送給C的數據包，全部進行修改后再轉發(fā)給C，而C接收到的數據包完全認為是從A發(fā)送來的。不過，C發(fā)送的數據包又直接傳遞給A，倘若再次進行對C的ARP欺騙?，F在D就完全成為A與C的中間橋梁了，對于A和C之間的通訊就可以了如指掌了?！竟收犀F象】當局域網內某臺主機運行ARP欺騙的木馬程序時，會欺騙局域網內所有主機和路由器，讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過路由器上網現在轉由通過病毒主機上網，切換的時候用戶會斷一次線。切換到病毒主機上網后，如果用戶已經登陸了傳奇服務器，那么病毒主機就會經常偽造斷線的假像，那么用戶就得重新登錄傳奇服務器，這樣病毒主機就可以盜號了。由于ARP欺騙的木馬程序發(fā)作的時候會發(fā)出大量的數據包導致局域網通訊擁塞以及其自身處理能力的限制，用戶會感覺上網速度越來越慢。當ARP欺騙的木馬程序停止運行時，用戶會恢復從路由器上網，切換過程中用戶會再斷一次線?！綡iPER用戶快速發(fā)現ARP欺騙木馬】在路由器的“系統(tǒng)歷史記錄”中看到大量如下的信息（440以后的路由器軟件版本中才有此提示）：MACChged24MACOld00:01:6c:36:d1:7fMACNew00:05:5d:60:c7:18這個消息代表了用戶的MAC地址發(fā)生了變化，在ARP欺騙木馬開始運行的時候，局域網所有主機的MAC地址更新為病毒主機的MAC地址（即所有信息的MACNew地址都一致為病毒主機的MAC地址），同時在路由器的“用戶統(tǒng)計”中看到所有用戶的MAC地址信息都一樣。如果是在路由器的“系統(tǒng)歷史記錄”中看到大量MACOld地址都一致，則說明局域網內曾經出現過ARP欺騙（ARP欺騙的木馬程序停止運行時，主機在路由器上恢復其真實的MAC地址）。【在局域網內查找病毒主機】在上面我們已經知道了使用ARP欺騙木馬的主機的MAC地址，那么我們就可以使用NBTSCAN（下載地址：/Software/catalog21/339.html）工具來快速查找它。NBTSCAN可以取到PC的真實IP地址和MAC地址，如果有”傳奇木馬”在做怪，可以找到裝有木馬的PC的IP/和MAC地址。命令：“nbtscan-r/24”（搜索整個/24網段,即-54）；或“nbtscan5-137”搜索5-137網段，即5-37。輸出結果第一列是IP地址，最后一列是MAC地址。NBTSCAN的使用范例：假設查找一臺MAC地址為“000d870d585f”的病毒主機。1）將壓縮包中的nbtscan.exe和cygwin1.dll解壓縮放到c:/下。2）在Windows開始—運行—打開，輸入cmd（windows98輸入“command”），在出現的DOS窗口中輸入：C:/nbtscan-r/24（這里需要根據用戶實際網段輸入），回車。C:/DocumentsandSettings/ALAN>C:/nbtscan-r/24Warning:-roptionnotsupportedunderWindows.Runningwithoutit.DoingNBTnamescanforaddressesfrom/24IPaddressNetBIOSNameServerUserMACaddress-----------------------------------------