【故障原因】
局域網內有人使用ARP欺騙的木馬程序(比如:傳奇盜號的軟件,某些傳奇外掛中也被惡意加載了此程序)。
【故障原理】
要了解故障原理,我們先來了解一下ARP協議。
在局域網中,通過ARP協議來完成IP地址轉換為第二層物理地址(即MAC地址)的。ARP協議對網絡安全具有重要的意義。通過偽造IP地址和Mac地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量使網絡阻塞。
ARP協議是“Address Resolution Protocol”(地址解析協議)的縮寫。在局域網中,網絡中實際傳輸的是“幀”,幀裡面是有目標主機的MAC地址的。在以太網中,一個主機要和另一個主機進行直接通信,必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢?它就是通過地址解析協議獲得的。所謂“地址解析”就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。ARP協議的基本功能就是通過目標設備的IP地址,查詢目標設備的Mac地址,以保證通信的順利進行。
每台安裝有TCP/IP協議的電腦裡都有一個ARP緩存表,表裡的IP地址與Mac地址是一一對應的,如下表所示。
主機 IP地址 Mac地址
A 192.168.16.1 aa-aa-aa-aa-aa-aa
B 192.168.16.2 bb-bb-bb-bb-bb-bb
C 192.168.16.3 cc-cc-cc-cc-cc-cc
D 192.168.16.4 dd-dd-dd-dd-dd-dd
我們以主機A(192.168.16.1)向主機B(192.168.16.2)發送數據為例。當發送數據時,主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了,也就知道了目標MAC地址,直接把目標MAC地址寫入幀裡面發送就可以了;如果在ARP緩存表中沒有找到相對應的IP地址,主機A就會在網絡上發送一個廣播,目標MAC地址是“FF.FF.FF.FF.FF.FF”,這表示向同一網段內的所有主機發出這樣的詢問:“192.168.16.2的MAC地址是什麼?”網絡上其他主機並不響應ARP詢問,只有主機B接收到這個幀時,才向主機A做出這樣的回應:“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。這樣,主機A就知道了主機B的Mac地址,它就可以向主機B發送信息了。同時它還更新了自己的ARP緩存表,下次再向主機B發送信息時,直接從ARP緩存表裡查找就可以了。ARP緩存表采用了老化機制,在一段時間內如果表中的某一行沒有使用,就會被刪除,這樣可以大大減少ARP緩存表的長度,加快查詢速度。
從上面可以看出,ARP協議的基礎就是信任局域網內所有的人,那麼就很容易實現在以太網上的ARP欺騙。對目標A進行欺騙,A去Ping主機C卻發送到了DD-DD-DD-DD-DD-DD這個地址上。如果進行欺騙的時候,把C的Mac地址騙為DD-DD-DD-DD-DD-DD,於是A發送到C上的數據包都變成發送給D的了。這不正好是D能夠接收到A發送的數據包了麼,嗅探成功。
A對這個變化一點都沒有意識到,但是接下來的事情就讓A產生了懷疑。因為A和C連接不上了。D對接收到A發送給C的數據包可沒有轉交給C。
做“man in the middle”,進行ARP重定向。打開D的IP轉發功能,A發送過來的數據包,轉發給C,好比一個路由器一樣。不過,假如D發送ICMP重定向的話就中斷了整個計劃。
D直接進行整個包的修改轉發,捕獲到A發送給C的數據包,全部進行修改後再轉發給C,而C接收到的數據包完全認為是從A發送來的。不過,C發送的數據包又直接傳遞給A,倘若再次進行對C的ARP欺騙。現在D就完全成為A與C的中間橋梁了,對於A和C之間的通訊就可以了如指掌了。
【故障現象】
當局域網內某台主機運行ARP欺騙的木馬程序時,會欺騙局域網內所有主機和路由器,讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過路由器上網現在轉由通過病毒主機上網,切換的時候用戶會斷一次線。
切換到病毒主機上網後,如果用戶已經登陸了傳奇服務器,那麼病毒主機就會經常偽造斷線的假像,那麼用戶就得重新登錄傳奇服務器,這樣病毒主機就可以盜號了。
由於ARP欺騙的木馬程序發作的時候會發出大量的數據包導致局域網通訊擁塞以及其自身處理能力的限制,用戶會感覺上網速度越來越慢。當ARP欺騙的木馬程序停止運行時,用戶會恢復從路由器上網,切換過程中用戶會再斷一次線。
【HiPER用戶快速發現ARP欺騙木馬】
在路由器的“系統歷史記錄”中看到大量如下的信息(440以後的路由器軟件版本中才有此提示):
Mac Chged 10.128.103.124
Mac Old 00:01:6c:36:d1:7f
Mac New 00:05:5d:60:c7:18
這個消息代表了用戶的Mac地址發生了變化,在ARP欺騙木馬開始運行的時候,局域網所有主機的MAC地址更新為病毒主機的MAC地址(即所有信息的MAC New地址都一致為病毒主機的MAC地址),同時在路由器的“用戶統計”中看到所有用戶的Mac地址信息都一樣。
如果是在路由器的“系統歷史記錄”中看到大量Mac Old地址都一致,則說明局域網內曾經出現過ARP欺騙(ARP欺騙的木馬程序停止運行時,主機在路由器上恢復其真實的Mac地址)。
【在局域網內查找病毒主機】
在上面我們已經知道了使用ARP欺騙木馬的主機的Mac地址,那麼我們就可以使用NBTSCAN(下載地址:http://www.utt.com.cn/upload/nbtscan.rar)工具來快速查找它。
NBTSCAN可以取到PC的真實IP地址和Mac地址,如果有”傳奇木馬”在做怪,可以找到裝有
C:\Documents and Settings\ALAN>C:\nbtscan -r 192.168.16.1/24
Warning: -r option not supported under Windows. Running without it.
Doing NBT name scan for addresses from 192.168.16.1/24
IP address NetBiOS Name Server User Mac address
------------------------------------------------------------------------------
192.168.16.0 Sendto failed: Cannot assign requested address
192.168.16.50 SERVER
192.168.16.111 LLF
192.168.16.121 UTT-HIPER
192.168.16.175 JC
192.168.16.223 test123
3)通過查詢IP--Mac對應表,查出“000d870d585f”的病毒主機的IP地址為“192.168.16.223”。
【解決思路】
1、不要把你的網絡安全信任關系建立在IP基礎上或MAC基礎上,(rarp同樣存在欺騙的問題),理想的關系應該建立在IP+Mac基礎上。
2、設置靜態的MacIP對應表,不要讓主機刷新你設定好的轉換表。
3、除非很有必要,否則停止使用ARP,將ARP做為永久條目保存在對應表中。
4、使用ARP服務器。通過該服務器查找自己的ARP轉換表來響應其他機器的ARP廣播。確保這台ARP服務器不被黑。
上海艾泰科技有限公司是一家專業為中小型網絡用戶提供互聯網接入、安全及管理解決方案的高科技企業。2003年4月,艾泰科技針對網吧用戶的需求,推出具有穩定、高速、抗擊能力強等特點的網吧專用路由器,能夠快速轉發,內網監控,IP/Mac綁定,多線路路由策略,防止蠕蟲病毒和ARP攻擊的同時更安全 穩定 高速,獲得市場廣泛認可。目前艾泰科技已經在IP VPN,智能業務路由器,網吧接入,寬帶接入業務運行維護管理等領域取得了領先地位。全國現有近兩萬家網吧都是艾泰科技產品
您正在看的SQLserver教程是:解決ARP攻擊的方法。的用戶,其中在大中型網吧約百分三十以上的市場占用率
《天下網吧》為了提高網吧網管人員的理論水平和管理能力,使網管人員對網絡管理和控制的重要性以及如何實際操作有了更多的理解。艾泰科技合作開辦的“艾泰網絡大學”欄目,本欄目緊密聯系網管員的日常工作,以滿足網管員的各方面需要。
