Cisco网络技术论坛

Cisco网络技术论坛 (http://bbs.net130.com/index.php)
-   网络安全 (http://bbs.net130.com/forumdisplay.php?f=29)
-   -   【原创】arp伪装攻击包问题处理 (http://bbs.net130.com/showthread.php?t=166707)

yc_liang 2006-10-18 01:35

【原创】arp伪装攻击包问题处理
 
1 个附件
针对arp攻击包的处理
各位好,我用的是ADSL,装了Mcafee防病毒软件,起用了Windows防火墙功能,并且对Mcafee的防病毒软件做了一些规则,但我还是受到了大量的arp伪装攻击,搞到我经常断线,之前受到这个ARP攻击很久,我以为是线路的问题,一直没有理会,最后我的电脑挂了,IE终于出现1,2,3,4,5,6…50….100…个Web页面,直到资源耗尽,开机没多久就出现这种现象,这时IE严重破坏,修复也晚了;我想,我是装电脑高手,难不到我,三两下就开始装,一边喝茶,一边装,还一边听着音乐;^-^

格了重装完了;又开始网上冲浪了,没多久又开始这种经常断线了,这时,我意识到了arp攻击的问题,在开始,运行“CMD”,回车,操作:
C:\Documents and Settings\vincent.leung>arp -a

Interface: 10.7.4.160 --- 0x2
Internet Address Physical Address Type
10.7.4.7 00-0a-eb-83-ad-db dynamic
10.7.4.254 00-08-21-d7-a4-35 dynamic
我arp –d删掉后,ping 202.96.128.86 –t
C:\Documents and Settings\vincent.leung>ping 202.96.128.86 -t

Pinging 202.96.128.86 with 32 bytes of data:

Reply from 202.96.128.86: bytes=32 time=10ms TTL=247
Reply from 202.96.128.86: bytes=32 time=11ms TTL=247
Reply from 202.96.128.86: bytes=32 time=11ms TTL=247
又通了;之后我找了一个“Anti ARP Sniffer”,把自己的网关MAC和自己pc的网卡MAC进行绑定后,再也没有出现过断线了!
终于松了一口气。^-^
以下是配置页面,
它防ARP攻击包情况如下图:


希望对大家有用!^_^

也希望大家一起探讨一下ARP攻击行为,在路由器做一些策略措施等,或者应用一些防火墙策略,但我也碰到过在防火墙arp列表是全0,经常断线;这种现象真毒呀!

原来你也在这里 2006-10-18 11:21

回复: 【原创】arp伪装攻击包问题处理
 
谢了!引以为鉴。

Tigershark 2006-10-18 12:32

回复: 【原创】arp伪装攻击包问题处理
 
好,支持一下。

yc_liang 2006-10-19 01:05

回复: 【原创】arp伪装攻击包问题处理
 
1 个附件
再发一些杂碎给大家皆一皆,^-^

针对上述情况,建议在路由器的接口或全局配置页里做一些动作:
Route(config)#no service tcp-small-servers //关闭一些低端口服务(一般情况下,端口号为19或以下的端口服务是以前用来实验测试的,现在已经过时;)
Route(config)#no service udp-small-servers
Route(config)#no ip finger //Finger检测;
Route(config)#no ip identd //identd是一个不安全的协议;
Route(config)#no ip source-route //如果没有用上源路由,建议关闭;
Route(config)#no ftp-server enable //如果没有用路由器的ftp服务器功能的话,建议关闭;
Route(config)#no ip http server
Route(config)#no ip http secure-server //如果没有应用Web功能,建议关闭;
Route(config)#no snmp-server //如果没有应用snmp功能进行检测的话,建议关闭;
Route(config)#no ip domain-lookup //关闭路由器的DNS功能;
Route(config)#no ip bootp server //dhcp的雌形,无盘工作站应用,建议关闭;
Route(config)#no service dhcp //dhcp功能;
Route(config-if)#no ip proxy-arp //arp代理;
Route(config-if)#no ip directed-broadcast //定向广播;
Route(config-if)#no ip unreachable //ICMP不可达;
Route(config-if)#no ip redirect //ICMP重定向;
Route(config-if)#no ip mack-reply //ICMP掩码答复;

上述关闭服务后,再把一些端口号禁掉,比如tcp/udp的139和445禁掉,以免网络实施穷举攻击,封锁31337(TCP和UDP)端口将使Back Orifice木马程序更难攻击你的网络;

还有禁止192.168.x.x,172.16.x.x,10.x.x.x对内网入站访问控制列表。
根据你的需求再细化会比较好!

woganneu 2006-10-21 20:53

回复: 【原创】arp伪装攻击包问题处理
 
顶!我从大一开始就用这东西防止arp欺骗了。
现在又出了个新版本``(佩服一下)。
可以成功的阻止网络执法官付费会员版的arp欺骗。
PS:大学第一次K人,就是当时去讯井直接从硬件上拔网口查凶手时```HOHO``万多人都在甩黑砣子哦!

yc_liang 2006-10-22 15:51

回复: 【原创】arp伪装攻击包问题处理
 
针对MAC绑定IP地址技术,做了一个ARP Table,然后做个策略,允许ARP Table tcp(udp) 通信(包括in,out),其它deny;考虑in,out是因为有VPN用户连进来!
这样也会缓和一些arp snoop!
以上是在交换路由上做的动作!

FYI

shuihao2004 2006-10-25 13:46

回复: 【原创】arp伪装攻击包问题处理
 
支持一下,我是搞测试的!我以前的版本没有这个新

321victor 2006-10-26 16:43

回复: 【原创】arp伪装攻击包问题处理
 
  各有各的解决办法。

haha123456 2006-10-27 19:58

回复: 【原创】arp伪装攻击包问题处理
 
不错,给了很多启发

hiendflower 2006-11-07 09:24

回复: 【原创】arp伪装攻击包问题处理
 
引用:

作者: yc_liang (帖子 1336487)
再发一些杂碎给大家皆一皆,^-^

针对上述情况,建议在路由器的接口或全局配置页里做一些动作:
Route(config)#no service tcp-small-servers //关闭一些低端口服务(一般情况下,端口号为19或以下的端口服务是以前用来实验测试的,现在已经过时;)
Route(config)#no service udp-small-servers
Route(config)#no ip finger //Finger检测;
Route(config)#no ip identd //identd是一个不安全的协议;
Route(config)#no ip ...

???
问版主个问题,当攻击的MAC就是网关MAC时,说明了什么问题?有什么办法解决吗?
我已经多次遇到这种问题了,还没有解决,请救急!!

yc_liang 2006-11-07 10:45

回复: 【原创】arp伪装攻击包问题处理
 
这是DoS攻击的一种,黑客把大量的攻击行为放在网关,对它产生设备内存不断地提升直到占满后,设备瘫痪;或者你把ICMP的响应阀值改小一点看一看!

Security.wing 2006-11-07 14:25

回复: 【原创】arp伪装攻击包问题处理
 
装一个看看自己网络状况如何

hiendflower 2006-11-07 20:22

回复: 【原创】arp伪装攻击包问题处理
 
引用:

作者: yc_liang (帖子 1350340)
这是DoS攻击的一种,黑客把大量的攻击行为放在网关,对它产生设备内存不断地提升直到占满后,设备瘫痪;或者你把ICMP的响应阀值改小一点看一看!

谢了,我试试先。
再麻烦一下,有QQ吗,有事想多请教

古伟贤 2006-11-08 23:50

回复: 【原创】arp伪装攻击包问题处理
 
1 个附件
我顶

pililiehuo 2006-11-14 21:03

回复: 【原创】arp伪装攻击包问题处理
 
路过看看


所有时间均为北京时间。现在的时间是 19:20

Powered by vBulletin® 版本 3.8.3
版权所有 ©2000 - 2018,Jelsoft Enterprises Ltd.
增强包 [3.4] 制作: PHP源动力   官方中文站: vBulletin 中文
Copyright © 2003 - 2013 Net130.com, All Rights Reserved 备案号:皖ICP备11007528号