Cisco网络技术论坛

返回   Cisco网络技术论坛 > 网络技术区 > 网络安全

网络安全 系统安全、网络安全、程序及数据库安全、加密与破解......

发表新主题 回复
置顶的主题 推荐为精华主题  
主题工具
旧 2006-10-18, 01:35   #1
yc_liang
圣主
级别:16 | 在线时长:345小时 | 升级还需:12小时级别:16 | 在线时长:345小时 | 升级还需:12小时级别:16 | 在线时长:345小时 | 升级还需:12小时级别:16 | 在线时长:345小时 | 升级还需:12小时
 
yc_liang 的头像
 
注册日期: Apr 2003
住址: 广州市
帖子: 960
积分:1
精华:4
现金:1259金币
资产:1259金币
声望力: 16
声望: 18 yc_liang 向着好的方向发展
声望力: 16
yc_liang 向着好的方向发展
【原创】arp伪装攻击包问题处理

针对arp攻击包的处理
各位好,我用的是ADSL,装了Mcafee防病毒软件,起用了Windows防火墙功能,并且对Mcafee的防病毒软件做了一些规则,但我还是受到了大量的arp伪装攻击,搞到我经常断线,之前受到这个ARP攻击很久,我以为是线路的问题,一直没有理会,最后我的电脑挂了,IE终于出现1,2,3,4,5,6…50….100…个Web页面,直到资源耗尽,开机没多久就出现这种现象,这时IE严重破坏,修复也晚了;我想,我是装电脑高手,难不到我,三两下就开始装,一边喝茶,一边装,还一边听着音乐;^-^

格了重装完了;又开始网上冲浪了,没多久又开始这种经常断线了,这时,我意识到了arp攻击的问题,在开始,运行“CMD”,回车,操作:
C:\Documents and Settings\vincent.leung>arp -a

Interface: 10.7.4.160 --- 0x2
Internet Address Physical Address Type
10.7.4.7 00-0a-eb-83-ad-db dynamic
10.7.4.254 00-08-21-d7-a4-35 dynamic
我arp –d删掉后,ping 202.96.128.86 –t
C:\Documents and Settings\vincent.leung>ping 202.96.128.86 -t

Pinging 202.96.128.86 with 32 bytes of data:

Reply from 202.96.128.86: bytes=32 time=10ms TTL=247
Reply from 202.96.128.86: bytes=32 time=11ms TTL=247
Reply from 202.96.128.86: bytes=32 time=11ms TTL=247
又通了;之后我找了一个“Anti ARP Sniffer”,把自己的网关MAC和自己pc的网卡MAC进行绑定后,再也没有出现过断线了!
终于松了一口气。^-^
以下是配置页面,
它防ARP攻击包情况如下图:


希望对大家有用!^_^

也希望大家一起探讨一下ARP攻击行为,在路由器做一些策略措施等,或者应用一些防火墙策略,但我也碰到过在防火墙arp列表是全0,经常断线;这种现象真毒呀!
上传的附件
文件类型: rar 针对arp攻击包的pc机处理.rar (227.8 KB, 3168 次查看)

此帖于 2006-10-18 01:40 被 yc_liang 编辑。
帅哥 yc_liang 当前离线  
回复时引用此帖
旧 2006-10-18, 11:21   #2
原来你也在这里
注册用户
级别:1 | 在线时长:11小时 | 升级还需:1小时
 
注册日期: Oct 2006
住址: 广东
帖子: 10
现金:14金币
资产:14金币
声望力: 0
声望: 10 原来你也在这里 向着好的方向发展
声望力: 0
原来你也在这里 向着好的方向发展
回复: 【原创】arp伪装攻击包问题处理

谢了!引以为鉴。
帅哥 原来你也在这里 当前离线  
回复时引用此帖
旧 2006-10-18, 12:32   #3
Tigershark
注册用户
级别:9 | 在线时长:120小时 | 升级还需:20小时级别:9 | 在线时长:120小时 | 升级还需:20小时级别:9 | 在线时长:120小时 | 升级还需:20小时级别:9 | 在线时长:120小时 | 升级还需:20小时级别:9 | 在线时长:120小时 | 升级还需:20小时
 
Tigershark 的头像
 
注册日期: Apr 2003
住址: 北极
帖子: 23
现金:40金币
资产:40金币
声望力: 0
声望: 10 Tigershark 向着好的方向发展
声望力: 0
Tigershark 向着好的方向发展
回复: 【原创】arp伪装攻击包问题处理

好,支持一下。
Tigershark 当前离线  
回复时引用此帖
旧 2006-10-19, 01:05   #4
yc_liang
圣主
级别:16 | 在线时长:345小时 | 升级还需:12小时级别:16 | 在线时长:345小时 | 升级还需:12小时级别:16 | 在线时长:345小时 | 升级还需:12小时级别:16 | 在线时长:345小时 | 升级还需:12小时
 
yc_liang 的头像
 
注册日期: Apr 2003
住址: 广州市
帖子: 960
积分:1
精华:4
现金:1259金币
资产:1259金币
声望力: 16
声望: 18 yc_liang 向着好的方向发展
声望力: 16
yc_liang 向着好的方向发展
回复: 【原创】arp伪装攻击包问题处理

再发一些杂碎给大家皆一皆,^-^

针对上述情况,建议在路由器的接口或全局配置页里做一些动作:
Route(config)#no service tcp-small-servers //关闭一些低端口服务(一般情况下,端口号为19或以下的端口服务是以前用来实验测试的,现在已经过时;)
Route(config)#no service udp-small-servers
Route(config)#no ip finger //Finger检测;
Route(config)#no ip identd //identd是一个不安全的协议;
Route(config)#no ip source-route //如果没有用上源路由,建议关闭;
Route(config)#no ftp-server enable //如果没有用路由器的ftp服务器功能的话,建议关闭;
Route(config)#no ip http server
Route(config)#no ip http secure-server //如果没有应用Web功能,建议关闭;
Route(config)#no snmp-server //如果没有应用snmp功能进行检测的话,建议关闭;
Route(config)#no ip domain-lookup //关闭路由器的DNS功能;
Route(config)#no ip bootp server //dhcp的雌形,无盘工作站应用,建议关闭;
Route(config)#no service dhcp //dhcp功能;
Route(config-if)#no ip proxy-arp //arp代理;
Route(config-if)#no ip directed-broadcast //定向广播;
Route(config-if)#no ip unreachable //ICMP不可达;
Route(config-if)#no ip redirect //ICMP重定向;
Route(config-if)#no ip mack-reply //ICMP掩码答复;

上述关闭服务后,再把一些端口号禁掉,比如tcp/udp的139和445禁掉,以免网络实施穷举攻击,封锁31337(TCP和UDP)端口将使Back Orifice木马程序更难攻击你的网络;

还有禁止192.168.x.x,172.16.x.x,10.x.x.x对内网入站访问控制列表。
根据你的需求再细化会比较好!
上传的图像
文件类型: gif arp_attack_log.GIF (24.5 KB, 3544 次查看)
帅哥 yc_liang 当前离线  
回复时引用此帖
旧 2006-10-21, 20:53   #5
woganneu
注册用户
级别:1 | 在线时长:7小时 | 升级还需:5小时
 
注册日期: Oct 2006
住址: 成都
帖子: 9
现金:18金币
资产:18金币
声望力: 0
声望: 10 woganneu 向着好的方向发展
声望力: 0
woganneu 向着好的方向发展
回复: 【原创】arp伪装攻击包问题处理

顶!我从大一开始就用这东西防止arp欺骗了。
现在又出了个新版本``(佩服一下)。
可以成功的阻止网络执法官付费会员版的arp欺骗。
PS:大学第一次K人,就是当时去讯井直接从硬件上拔网口查凶手时```HOHO``万多人都在甩黑砣子哦!
woganneu 当前离线  
回复时引用此帖
旧 2006-10-22, 15:51   #6
yc_liang
圣主
级别:16 | 在线时长:345小时 | 升级还需:12小时级别:16 | 在线时长:345小时 | 升级还需:12小时级别:16 | 在线时长:345小时 | 升级还需:12小时级别:16 | 在线时长:345小时 | 升级还需:12小时
 
yc_liang 的头像
 
注册日期: Apr 2003
住址: 广州市
帖子: 960
积分:1
精华:4
现金:1259金币
资产:1259金币
声望力: 16
声望: 18 yc_liang 向着好的方向发展
声望力: 16
yc_liang 向着好的方向发展
回复: 【原创】arp伪装攻击包问题处理

针对MAC绑定IP地址技术,做了一个ARP Table,然后做个策略,允许ARP Table tcp(udp) 通信(包括in,out),其它deny;考虑in,out是因为有VPN用户连进来!
这样也会缓和一些arp snoop!
以上是在交换路由上做的动作!

FYI
帅哥 yc_liang 当前离线  
回复时引用此帖
旧 2006-10-25, 13:46   #7
shuihao2004
注册用户
级别:0 | 在线时长:3小时 | 升级还需:2小时
 
注册日期: Oct 2006
住址: xs
帖子: 3
现金:14金币
资产:14金币
声望力: 0
声望: 10 shuihao2004 向着好的方向发展
声望力: 0
shuihao2004 向着好的方向发展
回复: 【原创】arp伪装攻击包问题处理

支持一下,我是搞测试的!我以前的版本没有这个新
shuihao2004 当前离线  
回复时引用此帖
旧 2006-10-26, 16:43   #8
321victor
小网
级别:4 | 在线时长:42小时 | 升级还需:3小时级别:4 | 在线时长:42小时 | 升级还需:3小时级别:4 | 在线时长:42小时 | 升级还需:3小时级别:4 | 在线时长:42小时 | 升级还需:3小时
 
321victor 的头像
 
注册日期: Jul 2005
住址: 合肥
帖子: 128
现金:284金币
资产:284金币
声望力: 14
声望: 10 321victor 向着好的方向发展
声望力: 14
321victor 向着好的方向发展
回复: 【原创】arp伪装攻击包问题处理

  各有各的解决办法。

离工程师的水平还相距甚远,还要不断学习!
帅哥 321victor 当前离线  
回复时引用此帖
旧 2006-10-27, 19:58   #9
haha123456
注册用户
级别:4 | 在线时长:43小时 | 升级还需:2小时级别:4 | 在线时长:43小时 | 升级还需:2小时级别:4 | 在线时长:43小时 | 升级还需:2小时级别:4 | 在线时长:43小时 | 升级还需:2小时
 
注册日期: May 2006
住址: beijing
帖子: 64
现金:120金币
资产:120金币
声望力: 13
声望: 10 haha123456 向着好的方向发展
声望力: 13
haha123456 向着好的方向发展
回复: 【原创】arp伪装攻击包问题处理

不错,给了很多启发
haha123456 当前离线  
回复时引用此帖
旧 2006-11-07, 09:24   #10
hiendflower
注册用户
级别:6 | 在线时长:69小时 | 升级还需:8小时级别:6 | 在线时长:69小时 | 升级还需:8小时
 
注册日期: Nov 2003
住址: 济南
帖子: 2
现金:4金币
资产:4金币
声望力: 0
声望: 10 hiendflower 向着好的方向发展
声望力: 0
hiendflower 向着好的方向发展
回复: 【原创】arp伪装攻击包问题处理

引用:
作者: yc_liang 查看帖子
再发一些杂碎给大家皆一皆,^-^

针对上述情况,建议在路由器的接口或全局配置页里做一些动作:
Route(config)#no service tcp-small-servers //关闭一些低端口服务(一般情况下,端口号为19或以下的端口服务是以前用来实验测试的,现在已经过时;)
Route(config)#no service udp-small-servers
Route(config)#no ip finger //Finger检测;
Route(config)#no ip identd //identd是一个不安全的协议;
Route(config)#no ip ...
???
问版主个问题,当攻击的MAC就是网关MAC时,说明了什么问题?有什么办法解决吗?
我已经多次遇到这种问题了,还没有解决,请救急!!
hiendflower 当前离线  
回复时引用此帖
旧 2006-11-07, 10:45   #11
yc_liang
圣主
级别:16 | 在线时长:345小时 | 升级还需:12小时级别:16 | 在线时长:345小时 | 升级还需:12小时级别:16 | 在线时长:345小时 | 升级还需:12小时级别:16 | 在线时长:345小时 | 升级还需:12小时
 
yc_liang 的头像
 
注册日期: Apr 2003
住址: 广州市
帖子: 960
积分:1
精华:4
现金:1259金币
资产:1259金币
声望力: 16
声望: 18 yc_liang 向着好的方向发展
声望力: 16
yc_liang 向着好的方向发展
回复: 【原创】arp伪装攻击包问题处理

这是DoS攻击的一种,黑客把大量的攻击行为放在网关,对它产生设备内存不断地提升直到占满后,设备瘫痪;或者你把ICMP的响应阀值改小一点看一看!
帅哥 yc_liang 当前离线  
回复时引用此帖
旧 2006-11-07, 14:25   #12
Security.wing
注册用户
级别:1 | 在线时长:6小时 | 升级还需:6小时
 
Security.wing 的头像
 
注册日期: Nov 2006
住址: QD
帖子: 13
现金:26金币
资产:26金币
声望力: 0
声望: 10 Security.wing 向着好的方向发展
声望力: 0
Security.wing 向着好的方向发展
回复: 【原创】arp伪装攻击包问题处理

装一个看看自己网络状况如何
帅哥 Security.wing 当前离线  
回复时引用此帖
旧 2006-11-07, 20:22   #13
hiendflower
注册用户
级别:6 | 在线时长:69小时 | 升级还需:8小时级别:6 | 在线时长:69小时 | 升级还需:8小时
 
注册日期: Nov 2003
住址: 济南
帖子: 2
现金:4金币
资产:4金币
声望力: 0
声望: 10 hiendflower 向着好的方向发展
声望力: 0
hiendflower 向着好的方向发展
回复: 【原创】arp伪装攻击包问题处理

引用:
作者: yc_liang 查看帖子
这是DoS攻击的一种,黑客把大量的攻击行为放在网关,对它产生设备内存不断地提升直到占满后,设备瘫痪;或者你把ICMP的响应阀值改小一点看一看!
谢了,我试试先。
再麻烦一下,有QQ吗,有事想多请教
hiendflower 当前离线  
回复时引用此帖
旧 2006-11-08, 23:50   #14
古伟贤
注册用户
级别:0 | 在线时长:2小时 | 升级还需:3小时
 
注册日期: Nov 2005
住址: 广东省番禺区石基镇傍东村
帖子: 6
现金:12金币
资产:12金币
声望力: 0
声望: 10 古伟贤 向着好的方向发展
声望力: 0
古伟贤 向着好的方向发展
回复: 【原创】arp伪装攻击包问题处理

我顶
上传的附件
文件类型: rar arp.rar (287.0 KB, 7 次查看)
古伟贤 当前离线  
回复时引用此帖
旧 2006-11-14, 21:03   #15
pililiehuo
多想多看多实验
级别:3 | 在线时长:30小时 | 升级还需:2小时级别:3 | 在线时长:30小时 | 升级还需:2小时级别:3 | 在线时长:30小时 | 升级还需:2小时
 
pililiehuo 的头像
 
注册日期: Apr 2006
住址: 大连
帖子: 28
现金:57金币
资产:57金币
声望力: 0
声望: 10 pililiehuo 向着好的方向发展
声望力: 0
pililiehuo 向着好的方向发展
回复: 【原创】arp伪装攻击包问题处理

路过看看

[SIGPIC][/SIGPIC]
Chose your love,and then love your choice

宠辱不惊,漫随天外云卷云舒;去留无意,闲看庭前花开花落
pililiehuo 当前离线  
回复时引用此帖
发表新主题 回复

主题工具

发帖规则
不可以发表新主题
不可以发表回复
不可以上传附件
不可以编辑自己的帖子

启用 BB 代码
论坛启用 表情符号
论坛启用 [IMG] 代码
论坛禁用 HTML 代码

论坛跳转


所有时间均为北京时间。现在的时间是 04:26


Powered by vBulletin® 版本 3.8.3
版权所有 ©2000 - 2018,Jelsoft Enterprises Ltd.
增强包 [3.4] 制作: PHP源动力   官方中文站: vBulletin 中文
Copyright © 2003 - 2013 Net130.com, All Rights Reserved 备案号:皖ICP备11007528号