Cómo comprobar si se trata de un ataque arp
Virus ARP---haciendo que la red (ping) sea intermitente---Solución
Ideas de solución
1. En serio La relación de confianza se establece sobre la base de IP o MAC (rarp también tiene el problema del engaño. La relación ideal debería establecerse sobre la base de IP + MAC).
2. Configure una tabla de correspondencia MAC-->IP estática y no permita que el host actualice la tabla de conversión que configuró.
3. A menos que sea absolutamente necesario, deje de usar ARP y guarde ARP como una entrada permanente en la tabla correspondiente.
4. Utilice el servidor ARP. Utilice este servidor para buscar su propia tabla de traducción ARP para responder a las transmisiones ARP de otras máquinas. Asegúrese de que este servidor ARP no esté pirateado.
5. Utilice "proxy" para la transmisión de IP.
6. Utilice hardware para proteger el host. Configure su ruta para asegurarse de que la dirección IP pueda llegar a la ruta legal. (Configuración estática de enrutamiento de entradas ARP) Tenga en cuenta que la suplantación de ARP no se puede evitar utilizando concentradores y puentes de conmutación.
7. El administrador obtiene periódicamente una solicitud rarp del paquete IP de respuesta y luego verifica la autenticidad de la respuesta ARP.
8. El administrador realiza encuestas periódicamente para comprobar la caché ARP en el host.
9. Utilizar firewalls para monitorear continuamente la red. Tenga en cuenta que cuando se utiliza SNMP, la suplantación de ARP puede provocar la pérdida de paquetes de captura.
Solución para usuarios de HiPER
Se recomienda que los usuarios adopten un método de enlace bidireccional para resolver el problema y evitar la suplantación de ARP.
1. Vincule la dirección IP y MAC del enrutador en la PC:
1) Primero, obtenga la dirección MAC de la red interna del enrutador (por ejemplo, la MAC del Dirección de puerta de enlace HiPER 192.168.16.254 La dirección es 0022aa0022aa Dirección MAC del puerto LAN >).
2) Escribe un archivo por lotes rarp.bat con el siguiente contenido:
@echo off
arp -d
arp - s 192.168.16.254 00-22-aa-00-22-aa
Cambie la dirección IP y la dirección MAC de la puerta de enlace en el archivo a su propia dirección IP y dirección MAC de la puerta de enlace.
Arrastre este software de procesamiento por lotes a "Windows--Inicio--Programa--Inicio".
rp
Muestra y modifica elementos en la caché del Protocolo de resolución de direcciones (ARP). La caché ARP contiene una o más tablas que almacenan direcciones IP y sus direcciones físicas Ethernet o Token Ring resueltas. Cada adaptador de red Ethernet o Token Ring instalado en su computadora tiene su propia tabla separada. Si se usa sin argumentos, el comando arp muestra información de ayuda.
Sintaxis
arp[-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d InetAddr [IfaceAddr]] [- s InetAddr EtherAddr [IfaceAddr]]
Parámetros
-a[InetAddr] [-N IfaceAddr]
Muestra la tabla de caché ARP actual de todas las interfaces. Para mostrar entradas de caché ARP para una dirección IP específica, use arp -a con el parámetro InetAddr, donde InetAddr significa dirección IP. Si no se especifica InetAddr, se utiliza la primera interfaz aplicable. Para mostrar la tabla de caché ARP para una interfaz específica, use el parámetro -N IfaceAddr con el parámetro -a, donde IfaceAddr representa la dirección IP asignada a la interfaz. El parámetro -N distingue entre mayúsculas y minúsculas.
-g[InetAddr] [-N IfaceAddr]
Igual que -a.
-d InetAddr [IfaceAddr]
Elimina la entrada de dirección IP especificada, donde InetAddr representa la dirección IP. Para eliminar una entrada de la tabla para una interfaz específica, use el parámetro IfaceAddr, donde IfaceAddr representa la dirección IP asignada a la interfaz. Para eliminar todas las entradas, utilice el carácter comodín asterisco (*) en lugar de InetAddr.
-s InetAddr EtherAddr [IfaceAddr]
Agrega una entrada estática al caché ARP que resuelve la dirección IP InetAddr en la dirección física EtherAddr. Para agregar una entrada de caché ARP estática a la tabla para una interfaz específica, use el parámetro IfaceAddr, donde IfaceAddr representa la dirección IP asignada a la interfaz.
/?
Mostrar ayuda en el símbolo del sistema.
Nota Las direcciones IP para InetAddr e IfaceAddr se expresan en notación decimal con puntos. La dirección física de un EtherAddr consta de seis bytes expresados en notación hexadecimal y separados por guiones (por ejemplo, 00-AA-00-4F-2A-9C).
Elimine los componentes del virus en el siguiente orden
1) Elimine "liberador de componentes de virus"
%windows%\SYSTEM32\LOADHW.EXE
2) Elimine el "controlador que envía paquetes de suplantación de identidad ARP" (también el "demonio de virus")
%windows%\System32\drivers\npf.sys
a. en el administrador de dispositivos, haga clic en "Ver" --> "Mostrar dispositivos ocultos"
b En la estructura del árbol de dispositivos, abra "No Plug and Play..."
c. Busque el "Controlador de filtro de paquetes NetGroup". Si no lo encuentra, actualice primero la lista de dispositivos.
d Haga clic con el botón derecho en el menú "Controlador de filtro de paquetes NetGroup" y seleccione "Desinstalar".
e. Reiniciar el sistema Windows,
f. Eliminar %windows%\System32\drivers\npf.sys
3) Eliminar el controlador que ordena al controlador enviar ARP. paquetes de suplantación de identidad ”
%windows%\System32\msitinit.dll
2. Elimine los siguientes elementos del servicio de registro “Virus Fake Driver”:
HKEY_LOCAL_MACHINE\ SYSTEM \CurrentControlSet\Services\Npf
3. Localizar el origen de los ataques ARP y los métodos de defensa
1. Localizar la fuente de los ataques ARP
Método de posicionamiento activo: debido a que todas las fuentes de ataques ARP tendrán sus propias características: la tarjeta de red estará en modo promiscuo, puede usar herramientas como ARPKiller para escanear qué máquinas en la red tiene tarjetas de red que están en modo promiscuo, por lo que se juzga que esta máquina puede ser la "culpable". Después de localizar la máquina, recopile información sobre el virus y envíela a Trend Micro para su análisis y procesamiento.
Nota: La tarjeta de red se puede colocar en un modo llamado modo promiscuo. La tarjeta de red que funciona en este modo puede recibir todos los datos que pasan a través de ella, independientemente de si la dirección de destino real de los datos es esa. En realidad, este es el principio básico de cómo funciona Sniffer: dejar que la tarjeta de red reciba todos los datos que pueda recibir.
Método de posicionamiento pasivo: cuando ocurre un ataque ARP en la LAN, verifique el contenido de la tabla ARP dinámica del conmutador para determinar la dirección MAC de la fuente del ataque. También puede implementar la herramienta Sniffer en el; LAN para localizar el MAC de origen del ataque ARP.
También puede hacer ping directamente a la IP de la puerta de enlace. Después de completar el ping, utilice ARP –a para verificar la dirección MAC correspondiente a la IP de la puerta de enlace. Esta dirección MAC debe ser una MAC falsa.
Utilizando NBTSCAN, puede obtener la dirección IP real, el nombre de la máquina y la dirección MAC de la PC. Si hay un "ataque ARP" en funcionamiento, puede encontrar la IP, el nombre de la máquina y la dirección MAC de. la PC equipada con el ataque ARP.
Comando: "nbtscan -r 192.168.16.0/24" (busca en todo el segmento de red 192.168.16.0/24, es decir, 192.168.16.1-192.168.16.254 o "nbtscan 192.168.16.25-); 137" busca el segmento de red 192.168.16.25-137, es decir, 192.168.16.25-192.168.16.137. La primera columna del resultado es la dirección IP y la última columna es la dirección MAC.
Ejemplo de uso de NBTSCAN:
Supongamos que desea encontrar un host de virus con una dirección MAC de "000d870d585f".
1) Descomprima nbtscan.exe y cygwin1.dll en el paquete comprimido y colóquelos en c:.
2) Inicio - Ejecutar - Abrir en Windows, ingrese cmd (ingrese "comando" en windows98), ingrese en la ventana de DOS que aparece: C: btscan -r 192.168.16.1/24 (aquí necesita para especificar el nombre de usuario) Ingrese el segmento de red real) y presione Enter.
3) Al consultar la tabla de correspondencia IP-MAC, se encontró que la dirección IP del host del virus "000d870d585f" es "192.168.16.223".
A través del método anterior, podemos encontrar rápidamente el origen del virus y confirmar su MAC -> nombre de la máquina y dirección IP.