Red de conocimiento informático - Material del sitio web - ¡Cómo encontrar el origen de los ataques ARP! ! ! ?

¡Cómo encontrar el origen de los ataques ARP! ! ! ?

1. Localice las fuentes de ataque ARP

Localizador activo: debido a que todas las fuentes de ataque ARP tendrán sus propias características: la tarjeta de red estará en modo promiscuo, puede usar herramientas como ARPKiller para escanear la tarjeta de red. máquina en la red en modo promiscuo para determinar qué máquina es la "culpable". Las máquinas pueden ser las "culpables". Después de localizar la máquina, recopile información sobre el virus y envíela a Trend Micro para su análisis y procesamiento.

Nota: Una tarjeta de red se puede colocar en un modo llamado "promiscuo", en el que la tarjeta recibe todos los datos que pasan a través de ella, independientemente de si los datos realmente se le van a enviar. Básicamente, así es como funciona un Sniffer: permite que la tarjeta de red reciba todos los datos.

Posicionamiento pasivo del objetivo: cuando ocurre un ataque ARP en la LAN, puede verificar la tabla ARP dinámica del conmutador para determinar la dirección MAC de la fuente del ataque. También puede implementar la herramienta Sniffer en la LAN; para localizar la dirección MAC de la fuente del ataque ARP.

También puede hacer ping a la IP de la puerta de enlace directamente. Después de completar el ping, puede usar ARP. Si se produce un ataque ARP en el trabajo, puede encontrar la dirección IP, el nombre de la máquina y la dirección MAC de la PC donde se encuentra. se produjo el ataque.

Comando "nbtscan -r 192.168.16.0/24" (busca en todo el segmento de red 192.168.16.0/24, es decir, 192.168.16.1-192.168.16.254 o "nbtscan 192.168.16.0/24); " (busque todo el segmento de red 192.168.16.0/24, es decir, nbtscan 192.168.16.25-137 "Busque el segmento de red 192.168.16.25-137, es decir, 192.168.16.25-192.168.16.137. La primera columna del El resultado de salida es la dirección IP y la última columna es la dirección MAC. Ejemplo de uso de NBTSCAN:

Suponga que desea encontrar el host del virus con la dirección MAC "000d870d585f"

. 1) Descomprima nbtscan.exe y cygwin1.dll del paquete comprimido y colóquelos en c:

2) Escriba cmd en Windows "Inicio-Ejecutar-Abrir" (escriba "comando" en Windows98). escriba C: btscan en la ventana de DOS que aparece. -r 192.168.16.1/24 (el usuario debe ingresar el segmento de red real aquí), presione Enter

3) Consultando la correspondencia IP-MAC. En la tabla, se encuentra que la dirección IP del host del virus "000d870d585f" es "192.168".

A través del método anterior, podemos encontrar rápidamente la fuente del virus y confirmar su MAC. -> nombre de la máquina y dirección IP.

2. Métodos de defensa

Utilice un conmutador de tres capas que pueda defenderse contra ataques ARP, vincule el puerto-MAC-IP, limite. Tráfico ARP, detecta y bloquea automáticamente los puertos de ataque ARP de manera oportuna, divide razonablemente las VLAN y evita por completo el robo de direcciones IP y MAC. Elimina los ataques ARP

b. , se debe implementar un control de acceso a Internet para restringir el acceso de los usuarios a la red. Este tipo de programa de ataque ARP generalmente se descarga de Internet a los terminales de los usuarios. Controlar el acceso de los usuarios a Internet puede reducir en gran medida la ocurrencia. de este problema.

c. Cuando se produce un ataque ARP, puede encontrar rápidamente la fuente del ataque del virus y recopilar información sobre el virus. Al mismo tiempo, puede utilizar el virus sospechoso SIC2.0. Los archivos de muestra se recopilan y envían a TrendLabs de Trend Micro para su análisis. TrendLabs proporcionará archivos de código de virus lo más rápido posible para lograr la defensa contra virus ARP.