arp偽裝攻擊網管人員查找解毒 - 資安

這一篇是給予網管人員的查找及解決方案，

之前我曾經嘗試過許多方法來查詢中arp偽裝的電腦，在這邊我提出幾種方式：

1.最土法煉鋼的方法，利用arp -a及GW的連接比對mac address，
當你看見有兩個不同的IP卻擁有同一個mac address時，
代表這個mac address的擁有者就是中鏢了。

2.查探DHCP伺服器的Log，當你見到DHCP的Log中，
有某台電腦常常無端跟你重新要IP，那台也是可能中鏢的電腦。

3.最後一種方式，透過第三方軟體，不過我個人感覺這種方式最有效率。
第一種軟體：ethereal(現在叫wireshark)
第二種軟體：Packetyzer

第一種不用介紹了，開放原碼的封包探測軟體。
我建議你在client端上裝Packetyzer就夠了，使用方式就是抓你那張網卡的封包，
然後去看看你電腦是不是一直收到arp封包。
例如你看到"同時間很多個"
arp: who has 192.168.1.1? Tell 192.168.1.100
這代表192.168.1.100這台電腦中鏢了，通常arp封包不會沒事狂發，
會同時間發送很多個代表有問題了，通常下面會有加上.1.1的mac address，
比對一下就知道它是不是出問題了。

利用這個方法將中鏢IP的電腦先實體斷線，然後看arp封包是否正常。

解毒的方法我也try了蠻多次，發現它的傳輸途徑不一，不過使用的東西都差不多

免疫檔：
http://evansariel.googlepages.com/arpsolution.zip
這邊下載的檔案解壓縮的時候裡面有個macosx的資料夾不用理會，
因為我用的是mac系統作封裝，所以有那個資料夾。
解完有四個檔案，將中鏢的電腦斷線後重新開啟至安全模式（管理員權限），
然後將三個dll檔複製到windows/system32裡（沒中鏢的電腦照理說沒這些檔案），
npf.sys那的檔案複製到windows/system32/drivers裡，
然後將這四個檔案改成唯讀，通常就能解決這台電腦偽裝欺騙的問題了。
不過有電腦潔癖的人你就重灌吧！
這四個檔案是arp攻擊的一些主程式，這四個檔案已經測試過使用正常，
幫以前的公司跟某社區網路的網管人員解決過問題，
目前沒聽到有什麼問題，不過最後還是要靠你們自己確定喔！！
不想到最後變成是我的問題QQ...我只是義務幫忙而已。
下一篇就講網路架構的東西...不過有點懶就是了XD....
p.s. 請各位記住，如果你安裝Packetyzer的話，
在你的windows/system32/drivers裡就會多一個npf.sys，
這東西到底是什麼呢？聽我慢慢道來～
這東西其實是winpcap的驅動程式，主要用來抓取網路裝置上的封包，原本是用來給予網路或程式人員檢測探測封包之用，不過arp偽裝攻擊這東西也用到了它...
在免疫檔裡也有這個檔案，如果你有裝packetyzer的話，假設覆蓋了它，會使得packetyzer無法正常使用，這點請記住。
其他dll檔在沒有中arp偽裝的電腦上是不會存在的，如果存在的人你就自己解了它吧。
三個dll檔包括：
packet.dll，pthreadVC.dll，wpcap.dll
如果你有這三個檔案就代表可能中鏢了，你在cmd下面打arp -a看看，
你是否擁有整個網段的arp列表，如果有，而你又不是伺服器的話，
就代表你就是兇手～

--
http://sanature.blogspot.com/

--