|
|
|
联系客服020-83701501

定位ARP攻击找到网络攻击源

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
定位ARP冲击找到网络冲击源

一.定位ARP冲击泉源

主动定位动作:因为悉数的ARP冲击源乡村有其特征——网卡会处于稠浊形式,或许经过ARPKiller何等的东西扫描网内有哪台呆板的网卡是处于稠浊形式的,从而判断这台呆板有大概就是“首恶”。定位好呆板后,再做病毒静态征集,提交给趋向科技做分析处置。 标注:网卡或许置于1种形式叫稠浊形式(promiscuous),在这种形式下工作的网卡大要收到1切经过它的数据,而不管实践上数据的目的地点是不是它。这实践就是Sniffer工作的根柢源根本理:让网卡接收1切它所能接收的数据。 主动定位动作:在局域网发生ARP冲击时,检查换取机的动态ARP表中的形式,必定冲击源的MAC地点;也或许在局域居于网中安置Sniffer东西,定位ARP冲击源的MAC。 也或许直接Ping网关IP,实现Ping后,用ARP –a检查网关IP对应的MAC地点,此MAC地点理当为坑骗的,使用NBTSCAN或许取到PC的实在IP地点、呆板名和MAC地点,如果有”ARP攻 击”在做怪,或许找到装有ARP冲击的PC的IP、呆板名和MAC地点。 下令:“nbtscan -r 一92.一68.一6.0/24”(搜寻悉数一92.一68.一6.0/24网段, 即一92.一68.一6.一-一92.一68.一6.254);或“nbtscan 一92.一68.一6.25-一三7”搜寻一92.一68.一6.25-一三7 网段,即一92.一68.一6.25-一92.一68.一6.一三7。输出下场第1列是IP地点,开首1列是MAC地点。NBTSCAN的使用楷模: 如果查找1台MAC地点为“000d870d585f”的病毒主机。 一)将缩短包中的nbtscan.exe 和cygwin一.dll解缩短放到c:下。 2)在Windows开端—运行—打开,输出cmd(windows98输出“co妹妹and”),在出现的DOS窗口中输出:C: btscan -r 一92.一68.一6.一/24(这里需要依据用户实践网段输出),回车。 三)经过盘诘IP–MAC对应表,查出“000d870d585f”的病毒主机的IP地点为“一92.一68.一6.22三”。 经过上述设施,我们就大要快捷的找到病毒源,确认其MAC——〉呆板名和IP地点。 2.抗御设施 a.使用可抗御ARP冲击的三层换取机,绑定端口-MAC-IP,限制ARP流量,及时缔造并踊跃阻断ARP冲击端口,公中分别VLAN,彻底禁止盗用IP、MAC地点,杜绝ARP的冲击。 b.关于每每爆发病毒的网络,中断网络访问管束,限制用户对网络的访问。此类ARP冲击挨次1般都是从网络下载到用户终端,如果大要增强用户上彀的访问管束,就可以极大的增加该题目的发生。 c.在发生ARP冲击时,及时找到病毒冲击泉源,并征集病毒静态,或许使用趋向科技的SIC2.0,同时征集可疑的病毒样本文件,1起提交到趋向科技的TrendLabs中断分析,TrendLabs将以最快的速度供给病毒码文件,从而或许中断ARP病毒的抗御。 本文转自网络由网络保险攻防研究室(www.9一ri.org)静态保险小组征集整顿。

数安新闻+更多

证书相关+更多