网吧ARP攻击,一个可行查出机器的办法。
昨天一个朋友网吧说,最近几天老掉线,但重起中心交换机就好了,初期以为中心交换机有问题,呵呵,在超级终端上查,后来正好用超级终端联着路由,看CPU使用率时,外场有客人叫掉线了,这时我在超级终端(用consol线联的)ping DNS 内网网关都正常,然后记下了内网网关的MAC,然后用另一台机器ping 网关真是不通,但ping内网主机正常,初步怀疑是内网问题,这时在ping网关不通的机器上看arp表,发现网关的MAC地址与我在超级终端上看到的MAC不一样,记录下来,这时,心时一丝高兴,嘿嘿 ,有戏了,由于没MAC地址对应的IP表,只好重起中心交换机,然后网络正常,网上随便找了一个工具,可以将内网的IP与MAC扫出来,然后保存出来,再用断网时的MAC查出对应的IP,就知道是哪台机器了,捉出个小比样,拉到办公室一顿海扁。呵呵下面说一下要点。
第一 正常时大家最好保存一份,内网的MAC与IP地址对应表,(网关的MAC最好心里记 下)
第二 在断网时,在断网机器上arp -a 看网关的MAC是不是正确,
第三 不正确,立刻查对应表查出机器,然后准备根棍子。
以上只是个人实践,如果有不对的,请朋友跟进
回复 #1 yuang128 的帖子
补充一下,用nbtscan工具可以查出局域网所有ip和 mac的对应 学一招,看有没有用.小区的机器怎么看? 光找到作怪的机器还不行。要治本。 呵呵,网吧里,这个方法最有效,收拾几个,下回就没人敢了 治标不治本. ARP不好治本的
回复 #1 yuang128 的帖子
ARP病毒目前的确是很多网吧的噩耗,大家所搜索到的解决办法一般是利用ARP监控的工具,查看出网吧哪个电脑中毒,然后去再做系统等.但是等你监控到的时间 也许网吧就会掉线了.客户也走了,损失已经产生了.而更多的方式是介绍客户机与网关路由器绑定.
这样可以解决部分问题,但是依然无法彻底解决.
还有些是其他网吧恶意捣乱.如利用网络特工这样的工具,让网吧个别机器掉线.或者整个网吧都掉.全部显示IP冲突等.
利用QNO路由器,结合客户机的绑定,这样后即使用户使用网络特工也无法切断用户的网络
要了解详细情况请加QQ160451700 呵呵,说话口气像青岛小哥 还是不好解决,最近发现交换机的mac地址表也会乱掉,此时连ipx协议都不通了 原帖由 yuang128 于 2006-4-8 12:42 发表
昨天一个朋友网吧说,最近几天老掉线,但重起中心交换机就好了,初期以为中心交换机有问题,呵呵,在超级终端上查,后来正好用超级终端联着路由,看CPU使用率时,外场有客人叫掉线了,这时我在超级终端(用con ...
一般情况下有用,但是如果捣乱的机器MAC也是假的,你怎么找?
你有中心交换机,看样子是3层的,最好的办法是端口监控,然后抓包分析,这样肯定就错不了了! 同意superaka的说法,但ARP欺骗的防范真的是太头痛了,网吧除外
页:
[1]