假如我们有两个网段、三台主机、两个网关、分别是:主机名IP地址MAC地址网关1192.168.1.101-01-01-01-01-01主机A192.168.1.202-02-02-02-02-02主机B192.168.1.303-03-03-03-03-03网关210.1.1.104-04-04-04-04-04主机C10.1.1.205-05-05-05-05-05
目前比较有效的检测ARP欺骗攻击的方法主要有两种,一种是在局域网内部使用抓包软件进行抓包分析、另一种是直接到到三层交换机上查询ARP表,这两种方法各有优缺点,具体分析如下:1、抓包分析方法——使用抓包软件(如windump、snifferpro等)在局域网内抓ARP的reply包,以windump为例,使用windump-i2-narpandhost192.168.0.1(192.168.0.1是您的网关地址)抓下来的包我们只分析包含有reply字符的,格式如下:18:25:15.706335arpreply192.168.0.1is-at00:07:ec:e1:c8:c3如果最后的mac不是您网关的真实mac的话,那就说明有ARP欺骗存在,而这个mac就是那台进行ARP欺骗主机的mac。
优点——简单易行,无需特别权限设置,所有用户都可以做,误判率较小!缺点——必须在局域网内部(广播域内部)听包才有效。
2、三层交换机上查询ARP缓存表
方法——登陆局域网的上联三层交换机,并查看交换机的ARP缓存表(各种品牌的交换机命令有差异)。如果在ARP表中存在一个MAC对应多个端口(请注意是一个MAC对应多个端口,而不是一个端口上存在多个MAC)的情况,那么就表明存在ARP欺骗攻击,而这个MAC就是欺骗主机的MAC。优点——可以远程操作,无需到局域网内部,可以通过脚本来自动分析。缺点——需要特殊权限,普通用户无法进行操作。ARP欺骗的控制方法1、主机静态绑定网关MAC方法——使用arp命令静态绑定网关MAC,格式如下:arp-s网关IP网关MAC如果觉得每次手动输入比较复杂,您可以编写一个简单的批处理文件然后让它每次开机时自动运行,批处理文件如下:-----------------------------------@echooffechoarpsetarp-darp-s网关IP网关MACexit------------------------------------优点——简单易行,普通用户都能操作
缺点——只能单向绑定。需要跟网关绑定MAC结合使用。2、网关使用IP+MAC绑定模式
以往的ARP病毒使用ARP欺骗的目的绝大多数都是为了窃取用户的敏感信息,但是我们最近监测到ARP欺骗在病毒中又得到了新的应用,那就是作为传播网页木马病毒的传播手段,当一台主机感染带有这种ARP欺骗功能的病毒后,会在局域网内发动ARP欺骗,它会监听局域网内所有主机的数据包,一旦发现其它主机有访问WEB网页的行为后,就会通过修改相应的数据封包在你访问的网页代码里加入包含有木马程序的网页链接。从而导致局域网内其它主机不管访问什么网站都会被导引到含有木马病毒的网站上去的。当您访问任何网站您的杀毒软件都在报该网页有毒的话,很可能您的局域网内就存在这种攻击。
关于新型勒索病毒的安全提示
新型勒索病毒Globelmposter在网上传播,一旦感染该勒索病毒,网络系统的数据库文件将被病毒加密,只有支付赎金才能恢复文件。
1、Globelmposter勒索病毒的危害
Globelmposter是目前流行一类勒索病毒,它会加密磁盘文件并篡改后缀名为.Techno、.Doc、.CHAK、FREEMAN、TURE等形式。由于其采用高强度非对称加密方式,受害者在没有秘钥的情况下无法恢复文件,如需恢复总要资料只能被迫支付赎金。Globelmposter勒索病毒攻击相对普通的勒索病毒首要区别在于:该病毒不具备主动传播性,是由黑客渗透进入内网后,在目标主机上人工植入,该病毒具有极强的破坏性和针对性,目前很难被破解。
2、Globelmposter勒索病毒防范提示
经安全专家分析,存在弱口令且Windows远程桌面服务(3389端口)暴露在互联网上、未做好内网安全隔离、Windows服务器或终端未部署或未及时更新杀毒软件等漏洞和风险的信息系统更容易遭受该病毒侵害。
防范提示:
一、及时加强终端、服务器防护。所有服务器、终端应强行实施复杂密码策略,杜绝弱口令;安装杀毒软件、终端安全管理软件并及时更新病毒库;及时安装补丁;服务器开启关键日志收集功能,为安全事件的追溯提供基础。
二、严格控制端口管理。尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445、135、139、3389;建议关闭远程桌面协议。