close
之前我曾經嘗試過許多方法來查詢中arp偽裝的電腦,在這邊我提出幾種方式:

1.最土法煉鋼的方法,利用arp -a及GW的連接比對mac address,
當你看見有兩個不同的IP卻擁有同一個mac address時,代表這個mac address的擁有者就是中鏢了。

2.查探DHCP伺服器的Log,當你見到DHCP的Log中,有某台電腦常常無端跟你重新要IP,那台也是可能中鏢的電腦。

3.最後一種方式,透過第三方軟體,不過我個人感覺這種方式最有效率。
第一種軟體:ethereal(現在叫wireshark)
第二種軟體:Packetyzer

第一種不用介紹了,開放原碼的封包探測軟體。
我建議你在client端上裝Packetyzer就夠了,使用方式就是抓你那張網卡的封包,
然後去看看你電腦是不是一直收到arp封包。
例如你看到"同時間很多個"
arp: who has 192.168.1.1? Tell 192.168.1.100
這代表192.168.1.100這台電腦中鏢了,通常arp封包不會沒事狂發,
會同時間發送很多個代表有問題了,通常下面會有加上.1.1的mac address,
比對一下就知道它是不是出問題了。

利用這個方法將中鏢IP的電腦先實體斷線,然後看arp封包是否正常。

解毒的方法我也try了蠻多次,發現它的傳輸途徑不一,不過使用的東西都差不多
免疫檔:
http://evansariel.googlepages.com/arpsolution.zip
這邊下載的檔案解壓縮的時候裡面有個macosx的資料夾不用理會,
因為我用的是mac系統作封裝,所以有那個資料夾。
解完有四個檔案,將中鏢的電腦斷線後重新開啟至安全模式(管理員權限),
然後將三個dll檔複製到windows/system32裡(沒中鏢的電腦照理說沒這些檔案),npf.sys那的檔案複製到windows/system32/drivers裡,然後將這四個檔案改成唯讀,通常就能解決這台電腦偽裝欺騙的問題了。
不過有電腦潔癖的人你就重灌吧!
這四個檔案是arp攻擊的一些主程式,這四個檔案已經測試過使用正常,幫以前的公司跟某社區網路的網管人員解決過問題,目前沒聽到有什麼問題,不過最後還是要靠你們自己確定喔!!不想到最後變成是我的問題QQ...我只是義務幫忙而已。下一篇就講網路架構的東西...不過有點懶就是了XD....
p.s. 請各位記住,如果你安裝Packetyzer的話,在你的windows/system32/drivers裡就會多一個npf.sys,這東西到底是什麼呢?聽我慢慢道來~
這東西其實是winpcap的驅動程式,主要用來抓取網路裝置上的封包,原本是用來給予網路或程式人員檢測探測封包之用,不過arp偽裝攻擊這東西也用到了它...
在免疫檔裡也有這個檔案,如果你有裝packetyzer的話,假設覆蓋了它,會使得packetyzer無法正常使用,這點請記住。
其他dll檔在沒有中arp偽裝的電腦上是不會存在的,如果存在的人你就自己解了它吧。
三個dll檔包括:
packet.dll,pthreadVC.dll,wpcap.dll
如果你有這三個檔案就代表可能中鏢了,你在cmd下面打arp -a看看,
你是否擁有整個網段的arp列表,如果有,而你又不是伺服器的話,
就代表你就是兇手~
arrow
arrow
    全站熱搜
    創作者介紹
    創作者 hoticube 的頭像
    hoticube

    HOT ICECUBE@生活原料

    hoticube 發表在 痞客邦 留言(1) 人氣()