1.aa aa aa aa aa aa 硬件目的地址中毒机器A(DLC,数据链路层地址)
2.bb bb bb bb bb bb(第一组) 源硬件地址为受影响机器B(DLC)
3 bb bb bb bb bb bb(第二组) 源硬件地址为受影响机器B (ARP)
4 (c0 a8 01)32 目的IP地址为中毒机器A(ARP)
最后,我们通过Sniffer的发包工具利用不间断发送(Continuously)将其发送给192.168.1.50,将使其很快瘫痪。笔者实验环境如下:TP-LINK R402M路由器,A机器配置1.8G.RAM 1.0G 。B机器配置CPU1.0G,RAM128M,B机器发送数据包15秒左右,A机器进入“无法响应”状态。可见,如果病毒大规模爆发,造成的网络拥塞影响是十分严重的。
最后,提供几种防御ARP攻击行为的思路:
首先,需要了解一下一般解决方法,很多人知道如何捆绑MAC地址和IP地址,进入“MS-DOS方式”或“命令提示符”,在命令提示符下输入命令:ARP - s X.X.X.X YY-YY-YY-YY-YY-YY,即可把MAC地址和IP地址捆绑在一起。这样,就不会出现IP地址被盗用而不能正常使用网络的情况。从前面的分析我们知道,即使我们知道了正确的网关硬件地址,由于盗用者不断发送伪造ARP包,网关却不知道合法用户的硬件地址,而且合法用户端主机会不断产生IP冲突的警告。事实上,ARP命令是对局域网的上网代理服务器来说的,如我们提出的KB(62735)中的”APR解决方案”细节内容不在本文论述范围内。
一般说来,在网络关键设备上使用的解决盗用的方法大体上有3种方案:采用路由器将网卡MAC地址与IP地址绑定;采用高端交换机将交换机端口、网卡MAC地址与IP地址三者绑定;代理服务器与防火墙相结合的办法。这几种方法各有优缺点,采用路由器将网卡MAC地址与IP地址绑定的方法,只能解决静态地址的修改,对于成对修改IP-MAC地址就无能为力。采用高端交换机将交换机端口、网卡MAC地址与IP地址三者绑定的方法,可以解决成对修改IP-MAC地址的问题,但高端交换机费用昂贵,而且解决冲突具有滞后性。
当我们遇到ARP类病毒时。
1 采用IP-MAC 绑定方法预防,如利用KB(62735)解决方案部署中ipmac_binds_tools.exe 防御工具
2 一旦发现无法解决的ARP病毒较复杂的攻击行为,请用户使用工具抓取病毒爆发时网络中的数据包,根据以上ARP病毒的原理,分析数据包找到频繁发送ARP的REQUEST或REPLY请求的机器,从而找到病毒源头进行查杀毒。