如何检测出发现局域网中进行ARP地址欺骗的主机, 有两个思路, 一个是利用Winarpattack的检测功能, 看哪些主机正在进行ARP扫描, 这些主机很可能就在进行ARP地址欺骗, 另一个检测局域网哪些主机的网卡处于混杂模式, 因为进行ARP地址欺骗的主机它的网卡必定是设置在混杂模式, 所以哪台主机的网卡是处于混杂模式了, 它就很可能在进行ARP地址欺骗。
(一)利用Winarpattack进行
这款软件可以检测的项目非常多, 也可以凡是它能够进行的攻击通过它自身的检测功能都可以自己都可以检测到, 我在两台虚拟机上验证了这一点, 常用的功能如下:
源MAC地址失配和目标MAC地址失配
ARP扫描――检测哪些主机正在通过ARP请求扫描这个局域网, 以便得到一个主机列表
Arp_Antisniff_扫描――检测局域网中哪引起主机正在处于sniffer状态, 从而就可知道谁正在进行sniffer
主机主线――检测在线的主机
主机更改IP――主机更改了它的IP 址或者增加了一个新地址。
主机更改MAC――主机更改了它的MAC地址
新的主机――新的主机被找到了
主机增加IP――主机增加了一个新的IP地址
多IP主机――主机拥有了不至一个IP地址
多MAC主机――主机拥有了不至一个MAC 地址
攻击洪水――列出哪些主机发送了很多的ARP包至别的主机
攻击欺骗――主机发送了特定的ARP包到sniff数据两个目标, 所以被欺骗者的数据暴露出来了。
局域网内的攻击欺骗――主机让局域网内的所有主机相信它就是网关, 所以这个行窃者可以sniff所有主机发送向网关的数据。
本地ARP列表改变――现在WinArpAttacker可以监视本地ARP列表, 当本地的ARP表中的一台主机的MAC地址改变的时候, WinArpAttacker可以报告这一现象。
通过Winarpattack我们可以大致的了解到局域内的有哪些主机正在进行ARP地址欺骗, 但是这并不是这款软件长处, 我们也可以利用更加专来的软件来进行检测, 那就是Antisniff。
(二)利用Antisniff软件进行检测
这是一款很经典的软件, 但是由于出现的比较早, 后期又没有更新, 因此它的最佳运行平台是WINNT, 在95/98下也能运行, 但是据我的实验测试情况, 这款软件在98下面运行非常不稳定, 而在XP下面会提示找不到网卡而无法使用, 因此最佳平台就是NT, 这年头找个NT的安装盘还真不好找, 我也是费了好大的劲才把NT的虚拟机建起来, 但是检测的效果却是出错的好, 只需三步就可以得到结果:
1、定义要进行扫描的主机或网段
依次点选“Network Configuration”—“Host(s) to Scan”, 再选择是要扫描“host”(单机)还是“range”(网段范围) , 这样就可以定义出局域内需要扫描的主机。
2、进行扫描
为了加快扫描的时间, 我们可以限定要进行扫描的项, 因为是要检测ARP地址欺骗, 那么在“Scanner Configuration”的“Detection Tests”只选Arp Test即可, 然后点击那个倒三角符号即可开始扫描。
3、查看结果
如果扫描到局域网中有某台主机的网卡是处于混杂模式, 那么AntiSniff马上会报警, 先弹出一个骷髅头的图案, 然后再报告具体是哪个IP地址的主机的网卡是处于混杂模式了, 随后我们还可以到“Report”项中查看具体的结果, 点击“Report On Machine”, 再选中具体的某个IP的主机, 在ARP Test Res.一栏中, 如果出现了“1”则代理了此时网卡处于混杂模式, 如果出现了“0”则代表目前网机处于正常模式。 为什么一台主机网卡有时会处于混杂模式, 有时又会处于正常模式呢, 关键就在于这台主机当时有没有开启进行ARP地址欺骗的软件, 由此可以看出Antisniff的检测结果还是挺准的。
三、ARP地址欺骗的防护
Winarpattack本身就带有防护功能, 但我们其实有更好的选择, 我测试了一下, 如果安装了360安全卫士的ARP防火墙或是彩影ARP防火墙个人版等软件后, 利用Winarpattack的发起的攻击就不会成功了, 所以说ARP地址欺骗虽然很讨厌, 但是只要做好自身的防护的工作, 还是可以“免疫”的。
本文对以上软件介绍的目的就是让大家在进行局域网ARP地址欺骗防护的过程中多了解一些进攻的内容, 知己知彼, 方能百战不殆啊。
……