防御局域网攻击 ZT

日期：2007年8月5日作者：查看:[大字体中字体小字体]

我一个朋友的网吧最近遭受一种奇怪的攻击，他网吧一共有60台机器，和另外6个网吧并在一个网段中，IP地址从192.168.0.1～192.168.0.255，大家共用CS服务器和WEB及流媒体服务器，其中一台CS服务器和流媒体服务器在他网吧里。
最近每晚和中午，他网吧客满的时候，就有人在网内对他网吧的IP段进行攻击。表现是大面积IP地址冲突，造成机器暂时停止网络响应，而且网络中的CS服务器和流媒体服务器马上停止响应。一般持续半小时以上，IP冲突的速度大约10秒一次。连续几天都是如此，造成他很大损失。

我朋友求助于我，于是我先试验了一下，证明故意修改IP的方式是无法造成服务器失去响应的，于是我在他网吧两台机器上安装了一些监测软件，试图捕捉对方的攻击数据包，然后再取得对方的MAC地址来查找攻击来源。由于主要表现是IP冲突，所以我使用commview3专门捕捉所有的ARP协议包，结果在晚上对方攻击时果然发现出现了大量有规律的ARP广播包，那些包明显是某种软件生成的，MAC地址是随机伪造的，IP地址就是他网吧的系列IP，这种包和一般开机的包不同，是pass-thourgh包，机器收到后98系统马上失去网络响应，只有等很长时间或者重起，2K系统也马上失去响应，必须点确定才能恢复，但是所有连接的用户都Time Out了。

由于包里MAC地址是伪造的，所以我无法查到来源，于是我去网上查找了一些资料，证明这是一种ARP拒绝服务攻击，但是没找到任何有效防范办法，微软也没有相应的补丁。唯一的办法除非在网络中使用路由器屏蔽ARP，用硬件存储ARP列表，但是路由器不是一个小网吧可以承担的设备。当然如果划分网段，再用网关把他和大家隔开也可以，因为ARP只在一个网段传播，但是这样别人就无法共用他们的服务器，而且破坏者也可以到他网吧来继续破坏，这也是不行的。

我又试用了各种防火墙软件，证明也无法拦住这样的攻击包，没有一个防火墙产品可以屏蔽非法的ARP包。使用天网2.5和金山网镖，甚至用断开网络选项都无法挡住攻击。

我后来在网上找到了一个叫做“……”（为防止别有用心的人用来干坏事，我略去这个软件的名字，转贴者也就是本人注）的软件，果然可以达到这个效果，证明这样的攻击软件在网上是大量存在的，大家可以去Google里搜索下载这个软件。

我现在唯一能告诉他的办法就是遇到攻击就拔网线，各位高手，还有没有什么低廉方便的手段能解决这个问题啊，我朋友都急死了，再这样他的网吧就做不下去了。

请大家帮帮忙！！谢谢：）

分析:
网上关于ARP的资料已经很多了，就不用我都说了。
用某一位高手的话来说，“我们能做的事情很多，唯一受
限制的是我们的创造力和想象力”。

ARP也是如此。

以下讨论的机子有
一个要攻击的机子：10.5.4.178
硬件地址：52:54:4C:98:EE:2F
我的机子： :10.5.3.69
硬件地址：52:54:4C:98:ED:C5
网关： 10.5.0.3
硬件地址：00:90:26:3D:0C:F3
一台交换机另一端口的机子：10.5.3.3

硬件地址：52:54:4C:98:ED:F7

一：用ARP破WINDOWS的屏保
原理：利用IP冲突的级别比屏保高，当有冲突时，就会
跳出屏保。
关键：ARP包的数量适当。
[root@sztcww tools]# ./send_arp 10.5.4.178 00:90:26:3D:0C:F3 \
10.5.4.178 52:54:4C:98:EE:2F 40

二：用ARP导致IP冲突，死机
原理：WINDOWS 9X，NT4在处理IP冲突时，处理不过来，导致死机。
注：对WINDOWS 2K，Linux相当于flooding,只是比一般的FLOODING
有效的多.对LINUX，明显系统被拖慢。
[root@sztcww tools]# ./send_arp 10.5.4.178 00:90:26:3D:0C:F3 \