作者 主題: 請問如何找出Arp攻擊的哪台電腦呢?  (閱讀 12384 次)

0 會員 與 1 訪客 正在閱讀本文。

moveboy

  • 活潑的大學生
  • ***
  • 文章數: 227
    • 檢視個人資料
請問怎麼找出arp攻擊者??上次兩三年前發生過一次,這次又發生,都是用arp指令綁mac address,雖然暫時解決問題了,但為了防止下次又發生,煩請各位先進指點有否啥簡單方式去找出攻擊者了,目前已經知道攻擊者引導錯誤mac addresss,可是怎麼查用macadress遍巡設備及電腦網卡,都沒發現哪個mac address,這次發生的arp攻擊是變種的病毒,會發生瞬間掉線的現象,因預算的問題,公司又不想買設備,我也很無奈,每次都花時間看問題,後來才發現原來是arp攻擊,防火牆這種東西不用說了,公司部會購買的

dark

  • 俺是博士!
  • *****
  • 文章數: 1581
    • 檢視個人資料
Re: 請問如何找出Arp攻擊的哪台電腦呢?
« 回覆 #1 於: 2015-04-29 05:23 »
方法一:
google 小紅傘+free
明年復發率 : 5%
復發解決法 : google asast+fee , google panda+free .....

方法二:
告訴老闆買 L2 switch 比較省 , 並學習找出攻擊者
明年復發率 : 50%
復發解決法 : 到攻擊主機 google 小紅傘+free  , google asast+fee , google panda+free .....

方法三:
一台電腦一個網段 , gateway 就有多少 alias ip
明年復發率 : 50%
復發解決法 : 到無法上網主機 google 小紅傘+free  , google asast+fee , google panda+free .....

moveboy

  • 活潑的大學生
  • ***
  • 文章數: 227
    • 檢視個人資料
Re: 請問如何找出Arp攻擊的哪台電腦呢?
« 回覆 #2 於: 2015-04-29 09:14 »
不好意思,我文中有寫公司不給預算購買,您講的這些我都有向上面講過了,但我們主管依然故我,所以很難,大部分出問題都我在想辦法用免費方式去找出問題所在!感謝您的建議,再次感謝您的回覆,忘了說哪台是sco unix其他是client端winxp或win7因為使用pn300要連哪台老到不行的sco unix我比較懷疑她被當作arp攻擊對象了,每次都是連不上他,可是也掃過mac address了也找步道對應的哪個mac address!因為是sco unix無法用小紅傘去掃,再者我們公司有購買合法版權的卡巴endpoint了!所以只知道卡巴掃步道是哪個電腦作祟,真的是有夠麻煩的每次都很困擾,有無啥軟體可以掃出是哪台電腦造成的呢?L2 SWITCH別想了,我也想買但提了他還是不理我,我也沒則了
« 上次編輯: 2015-04-29 09:16 由 moveboy »

damon

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 4227
    • 檢視個人資料
    • http://blog.damon.tw/
Re: 請問如何找出Arp攻擊的哪台電腦呢?
« 回覆 #3 於: 2015-04-29 09:40 »
出了問題,你都能夠找出解決辦法,還不花錢,我是老闆我也不會花錢買東西阿

moveboy

  • 活潑的大學生
  • ***
  • 文章數: 227
    • 檢視個人資料
Re: 請問如何找出Arp攻擊的哪台電腦呢?
« 回覆 #4 於: 2015-05-12 10:37 »
重點每次都要花很長時間去觀察才找出問題呀,不然我才不想在哪邊浩時間壓,整天都依職癱瘓道我找出問題哪個部門!可是過沒多久又來了

JackYang78

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 2672
    • 檢視個人資料
Re: 請問如何找出Arp攻擊的哪台電腦呢?
« 回覆 #5 於: 2015-05-12 11:04 »
這樣很好ㄚ
這樣才可以顯示你有在工作,
你老闆也可以展現不花錢一樣可以解決問題..
反正出問題就一起被釘在牆壁上喔!!
Networking & Communication Security SE

michaelwan

  • 憂鬱的高中生
  • ***
  • 文章數: 159
    • 檢視個人資料
Re: 請問如何找出Arp攻擊的哪台電腦呢?
« 回覆 #6 於: 2015-05-13 23:04 »
sniffer開一下就不有了?

moveboy

  • 活潑的大學生
  • ***
  • 文章數: 227
    • 檢視個人資料
Re: 請問如何找出Arp攻擊的哪台電腦呢?
« 回覆 #7 於: 2015-05-14 11:52 »
問題是找步道哪一台mac address壓明明都連到錯誤的 mac adress可適用,問題我們主管都要說是他的功勞,部會說是我的功勞!所以我也很oooxxxx,所以每次出問就我背黑鍋,我就好了就是他的功勞

moveboy

  • 活潑的大學生
  • ***
  • 文章數: 227
    • 檢視個人資料
Re: 請問如何找出Arp攻擊的哪台電腦呢?
« 回覆 #8 於: 2015-05-14 12:25 »
謝謝各位的解答,可是我sniff不適要用hub???switch不適只會抓到自己本身電腦的封包?

L2 switch他們又嫌貴不買,真的沒則了

dark

  • 俺是博士!
  • *****
  • 文章數: 1581
    • 檢視個人資料
Re: 請問如何找出Arp攻擊的哪台電腦呢?
« 回覆 #9 於: 2015-05-14 14:00 »
而且買了未必有用喔 ... 而且 ... 兩三年一次 ... 若要忘記兩三年就可以
而且... 其實很便宜 http://search.ruten.com.tw/search/s000.php?k=cisco+2950&c=0&ctab=1&searchfrom=searchbars&f=0&o=9&m=1&fy=0&h=0&p1=&p2=1000

你文章中都未提到曾經解決時 ... 找到的原因是什麼
... 其實小弟看文回文一向都很認真仔細的設想與感受


1. unix 不敢說抗體強 , 但至少最後評估它會中毒的可能性
2. pn300 ... 既然是商業軟體 , 有無特殊連線方式 , 認證行為
3. arp 攻擊除了連線劫持 , 是不會呆呆的只等一台電腦回應她錯誤 mac 的
4. 卡巴是管不到網路 , 但中毒會影響網路 ... 不敢說卡巴無敵 , 但正常情狀下 , 不會兩台卡巴中 , 一台比較沒力
5. 若是 arp 攻擊 , 聽封包是找不到的
6. L3 switch 在電力不足或壽命將近 , 也可能出現奇怪 arp 封包 ... unix 都有了 , 你確定環境內沒有 L2 L3 switch ?

上述不過是廢話 ... 依線索 , 仍抱持上一篇回文觀點
就算沒 switch , 環境中各區域(各同事)的放心指數 , 在心中也該有個譜
... 其實小弟認真仔細到 .. 回不熟帳號前 , 會先瀏覽他發過的文章

moveboy

  • 活潑的大學生
  • ***
  • 文章數: 227
    • 檢視個人資料
Re: 請問如何找出Arp攻擊的哪台電腦呢?
« 回覆 #10 於: 2015-05-18 13:57 »
而且買了未必有用喔 ... 而且 ... 兩三年一次 ... 若要忘記兩三年就可以
而且... 其實很便宜 http://search.ruten.com.tw/search/s000.php?k=cisco+2950&c=0&ctab=1&searchfrom=searchbars&f=0&o=9&m=1&fy=0&h=0&p1=&p2=1000

你文章中都未提到曾經解決時 ... 找到的原因是什麼
... 其實小弟看文回文一向都很認真仔細的設想與感受


1. unix 不敢說抗體強 , 但至少最後評估它會中毒的可能性
2. pn300 ... 既然是商業軟體 , 有無特殊連線方式 , 認證行為
3. arp 攻擊除了連線劫持 , 是不會呆呆的只等一台電腦回應她錯誤 mac 的
4. 卡巴是管不到網路 , 但中毒會影響網路 ... 不敢說卡巴無敵 , 但正常情狀下 , 不會兩台卡巴中 , 一台比較沒力
5. 若是 arp 攻擊 , 聽封包是找不到的
6. L3 switch 在電力不足或壽命將近 , 也可能出現奇怪 arp 封包 ... unix 都有了 , 你確定環境內沒有 L2 L3 switch ?

上述不過是廢話 ... 依線索 , 仍抱持上一篇回文觀點
就算沒 switch , 環境中各區域(各同事)的放心指數 , 在心中也該有個譜
... 其實小弟認真仔細到 .. 回不熟帳號前 , 會先瀏覽他發過的文章


感謝您的指點
我之前的攻擊其實就是鎖定成靜態mac address!就每一台都給他執行就好了,就醬子!
之後又發現一次不過哪是有台hub不知道為啥一直攻擊我們哪台老sco unix,換了hub又好了,但怪的是我拿回我的電腦測試好像也沒啥問題估計我覺得還是接的電腦有中毒,所以就重灌就好了,不過每次都癱瘓一天!實在是很糟糕呀!被罵的都是我,很無辜的mis老闆又不願意出錢買又要我馬上找出來,所以才來求教各位!總之又要馬兒好又要馬兒不吃草!

moveboy

  • 活潑的大學生
  • ***
  • 文章數: 227
    • 檢視個人資料
Re: 請問如何找出Arp攻擊的哪台電腦呢?
« 回覆 #11 於: 2015-05-18 14:12 »
1. unix 不敢說抗體強 , 但至少最後評估它會中毒的可能性   =>不知道,因為主管也不給權限,我的部門副總也管不動他,副總親口說的跟他不合,有跟董事長說想換軟體,但董事長嫌轉換系統嫌貴,因為公司福利部錯董事長篤定他不會走,這是我們副總親口說的!他常常偷跑不知去哪也不講去哪!薪水又很高
2. pn300 ... 既然是商業軟體 , 有無特殊連線方式 , 認證行為==>他可能有鎖連線數,所以到達一定連線數就會進不去,每次又是我倒楣被念!我也說我也沒則,哪套系統ui聽說也倒了!沒法增加連線數了
3. arp 攻擊除了連線劫持 , 是不會呆呆的只等一台電腦回應她錯誤 mac 的=>這次比較怪,某些電腦我用老辦法鎖定靜態就解決了,但是ping還是會time out,但有些電腦就很正常,沒事
4. 卡巴是管不到網路 , 但中毒會影響網路 ... 不敢說卡巴無敵 , 但正常情狀下 , 不會兩台卡巴中 , 一台比較沒力=>我們是企業版問了廠商也說沒辦法防止這種東西
5. 若是 arp 攻擊 , 聽封包是找不到的=>是喔!因為網路觀念我也一知半解所以來求救各位大哥了
6. L3 switch 在電力不足或壽命將近 , 也可能出現奇怪 arp 封包 ... unix 都有了 , 你確定環境內沒有 L2 L3 switch ?=>確定,我們公司總共有六台24portswitch,非常確定,我都在公司十一年了,連這個都不確定都別當了,我來當初更誇張,十一年前win95我們公司竟然還在用win98還是主力,更誇張是他竟凡把全公司電腦c曹跟d曹全部開放,難怪我進來一推病毒,而且分享器竟然是一台win98的nat架的!她的網路觀念很糟的!題外話,arp也可以唸成apr我都不知道他碩士研究所怎麼唸出來的,連arp也不知道是啥?強,聽人事部門主管講他碩士都白天跑去讀的,我這職位之前已經跑好幾個了

michaelwan

  • 憂鬱的高中生
  • ***
  • 文章數: 159
    • 檢視個人資料
Re: 請問如何找出Arp攻擊的哪台電腦呢?
« 回覆 #12 於: 2015-05-20 23:35 »
謝謝各位的解答,可是我sniff不適要用hub???switch不適只會抓到自己本身電腦的封包?

L2 switch他們又嫌貴不買,真的沒則了

arp request是一個廣播, 同一個broadcast domain上的PC都看得到.
arp spoofing也得要收到request才會假造arp reply.
在自已的電腦丟出arp request, 是有機會收到假造的arp reply跟正常的arp reply.
上述都是sniffer上看得到的訊息.

moveboy

  • 活潑的大學生
  • ***
  • 文章數: 227
    • 檢視個人資料
Re: 請問如何找出Arp攻擊的哪台電腦呢?
« 回覆 #13 於: 2015-05-21 10:27 »
謝謝各位的解答,可是我sniff不適要用hub???switch不適只會抓到自己本身電腦的封包?

L2 switch他們又嫌貴不買,真的沒則了

arp request是一個廣播, 同一個broadcast domain上的PC都看得到.
arp spoofing也得要收到request才會假造arp reply.
在自已的電腦丟出arp request, 是有機會收到假造的arp reply跟正常的arp reply.
上述都是sniffer上看得到的訊息.


可是麻煩的是總不能叫我自己買hub也不好買鴨,要買網管型switch也不給買鴨!這種情形已經發生好幾次我都在背黑鍋,谁不攻擊別的server偏偏只攻擊他的!上面不懂總以為是我網路管理有問題!又要馬兒好,又要馬兒不吃草,我沒怎麼厲害啦!

JackYang78

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 2672
    • 檢視個人資料
Re: 請問如何找出Arp攻擊的哪台電腦呢?
« 回覆 #14 於: 2015-05-21 10:31 »
攻擊是不分網不網管型的 Switch or Hub 的!!
Networking & Communication Security SE

aeolus0829

  • 憂鬱的高中生
  • ***
  • 文章數: 112
    • 檢視個人資料
Re: 請問如何找出Arp攻擊的哪台電腦呢?
« 回覆 #15 於: 2015-05-21 11:46 »
看了一長串下來只覺的樓主是在抱怨和討拍

你說沒錢?Dark 大就有提到小紅傘的方案,要錢不用錢的都講完了
你說L2交換器很貴?某位大大還直接貼二手 switch (cisco) 給你,最低價格從8000起跳

我不相信那些 cisco switch 連最基本的 port security 都做不到


moveboy

  • 活潑的大學生
  • ***
  • 文章數: 227
    • 檢視個人資料
Re: 請問如何找出Arp攻擊的哪台電腦呢?
« 回覆 #16 於: 2015-05-26 11:44 »
看了一長串下來只覺的樓主是在抱怨和討拍

你說沒錢?Dark 大就有提到小紅傘的方案,要錢不用錢的都講完了
你說L2交換器很貴?某位大大還直接貼二手 switch (cisco) 給你,最低價格從8000起跳

我不相信那些 cisco switch 連最基本的 port security 都做不到

抱歉喔我是有點抱怨沒錯!但是8000元不適我說了算上面是很保守的主管,連主機板都用K7去買中古來換了,您覺得?

moveboy

  • 活潑的大學生
  • ***
  • 文章數: 227
    • 檢視個人資料
Re: 請問如何找出Arp攻擊的哪台電腦呢?
« 回覆 #17 於: 2015-05-26 15:24 »
攻擊是不分網不網管型的 Switch or Hub 的!!

您誤會我意思了,我是指要解取封包不是要用hub或網管型switch嗎,現在大大前面的建議我都有給他看了,但他忍然覺得能省則省,而且一句話就賭住我了,你有確定買了可以解決問題?

而且最新狀況是arp攻擊我終於用分割法,一個部門一個部門切終於找到問題了,一台rt-n10拔掉就沒有攻擊了,這是怎麼回事??壞掉??可是我拿去自己插在另一台adsl上當然網段不同,也看不出那裡有問題說,喔他有刷tomato,
但很遭的是新狀況是外部的vpn卻一直碩間斷線,這是怎麼回事?上網也正常我用ntop去看流量也正常呀!這是啥狀況呀!只好再去查vpn.log看看了,真是屋漏偏逢連夜雨

JackYang78

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 2672
    • 檢視個人資料
Re: 請問如何找出Arp攻擊的哪台電腦呢?
« 回覆 #18 於: 2015-05-26 15:25 »
抱歉喔我是有點抱怨沒錯!但是8000元不適我說了算上面是很保守的主管,連主機板都用K7去買中古來換了,您覺得?

看了你寫的這句話,我只可以建議,貴公司的確是很省的公司,若你有理想,有抱負,趁機走人~~
除非你想留下來練練基本功!!
Networking & Communication Security SE

moveboy

  • 活潑的大學生
  • ***
  • 文章數: 227
    • 檢視個人資料
Re: 請問如何找出Arp攻擊的哪台電腦呢?
« 回覆 #19 於: 2015-05-26 23:28 »
抱歉喔我是有點抱怨沒錯!但是8000元不適我說了算上面是很保守的主管,連主機板都用K7去買中古來換了,您覺得?

看了你寫的這句話,我只可以建議,貴公司的確是很省的公司,若你有理想,有抱負,趁機走人~~
除非你想留下來練練基本功!!


謝謝前輩的指點,也感謝以上的先進的指點迷津,我也想可現在大環境不好,公司福利也算數一數二的在南部啦,而且又是建設公司難免認為資訊就是怎麼簡單,不需要太專業的人才景氣真的不是很好,要不適福利比外面實在好到不行再加上公司對我也不錯,只有主管真的是沒有遠見!我也想轉行也在學第二專長,避免這間公司哪天說不幹就不幹了,現在就已經在學第二專長了