慎防ARP欺骗与 络嗅探（下篇）

慎防ARP欺骗与 络嗅探（下篇） 步小羽 　2007年04月06日 　 天下· 吧联盟

　　在上篇我们见识了嗅探器工具应用的实例，面对这种入门级黑客都能轻易掌握但是难以防范的入侵，作为 管应当如何应对呢上，对于反ARP欺骗与反嗅探，有许多切实可行的办法，例如划分详细的VLAN、对数据进行加密保护等等，但是较为适用于 吧环境的主要有以下两种：
　　1.在 关路由绑定客户端IP与MAC地址的对应关系。再在客户端绑定 关IP与MAC地址的对应关系。
　　2.使用反嗅探软件找出那些不受欢迎的客人。

　　绑定IP与MAC阻止进行ARP欺骗

　　图1

　　将表格导入至Excel添加一列，在前面输入arp-s拖曳快速复制。将物理地址转换为aa-bb-cc-dd-ee-ff格式。假如使用前面科来物理地址扫描器，那么只需要将“：”替换为“-”即可。处理完毕，获得如图X所示的Excel表。

　　将此表的内容，复制至记事本，将保存为autoexec.bat文件类型。然后放置在包括 关在内的各台电脑的C盘根目录。这样每一台电脑在启动时，均会自动加载静态的ARP列表，再也不用怕黑客发动ARP欺骗类的攻击了。

　　假如 吧的 关是使用宽带路由器作为 关的话，那么就需要看看是否有提供ARP列表设置项目。假如没有这一项目，那么黑客的攻击，还是会影响 关，从而造成 吧的断 。
　　假如屡屡发生大面积断 的情况，则建议 管使用以下第二招揪出让 吧不得安宁的真凶。

　　检测混杂模式 卡，找出不受欢迎的客人

　　稍前的内容中，我们介绍了如何防范嗅探。事实上除了被动防守之外， 管也可以主动出击，通过利用一些反嗅探软件，将隐藏在 络的嗅探器及幕后黑手找出来。
　　对于习惯使用Windows系统的 管，Antisniff是最常用反嗅探软件，它根据嗅探器软件在工作时，必须将 卡设置为混杂模式的特征。搜寻 络中那些 卡处于该工作状态的 卡，从而找出正使用嗅探器的主机。下面，就来看看它的使用方法：
　　下载安装之后，通过Antisniff扫描某一 段内所有主机中 卡为混杂模式的主机，在扫描范围中输入要检测的 段，单击“扫描”按钮开始检测，当听到警告声时，表示发现可疑目标，这时可以切换至“report”选项卡，单击“reporton Machine”按钮，从而看看有那些可疑的电脑。
　　由于正常情况下极少有软件在工作时需要把 卡设置成混杂模式，也不会发动ARP欺骗，因此根据以上提示的IP地址，找到对应的电脑。建议先客气地请使用这些电脑的客人换个座位，看看这些电脑是否之前被人动过手脚（免得冤枉好人）。假如换位后正常的电脑再进入混杂模式，那么可以肯定，他就应当是就是 管们一直在寻找的那位不受欢迎客人了。

　　在实际使用中Antisniff也暴露了一些不足，只能工作在一个 段内，假如你管理的 吧有多个 段，那么就需要在各个 段找一台电脑安装Antisniff才能全面监控。另外Antisniff设计于2000年，对于加了SP、SP2补丁之后WindowsXP兼容性较差。
　　假如Antisniff不能正常工作，那么可以至http://www.xfocus.net/tools/200511/Winarp3.0Beta1.rar下载WinArpAttacket。安装完毕后，单击“Detect”按钮，通过它也能实时检查目前有那台电脑正在发动arp欺骗或攻击。如图所示可以看到192.168.1.60这台电脑正在不断欺骗局域 内其他电脑。

　　至此，在ARP欺骗、嗅探的攻防战中， 管不但成功防卸入侵，还一举擒获真凶，可算是小胜了一回。但是要想守住这个胜利成果，各位 管还得继续努力，因为各种嗅探工具也在不断改进。假如各位对此有兴趣，想更多了解嗅探攻防方面的内容，那么请多多回复发表自己的意见与见解，并说说自己想了解那方面的安全内容。