慎防ARP欺騙與網絡嗅探（下篇） 步小羽 　2007年04月06日 　 天下·網吧聯盟

　　在上篇我們見識了嗅探器工具應用的實例，面對這種入門級黑客都能輕易掌握但是難以防范的入侵，作為網管應當如何應對呢？事實上，對于反ARP欺騙與反嗅探，有許多切實可行的辦法，例如劃分詳細的VLAN、對數據進行加密保護等等，但是較為適用于網吧環境的主要有以下兩種：
　　1.在網關路由綁定客戶端IP與MAC地址的對應關系。再在客戶端綁定網關IP與MAC地址的對應關系。
　　2.使用反嗅探軟件找出那些不受歡迎的客人。

　　綁定IP與MAC阻止進行ARP欺騙

　　在上篇中我們了解到，在交換環境中要成功嗅探必須先對目標電腦進行ARP欺騙。其欺騙得手成功的原因，則在于ARP協議中動態更新的ARP列表，假如我們可以將這個列表從動態轉換為靜態，那么ARP欺騙就沒有可以利用的漏洞了。
　　首先，需要為各個客戶端設置固定IP地址。
　　建立一下張IP與MAC的對應列表。由于一一手動收集IP與MAC地址的對應十分有麻煩，所以建議網管們去下載“科來網絡分析系統”其中包含有“科來物理地址掃描器”，可以方便地掃描出整個網絡的物理地址，并且導出為文本文件。

　　圖1

　　將表格導入至Excel添加一列，在前面輸入arp-s拖曳快速復制。將物理地址轉換為aa-bb-cc-dd-ee-ff格式。假如使用前面科來物理地址掃描器，那么只需要將“：”替換為“-”即可。處理完畢，獲得如圖X所示的Excel表。

　　
　　圖2

　　將此表的內容，復制至記事本，將保存為autoexec.bat文件類型。然后放置在包括網關在內的各臺電腦的C盤根目錄。這樣每一臺電腦在啟動時，均會自動加載靜態的ARP列表，再也不用怕黑客發動ARP欺騙類的攻擊了。

　　
　　圖3

　　假如網吧的網關是使用寬帶路由器作為網關的話，那么就需要看看是否有提供ARP列表設置項目。假如沒有這一項目，那么黑客的攻擊，還是會影響網關，從而造成網吧的斷網。
　　假如屢屢發生大面積斷網的情況，則建議網管使用以下第二招揪出讓網吧不得安寧的真兇。

　　檢測混雜模式網卡，找出不受歡迎的客人

　　稍前的內容中，我們介紹了如何防范嗅探。事實上除了被動防守之外，網管也可以主動出擊，通過利用一些反嗅探軟件，將隱藏在網絡的嗅探器及幕后黑手找出來。
　　對于習慣使用Windows系統的網管，Antisniff是最常用反嗅探軟件，它根據嗅探器軟件在工作時，必須將網卡設置為混雜模式的特征。搜尋網絡中那些網卡處于該工作狀態的網卡，從而找出正使用嗅探器的主機。下面，就來看看它的使用方法：
　　下載安裝之后，通過Antisniff掃描某一網段內所有主機中網卡為混雜模式的主機，在掃描范圍中輸入要檢測的網段，單擊“掃描”按鈕開始檢測，當聽到警告聲時，表示發現可疑目標，這時可以切換至“report”選項卡，單擊“reporton Machine”按鈕，從而看看有那些可疑的電腦。
　　由于正常情況下極少有軟件在工作時需要把網卡設置成混雜模式，也不會發動ARP欺騙，因此根據以上提示的IP地址，找到對應的電腦。建議先客氣地請使用這些電腦的客人換個座位，看看這些電腦是否之前被人動過手腳（免得冤枉好人）。假如換位后正常的電腦再進入混雜模式，那么可以肯定，他就應當是就是網管們一直在尋找的那位不受歡迎客人了。

　　
　　圖4

　　在實際使用中Antisniff也暴露了一些不足，只能工作在一個網段內，假如你管理的網吧有多個網段，那么就需要在各個網段找一臺電腦安裝Antisniff才能全面監控。另外Antisniff設計于2000年，對于加了SP、SP2補丁之后WindowsXP兼容性較差。
　　假如Antisniff不能正常工作，那么可以至http://www.xfocus.net/tools/200511/Winarp3.0Beta1.rar下載WinArpAttacket。安裝完畢后，單擊“Detect”按鈕，通過它也能實時檢查目前有那臺電腦正在發動arp欺騙或攻擊。如圖所示可以看到192.168.1.60這臺電腦正在不斷欺騙局域網內其他電腦。

　　
　　圖5

　　至此，在ARP欺騙、嗅探的攻防戰中，網管不但成功防卸入侵，還一舉擒獲真兇，可算是小勝了一回。但是要想守住這個勝利成果，各位網管還得繼續努力，因為各種嗅探工具也在不斷改進。假如各位對此有興趣，想更多了解嗅探攻防方面的內容，那么請多多回復發表自己的意見與見解，并說說自己想了解那方面的安全內容。

總結

以上是生活随笔為你收集整理的慎防ARP欺骗与网络嗅探（下篇）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。