使用arpwatch和arping来排查ARP攻击

zyp

ARPWATCH监听广播域内的ARP通信，记录每台设备的IP与MAC的对应关系，当发生变化时，发邮件通知。
ARP攻击的常见迹象就是发现网关的MAC地址变生变化。
9 G3 m& t3 Q& {8 I1 Y/ Z, C当然,ARPWATCH不是万能的。因为一般情况下，你的安装arpwatch的服务器不可能总是能接收到整个网络的arp事件。想要完全监听，不得不在交换上做端口镜象。
另外，对路由器的攻击，因为攻击包是发给路由器的，假如在适当的位置没有端口镜象的支持，也是收不到任何信息的，所以也发现不了攻击。
####################
# ARP攻击监控、处理
6 `/ t% J; q1 x% v. j- j& F. t####################
#系统环境：CentOS 5.2
/ z4 f/ P. v/ u5 e$ e) F. u0 i9 s#
# 安装 ARPWACTH
yum -y install arpwatch
' j2 T2 ^- H  x; f7 [8 y# 设备成自动启动
& p) r0 G$ o% f# Uchkconfig arpwatch on
+ W: d8 ?, t, ^$ L) T9 t. S! d/ i# 启动arpwatch服务
serivce arpwatch start 、/etc/init.d/arpwatch start
- i) T5 l/ Q& Z6 K6 ~& H9 i# 设置arpwatch
vi /etc/sysconfig/arpwatch
2 ]% B* k9 ^' n- ?0 d# -u : defines with what user id arpwatch should run
; H0 @9 A0 \8 }# -e : the where to send the reports
+ T- U5 n' O+ c$ C) }1 t. J# -s : the -address
$ h* x) M  A- u8 u( y( ^OPTIONS=”-u pcap -e  -s ‘root (Arpwatch)’”
9 c7 `1 M! U/ n3 f5 P- b使用arping查询得到mac地址
0 I" F# C4 {0 P8 G: V' K. K# 遍历VLAN内的MAC地址
7 \5 K) U/ |4 |: D$ n" O. q% H# y#!/bin/bash
for i in `seq 254` ; do
arping -c2 210.51.44.$i | awk ‘/Unicast reply from/{print $4,$5}’ | sed ’s/\[//' | sed 's/\]//’
done
报警样例：
hostname:
ip address: 210.51.44.1
ethernet address: 0:0:24:5b:bb:ac
3 k* u; C+ ?& b* g: ]9 U2 o6 \ethernet vendor: CONNECT AS
0 [; M# b3 s7 R( `( o% A# xold ethernet address: 0:b:bf:29:d0:56
- K! o/ f% \! ?) vold ethernet vendor: Cisco Systems
timestamp: Sunday, December 7, 2008 14:46:34 +0800
previous timestamp: Sunday, December 7, 2008 14:46:34 +0800
delta: 0 seconds
* k- Q5 h# g% ~' X  m8 `其中，知道网关正确的MAC是0:b:bf:29:d0:56,所以0:0:24:5b:bb:ac就是攻击者的MAC地址（有一点需要注意，MAC地址也是可以改变的）。使用arping遍历同网段的IP，得到MAC列表，再grep出这个MAC的IP地址即可。可以把这个MAC地址表保存起来，下次使用。当然，要保证这个文件是正确的，所以还是需要保持更新。