|
ARPWATCH监听广播域内的ARP通信,记录每台设备的IP与MAC的对应关系,当发生变化时,发邮件通知。# E3 G% M0 }' w0 _, a2 e
ARP攻击的常见迹象就是发现网关的MAC地址变生变化。
+ M( P5 }/ @7 M当然,ARPWATCH不是万能的。因为一般情况下,你的安装arpwatch的服务器不可能总是能接收到整个网络的arp事件。想要完全监听,不得不在交换上做端口镜象。' M3 r7 Q! b4 w& y
另外,对路由器的攻击,因为攻击包是发给路由器的,假如在适当的位置没有端口镜象的支持,也是收不到任何信息的,所以也发现不了攻击。
% }0 e2 {. e8 \* z####################% B2 }: i$ t. x" }
# ARP攻击监控、处理+ `5 M) Z% O, a! @
####################6 [; r; i8 ?' Q7 c& ~* R
#系统环境:CentOS 5.2 T% n$ J% V# X* P
#) ]5 u# Z; @+ N3 q& {' R' q$ o$ Z. v
# 安装 ARPWACTH
1 S/ ]# q9 B9 U4 Eyum -y install arpwatch+ [3 W0 ?' T7 h/ }, W
# 设备成自动启动
, c3 ?' a5 e) Q/ Kchkconfig arpwatch on( N$ z$ B! W# ]' W. _3 X) b
# 启动arpwatch服务
3 Y0 D3 q; d- [serivce arpwatch start 、/etc/init.d/arpwatch start5 I, E, r( w4 N E
# 设置arpwatch
5 M' Y/ \" E5 p/ w/ M- mvi /etc/sysconfig/arpwatch2 U/ O$ W% K' D! C. Z' h& g
# -u : defines with what user id arpwatch should run$ X6 Q4 w- K" X0 ~0 X5 K; v5 }
# -e : the where to send the reports
1 j, A5 r; B$ q' K/ ?" |# -s : the -address
* y1 y: Z2 x/ y/ z4 mOPTIONS=”-u pcap -e -s ‘root (Arpwatch)’”
9 s C: z2 J$ N% t7 e* o4 D8 H使用arping查询得到mac地址 B9 n" \7 |1 c+ Z( @; o! A
# 遍历VLAN内的MAC地址
. z& s) j- q. [0 ]8 h#!/bin/bash
, y' @/ h6 n# O! g8 }& Rfor i in `seq 254` ; do
G6 N; C$ I! P2 N6 W- B( Sarping -c2 210.51.44.$i | awk ‘/Unicast reply from/{print $4,$5}’ | sed ’s/\[//' | sed 's/\]//’
; _5 t$ y9 e, ddone! ~1 d) f& J9 M& f! C- C6 s9 K+ [
报警样例:' y8 A) _; ]% M6 |0 F; l) q5 u$ S
hostname: % {& p; A2 L1 y- z! W
ip address: 210.51.44.1
* v I( p8 M7 L! A8 Iethernet address: 0:0:24:5b:bb:ac2 B! \' Q' f/ R- s7 r
ethernet vendor: CONNECT AS
5 |) d0 q0 l& [old ethernet address: 0:b:bf:29:d0:56
: [0 A* T: L( u- G6 Uold ethernet vendor: Cisco Systems
^9 S( y- d- N+ V6 h) Ltimestamp: Sunday, December 7, 2008 14:46:34 +08007 C* E* X' Z% O, S: Q9 x, F1 Y
previous timestamp: Sunday, December 7, 2008 14:46:34 +0800
' N* [* W# ~3 [( fdelta: 0 seconds
: H" S/ q5 e ^1 y4 k5 T其中,知道网关正确的MAC是0:b:bf:29:d0:56,所以0:0:24:5b:bb:ac就是攻击者的MAC地址(有一点需要注意,MAC地址也是可以改变的)。使用arping遍历同网段的IP,得到MAC列表,再grep出这个MAC的IP地址即可。可以把这个MAC地址表保存起来,下次使用。当然,要保证这个文件是正确的,所以还是需要保持更新。 |
|