移動(dòng)oa辦公系統(tǒng)管理維護(hù)技巧：Arp反欺騙策略

　　相信很多用戶(hù)都遇到過(guò)ARP欺騙病毒，根據(jù)以前遇到過(guò)的情況總結(jié)自已的經(jīng)驗(yàn)跟大家分享一下移動(dòng)oa辦公系統(tǒng)維護(hù)技巧

　　近來(lái)與Arp相關(guān)惡意軟件越來(lái)越猖獗，受害者的也不少，國(guó)內(nèi)的各大殺毒廠(chǎng)商也紛紛推出Arp防火墻。但大部分防火墻虛有其表，原因下面會(huì)具體介紹。這篇主要移動(dòng)OA辦公系統(tǒng)維護(hù)技巧，更想起到拋磚引玉的作用。讓世界清靜一點(diǎn)

　　為了便于理解，下面構(gòu)造一些名詞：

　　假如局域網(wǎng)內(nèi)，有網(wǎng)關(guān)，發(fā)起欺騙的主機(jī)（以下簡(jiǎn)稱(chēng)欺騙主機(jī)），受騙主機(jī)

　　雙向欺騙：欺騙主機(jī)使得網(wǎng)關(guān)認(rèn)為欺騙主機(jī)是受騙主機(jī)同時(shí)讓受騙主機(jī)認(rèn)為欺騙主機(jī)是網(wǎng)關(guān)；

　　單向欺騙網(wǎng)關(guān)：欺騙主機(jī)只使網(wǎng)關(guān)認(rèn)為欺騙主機(jī)是受騙主機(jī)；

　　單向欺騙目標(biāo)主機(jī)：欺騙主機(jī)只使受騙主機(jī)認(rèn)為它是網(wǎng)關(guān)；

　　Arp除了能sniffer之外，現(xiàn)在比較流行的做法就是利用Arp進(jìn)行HTTP掛馬的情況了。所以下面考慮的影響基本以這個(gè)角度的方面來(lái)衡量。

　　由于環(huán)境不同，繼續(xù)往下分，一個(gè)機(jī)房被Arp欺騙的情，機(jī)房一般以服務(wù)器為主，對(duì)外發(fā)的數(shù)據(jù)多以http應(yīng)答包為主，此時(shí)單向欺騙目標(biāo)主機(jī)的危害比較大。另外一個(gè)普通的公司，家庭，及網(wǎng)吧之類(lèi)的局域網(wǎng)環(huán)境，對(duì)外發(fā)的數(shù)據(jù)多以http請(qǐng)求為主，接收的數(shù)據(jù)多以http應(yīng)答包為主，此時(shí)單向欺騙網(wǎng)關(guān)危害比較大。

　　還有的就是和網(wǎng)關(guān)有關(guān)了，網(wǎng)關(guān)簡(jiǎn)單的先分兩種：
1、支持IP和mac綁定的；
2、不支持IP和mac綁定。
　　支持IP和mac綁定的網(wǎng)關(guān)都好辦，所以這里就不討論這種情況了，主要討論不支持IP和mac綁定的情況：

　　下面舉的例子都是Arp雙向欺騙已經(jīng)存在的情況，裝上Arp FW后FW將處理情況。

　　第一種情況——普通公司，家庭，及網(wǎng)吧之類(lèi)局域網(wǎng)環(huán)境下，網(wǎng)關(guān)不支持IP和mac綁定：

　　先說(shuō)欺騙策略，說(shuō)到這里不得不提Arpspoof（以下簡(jiǎn)稱(chēng)as），最近流行這個(gè)工具，并且開(kāi)源，好分析，也確實(shí)寫(xiě)的不錯(cuò)。我手頭拿到的3.1版本的源代碼。若不修改as代碼，在當(dāng)前情況下，并處在雙向欺騙時(shí)，只要把配置文件稍微改改，就能夠?qū)崿F(xiàn)利用ARP掛馬。但如果受騙主機(jī)綁定了正確網(wǎng)關(guān)的mac，就不靈了。但如果有人修改了as代碼，使其能支持gzip解碼，并且把本應(yīng)發(fā)給受害主機(jī)的包，重組并解碼然后再發(fā)給受害主機(jī)。就又能欺騙了。

　　然后再回來(lái)看看現(xiàn)在國(guó)內(nèi)的Arp FW。比較弱的，F(xiàn)W一進(jìn)去，連正確的網(wǎng)關(guān)mac都檢測(cè)不出來(lái)，需要手動(dòng)填。好點(diǎn)的能自動(dòng)檢測(cè)正確的網(wǎng)關(guān)的mac。一般步驟是：
1． 獲取當(dāng)前網(wǎng)關(guān)mac（如利用sendARP函數(shù)等等）；
2． 利用網(wǎng)關(guān)IP發(fā)一個(gè)廣播包，獲取網(wǎng)關(guān)的mac；
3． 抓包對(duì)比，如果第一步和第二步獲得網(wǎng)關(guān)的mac相同，則認(rèn)為網(wǎng)關(guān)mac不是偽造的。如過(guò)第二步獲得兩個(gè)Arp reply，則把這兩個(gè)包與第一步的mac對(duì)比，相同的說(shuō)明是偽造的。如果第二步只獲得一個(gè)Arp reply，以第二步獲得mac為準(zhǔn)。

　　檢測(cè)到正確網(wǎng)關(guān)mac后，就靜態(tài)的綁定網(wǎng)關(guān)IP和mac，防止別人偽造網(wǎng)關(guān)。

　　基本上都這么搞，這個(gè)思路是有缺陷的。沒(méi)錯(cuò)，是可以防的住現(xiàn)在的as。因?yàn)閍s發(fā)Arp欺騙包間隔是3s，如果不改源代碼的話(huà)。在這個(gè)的時(shí)間間隔下，這三步是有能力獲得正確的網(wǎng)關(guān)，但是如果把間隔設(shè)短，甚至沒(méi)有間隔發(fā)Arp欺騙包的話(huà)?，F(xiàn)在國(guó)內(nèi)市面上的Arp FW全都倒下。我測(cè)了兩款，這里把測(cè)的結(jié)果說(shuō)一下：

1、金山Arp FW，二話(huà)不說(shuō)，倒下了。（as如果不設(shè)間隔的話(huà)能實(shí)現(xiàn)雙向欺騙）。
2、360 Arp FW，倒下了，倒的挺愛(ài)的。它倒下的同時(shí)，如果你點(diǎn)擊重新獲取正確網(wǎng)關(guān)，它等幾秒后，報(bào)告有Arp攻擊。我一看攻擊報(bào)告里頭的惡意mac，結(jié)果惡意的mac恰恰是正確網(wǎng)關(guān)發(fā)來(lái)的。（不設(shè)間隔的話(huà)能雙向欺騙）。

　　先說(shuō)為什么間隔3s的話(huà)，能檢測(cè)到正確網(wǎng)關(guān)mac，在執(zhí)行第二步時(shí)，在發(fā)廣播包之前必須先發(fā)一個(gè)Arp reply給網(wǎng)關(guān)，告訴網(wǎng)關(guān)自己正確的mac，然后網(wǎng)關(guān)才能把它本身的mac發(fā)給受騙主機(jī)。這個(gè)過(guò)程必須在3s內(nèi)完成。因此如果as的spoof不設(shè)間隔的話(huà)。那么網(wǎng)關(guān)在接收了你的ip和mac之后。發(fā)起欺騙的主機(jī)馬上就去網(wǎng)關(guān)那把它改回來(lái)。這樣受騙主機(jī)雖然發(fā)了廣播包，但是網(wǎng)關(guān)根據(jù)mac，會(huì)把它本身的mac發(fā)給欺騙主機(jī)而不是發(fā)給受騙主機(jī)，這樣受騙主機(jī)依然得不到正確網(wǎng)關(guān)的mac。另外，哪怕受騙主機(jī)得到了正確的網(wǎng)關(guān)mac，也只能保證自己對(duì)外發(fā)包不受欺騙，但是收到的包還是會(huì)被欺騙的。當(dāng)然FW可以和as玩拉鋸，二者都爭(zhēng)先恐后的去網(wǎng)關(guān)那邊刷自己的mac。但是這樣導(dǎo)致是容易丟包。

　　其實(shí)這種狀況還是有一個(gè)相對(duì)的解決方案。就是徹底的改頭換面掉。同時(shí)改自己的IP和mac，不論FW用什么添加ndis虛擬網(wǎng)卡，或者通過(guò)代碼直接就把當(dāng)前IP和mac替掉。獲得正確網(wǎng)關(guān)mac才有保證，否則連正確網(wǎng)關(guān)mac都拿不到。其它的就更不用說(shuō)了（至于什么手動(dòng)填網(wǎng)關(guān)mac之類(lèi)的。就先不討論了。知道網(wǎng)關(guān)是什么東西的用戶(hù)原沒(méi)有想象中的那么多）。

　
　　這是一個(gè)相對(duì)的解決方案，是因?yàn)榍疤崾蔷钟蚓W(wǎng)內(nèi)得有富余的IP資源。另外它還有一些弊端。就是如果有些機(jī)器關(guān)機(jī)的話(huà)，而受害者替換了它的IP之后，以后將造成沖突。當(dāng)然也是有解決方案了。比較多，這里就先不討論了。

　　因此，先要確定哪些IP是未被使用的，可以廣播Arp request 局域網(wǎng)各個(gè)IP的mac，如果有人應(yīng)答的話(huà)說(shuō)明這個(gè)IP被用，沒(méi)人應(yīng)答的話(huà)，就是富余的IP了。 只要把自己的IP和mac一改 改了之后，迅速刷新網(wǎng)關(guān)，獲得正確網(wǎng)關(guān)的mac之后，可以詢(xún)問(wèn)用戶(hù)是否改回來(lái)，改回來(lái)，因?yàn)闊o(wú)法避免丟包。網(wǎng)速也容易受影響。

　　第二種關(guān)于機(jī)房Arp欺騙的情況這里就不多說(shuō)，參考上面文字。有幾點(diǎn)要說(shuō)明的是，機(jī)房里，外網(wǎng)IP和內(nèi)網(wǎng)IP是映射的，同時(shí)改IP和mac是會(huì)導(dǎo)致斷網(wǎng)的，有一定危險(xiǎn)性。另外獲得正確網(wǎng)關(guān)的mac后，IP和mac必須改回來(lái)。也就是說(shuō)在機(jī)房這種情況下，丟包是免不了的。

　　通過(guò)以上移動(dòng)oa辦公系統(tǒng)維護(hù)技巧在遇到ARP攻擊問(wèn)題就可以迎刃而解。

【其他相關(guān)文章：】
◆什么才是最好的網(wǎng)管軟件？
◆傳統(tǒng)移動(dòng)oa辦公系統(tǒng)與移動(dòng)辦公app管理區(qū)別
◆孫永杰：企業(yè)移動(dòng)辦公oa運(yùn)維管理不能只是救火
◆四大移動(dòng)辦公app管理技巧助力移動(dòng)oa辦公系統(tǒng)