如何追踪IP攻击源
“工欲善其事、必先利其器”,在正式追踪攻击者的来源之前,我们事先还要在本地网络中的网管工作站上安装一个著名的网络管理软件Solarwinds。这是一款商业软件,如果大家不想付费的话可以去该公司的站点下载40天的***用版。本例中会用到其中的“Switch Port Mapper”
工具,这是专门用来定位交换机端口和MAC地址之间的关系。
SNMP网络管理系统包括两大部分:管理进程和代理进程。在本例中,Solarwinds就是管理进程,而代理进程则需要我们去交换机上面进行配置。Solarwinds(管理进程)的安装很简单,在此就不加赘述了,笔者重点介绍一下如何在Cisco交换机上面启用snmp代理进程。启用代理进程的命令是snmp-server,分别登录到交换机192.168.0.15和交换机2192.168.0.80上面,在配置模式下输入以下命令:
snmp-server community public ro
snmp-server community fengyu rw
这样就启用了两台交换机上面的snmp代理进程,其中的public是团体名,用来验证的,ro
表
关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf
示访问者具有只读权限;fengyu也是团体名,但是使用该团体名的访问者具有读写权限。接下来我们就可以打开Solarwinds的“Switch Port Mapper”工具来随时捕捉攻击者的真实来源了。
部署完SNMP网络管理系统后,我们使用的时候只要将交换机的IP地址和团体名分别输入到“Switch Port Mapper”工具中的列表框中,然后点击“Map Ports”就可以了,这就是图形界面网络管理软件给我们带来的最大好处——简单、快捷、易用。
追踪实例
好了,所有的必备知识都介绍完了、准备工作也已经做好了,接下来让我们共同去分享一下SNMP网络管理系统在追踪黑客攻击时的威力吧。
首先在192.168.0.9那台计算机上面打开局域网终结者,将网关192.168.0.1添加到阻断地址中,这样,我们的整个局域网就立刻处于瘫痪状态。从本地主机的ARP缓存中可以看见,网关的MAC地址已经由正确的“00-90-0b-01-d6-fe”变成了伪造的“00-06-7b-c1-d5-25”了:
C:>arp -a
Interface: 192.168.0.3 --- 0x2
Internet Address Physical Address Type
192.168.0.1 00-06-7b-c1-d5-25 dynamic
一般而言,如果我们怀疑本地局域网遭受到ARP欺骗攻击时,首先就要查看本地主机上的ARP缓存表,如果发现网关的MAC地址已经得到了改变,那么我们基本上就可以确信有人
在某个角落里发起了ARP攻击。
调出“Switch Port Mapper”工具,在两个下拉列表中分别输入192.168.0.15(由于我们现在并不知道攻击者当前所连接的交换机位置,所以就首先选择了连接数量比较多的交换机1)和团体名public后,点击“Map Ports”。“Switch Port Mapper”工具所反馈的信息如图2所示。
图2
从图中可以看出,***亮度的MAC地址就是伪造的网关MAC地址,其对应的交换机端口为“Fa0/5”,即第5个端口。由于该端口同时记忆了六个MAC地址,因此能够判断出这是一个级联端口。从日常的网络管理文档中可知,该端口级联了192.168.0.80,也就是交换机2,下一步我们就该到192.168.0.80上面进行SNMP查询。
同理,我们重新在下拉列表中输入192.168.0.80,团体名为public,点击“Map Ports”来查看反馈的信息,参见图3。
图3中显示了伪造的MAC地址(***亮度)来源于“Fa0/9”,即交换机2的第九个端口,而在该端口上只有两个MAC地址,所以可以肯定另外一个就是攻击者真实的MAC地址。此时图上虽然没有显示出攻击者的IP地址,但并不妨碍我们对他的追踪,因为我们已经将其定位到交换机2的第9号端口上,所以在这个时候知道IP地址与否已经没有意义了,我们可以在
稍后的阶段通过事先建立好MAC-IP地址表来查阅其IP地址,当前的任务是定位攻击者并将其踢出局域网。
我们可以通过发送SNMP报文的方式禁止攻击者的计算机连接到局域网中。为了实现这个目的,首先要把团体名public改成fengyu,因为前者的访问权限为只读,无法对代理进程进行写数据的操作,更改完成后用右键点击“Fa0/9”,选择“Administratively Disable Interface”,以便禁用这个接口。
禁用成功后,我们再次查看该接口的状态,会发现其“Operational Status”已经从绿色指示变成了红色指示。
至此,攻击者的位置已经被我们轻而易举地找到,并且,利用SNMP网络管理软件的强大功能,一瞬间就可以将其踢出局域网,为整个网络的畅通扫除了障碍。
点评:
ARP欺骗追踪的根本就是IP地址和MAC地址的对应关系。一般我们在交换机上追踪的方式是登录交换机用命令行来进行查询,本文利用snmp来远程查询交换机的MAC表从而发现攻击源头,不失为一种方便快捷的方式,尤其在有多台交换机需要维护的情况下,可以为管理员节省较多的维护时间。