|
楼主 |
发表于 2007-6-22 17:02:02
|
显示全部楼层
近些天,ARP病毒入侵网络,使大多网吧及家庭都陷入苦难!!中招现象:掉线~~~~~~`
上周公司局域网有部分机器发身了掉线现象,但是故障不清晰,不明显,有时候刷新浏览器或者重新启动机器就可以了,而且不是经常断线,偶尔一次,我拿着我的本子是试验的时候一切正常,怀疑线路的故障也排除了.当时就认为他们机器长时间不关机或者操作不当引起的,告诫的方法就是重新启动机器.
但是本周这个事情发生的频率和现象明显多了,,就联我的机器也不幸免,短的时候大约3分钟就掉线,长的时候有时候是2个多小时,,这个时候ping任何服务器,网关都不通,ping 本机是通的,ping 127.0.0.1也是通的,网卡应该没什么问题,机器是新的呀.但是还偶尔可以ping 通局域网的其他机器.
刚开始解决的方法就是重新启动机器,一般都可以解决,但是如此频繁的掉线也不可能就用这个方法,一定的找到原因,才可以解决,找了一些相关的资料,又询问了圈内一些人,大都说的较含糊,没有明确的答复.超级郁闷.
当时考虑既然重新启动机器可以,就是他清除了一些缓存的东西,网卡启用了一次,出现掉线的时候我就试着把网卡停用在启用一次,上网也正常了.因为重新开机和重新启动网卡可以解决,当时考试是不是dhcp出现了问题,检查了一下dhcp,租约是在2008年,因改不会有问题,死马当活马医.把本机的ip手工更改了,当时大约1个小时都没有掉线,认为问题已经解决,但是正准备推广这个办法的时候,又掉线了.
这个也解决不了问题,上不去网络的时候后来用修复网上连接的办法发现也可以解决,仔细观察了一下修复的内容,刷新ARP缓存、刷新NetBIOS缓存、刷新DNS缓存、重新在WINS上注册NetBIOS名称和IP地址、重新在DNS上注册计算机名称和IP地址(ipconfig /registerdns),因为本身是链接的ip,排除了dns,发现最为可疑的是arp.
这个时候就把重点放在arp上,在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如下表所示。
主机 IP地址 MAC地址
A 192.168.16.1 aa-aa-aa-aa-aa-aa
B 192.168.16.2 bb-bb-bb-bb-bb-bb
C 192.168.16.3 cc-cc-cc-cc-cc-cc
D 192.168.16.4 dd-dd-dd-dd-dd-dd
我们以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.16.2的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。
从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗,A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候,把C的MAC地址骗为DD-DD-DD-DD-DD-DD,于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么,嗅探成功。
运行cmd 键入arp -a ,发现不能上网的时候网关192.168.150.33 变成了00-00-00-00-00-00,正常的应该网关 192.168.150.33 mac 00-0f-e2-18-9c-d1,修复网上连接后正常的是网关 192.168.150.33 mac 00-0f-e2-18-9c-d1,在接着不能上网的时候arp -d 删除,发现也可以上网.这样这个问题基本思路定下来了,就是arp攻击,或者认为或者木马,为了证实我的想法,我把本机绑定了网关的ip和mac,(arp -s ip mac),整天都上网正常,这个时候别的还有机器是掉线频频,这样就证实了这个思路是正确的.
我就观察快掉线的时候看到网关192.168.150.33的mac变成了00-11-25-2c-d1-03,现在这个mac地址的机器最为可疑,我就通过一个扫描mac地址的一个软件扫描了一下,找到了这个mac地址的ip和用户名,也就找到了这个机器,杀毒,发现了病毒无数.杀毒后解决.
为了总结这次事情,又在网上找了找相关资料,下载了一个arp补丁免疫,如果一时找不到有病毒或使用arp攻击的机器,就把这个补丁打上,就不会篡改网关ip mac了.一定在机器上安装防病毒软件,系统保持最新,打上补丁,不给别人或者病毒一些机会.
arp免疫 http://hudongjian.bokee.com/inc/arp%C3%E2%D2%DF.mp3 arp免疫换成rar |
|