黑客消息
ARP病毒入侵网络
作者:流浪baby 日期:2006-04-04
字体大小: 小 中 大
ARP病毒入侵网络
近些天,ARP病毒入侵网络,使大多
网吧及家庭(Family)都陷入苦难!!中招现像:掉线~~~~~~`
在这里我在网上到的相关资料,网络It快活林的IT快活林的计算机高手的研究一下~~
解决ARP攻击的方法
【故障原因】
局域网内有人使用ARP欺骗的令人讨厌的电脑木马程序(Procedures)(Procedures)(譬如:传奇盗号的软件(soft),某一些传奇外挂中也被恶意加载了此程序(Procedures)(Procedures)).
【故障原理】
要了解故障原理,我们先来了解一下ARP协议.
在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的.ARP协议对网络安全具有重要的意义.通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞.
ARP协议是“Address Resolution Protocol”(地址解析
协议)的缩写.在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的.在以太网中,一个主机要和另一个主机进行直接或者是间接通信,必须要知道目标主机的MAC地址.但这一个目标MAC地址是如何获得的呢?他就是通过地址解析
协议获得的.所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程.ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行.
每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里面的IP地址与MAC地址是一一对应的,如下表所示.
主机 IP地址 MAC地址
A 192.168.16.1 aa-aa-aa-aa-aa-aa
B 192.168.16.2 bb-bb-bb-bb-bb-bb
C 192.168.16.3 cc-cc-cc-cc-cc-cc
D 192.168.16.4 dd-dd-dd-dd-dd-dd
我们以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据(Data)为例.当发送数据(Data)时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址.如果找到了,也就知道了目标MAC地址,直接或者是间接把目标MAC地址写入帧里面发送就可以啦;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.16.2的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这一个帧时,才向主机A做出这样的回应:“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”.这样,主机A就知道了主机B的MAC地址,他就可以向主机B发送信息了.同时他还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接或者是间接从ARP缓存表里查找就可以啦.ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被彻底删除,这样可以大大减少ARP缓存表的长度,加快查询速度.
从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗.对目标A进行欺骗,A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这一个地址上.如果进行欺骗的时候,把C的MAC地址骗为DD-DD-DD-DD-DD-DD,于是A发送到C上的数据(Data)包都变成发送给D的了.这不正好是D能够接收到A发送的数据(Data)包了么,嗅探成功.
A对这一个变化一点都没有意识到,但是接下来的事情就让A产生了怀疑.因为A和C连接不上了.D对接收到A发送给C的数据(Data)包可没有转交给C.
做“man in the middle”,进行ARP重定向.打开D的IP转发功能,A发送过来的数据(Data)包,转发给C,好比一个(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)一样.不过,假如D发送ICMP重定向的话就中断了整个计划.
D直接或者是间接进行整个包的修改转发,捕获到A发送给C的数据(Data)包,全部进行修改后再转发给C,而不能是C接收到的数据(Data)包完全认为是从A发送来的.不过,C发送的数据(Data)包又直接或者是间接传递给A,倘若再一次进行对C的ARP欺骗.现在D就完全成为A与C的中间桥梁了,对于A和C之间的通讯就可以啦如指掌了.
【故障现像】
当局域网内某台主机运行ARP欺骗的令人讨厌的电脑木马程序(Procedures)(Procedures)时,会欺骗局域网内所有主机和(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒),让所有上网的流量必须经过病毒主机.其他用户原来直接或者是间接通过(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)上网现在转由通过病毒主机上网,切换的时候用户会断一次线.
切换到病毒主机上网后,如果用户已经登陆了传奇服务器(Server),那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录(Logon)传奇服务器(Server),这样病毒主机就可以盗号了.
由于ARP欺骗的令人讨厌的电脑木马程序(Procedures)(Procedures)发作的时候会发出大量的数据(Data)包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网络速度度越来越慢.当ARP欺骗的令人讨厌的电脑木马程序(Procedures)(Procedures)停止运行时,用户会恢复从(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)上网,切换过程当中用户会再断一次线.
【HiPER用户快速发现ARP欺骗令人讨厌的电脑木马】
在(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)的“操作操作系统历史记录”中看到大量如下的信息(440以后的(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)软件(soft)版本中才有此提示):
MAC Chged 10.128.103.124
MAC Old 00:01:6c:36:d1:7f
MAC New 00:05:5d:60:c7:18
这一个消息代表了用户的MAC地址发生了变化,在ARP欺骗令人讨厌的电脑木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC New地址都一致为病毒主机的MAC地址),同时在(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)的“用户统计”中看到所有用户的MAC地址信息都一样.
如果是在(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)的“操作操作系统历史记录”中看到大量MAC Old地址都一致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的令人讨厌的电脑木马程序(Procedures)(Procedures)停止运行时,主机在(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)上恢复其真实的MAC地址).
【在局域网内查找病毒主机】
在上面我们已经知道了使用ARP欺骗令人讨厌的电脑木马的主机的MAC地址,那么我们就可以使用NBTSCAN(原始的下载地址(由于来源于网上,本站不确保能否下下来):http://www.utt.com.cn/upload/nbtscan.rar)工具来快速查找他.
NBTSCAN可以取到PC的真实IP地址和MAC地址,如果有”传奇令人讨厌的电脑木马”在做怪,可以找到装有令人讨厌的电脑木马的PC的IP/和MAC地址.
系统命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即
192.168.16.1-192.168.16.254);或者是“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段,即192.168.16.25-192.168.16.137.输出结果第一列是IP地址,最后一列是MAC地址.
NBTSCAN的使用范例:
假设查找一台MAC地址为“000d870d585f”的病毒主机.
1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下.
2)在Windows开始—运行—打开,输入cmd(Microsoft Windows98输入“command”),在出现的DOS窗口中输入:C:
btscan -r 192.168.16.1/24(这里需要根据用户实际网段输入),回车.
C:Documents and SettingsALAN>C:
btscan -r 192.168.16.1/24
Warning: -r option not supported under Windows. Running without it.
Doing NBT name scan for addresses from 192.168.16.1/24
IP address NetBIOS Name Server User MAC address
------------------------------------------------------------------------------
192.168.16.0 Sendto failed: Cannot assign requested address
192.168.16.50 SERVER 00-e0-4c-4d-96-c6
192.168.16.111 LLF ADMINISTRATOR 00-22-55-66-77-88
192.168.16.121 UTT-HIPER 00-0d-87-26-7d-78
192.168.16.175 JC 00-07-95-e0-7c-d7
192.168.16.223 test123 test123 00-0d-87-0d-58-5f
3)通过查询IP--MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”.
【解决思路】
1,不要把您的网络安全信任关系建立在IP基础上或者是MAC基础上,(rarp同样存在欺骗的基本问题),理想的关系应该建立在IP+MAC基础上.
2,设置静态的MACIP对应表,不要让主机刷新您设定好的转换表.
3,除非很有必要,不然的话停止使用ARP,将ARP做为永久条目保存在对应表中.
4,使用ARP服务器(Server).通过该服务器(Server)查找自己的ARP转换表来响应其他机器的ARP广播.确保这台ARP服务器(Server)不被黑.
5,使用""proxy""代理IP的传输.
6,使用硬件屏蔽主机.设置好您的(路由器的缩写),确保IP地址能到达合法的路径.(静态配置(路由器的缩写)ARP条目),注意,使用交换集线器和网桥根本没有办法阻止ARP欺骗.
7,管理员定期用响应的IP包中获得一个rarp请求,然后认真仔细的检查ARP响应的真实性.
8,管理员定期轮询,认真仔细的检查主机上的ARP缓存.
9,使用防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有非常非常详细的介绍)连续监控网络.注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失.
【HiPER用户的解决方案】
建议用户采用双向绑定的方法解决并且防止ARP欺骗.
1,在PC上绑定(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)的IP和MAC地址:
1)最开始,获得(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)的内网的MAC地址(比如说是HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa局域网端口(Port)MAC地址>).
2)编写一个批处理文件rarp.bat内容如下:
@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa
将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址就可以了.
将这一个批处理软件(soft)拖到“Microsoft Windows--开始--程序(Procedures)(Procedures)--启动操作系统”中.
[ 本帖最后由 aqjazz 于 2006-12-15 17:13 编辑 ]
本帖最近评分记录关于
网吧频繁掉线的基本问题
故障现像:
网吧内客户机短暂断网,时间大概为1分钟(Minutes)左右,重新启动操作系统操作系统机器,又可恢复上网.断网时代理服务器(Server)是可以上网的,故障现像出现时间是随机的.
故障原因:这是APR病毒欺骗攻击造成的.
引起问题的原因很有可能是因为由2个传奇外挂携带ARP令人讨厌的电脑木马攻击.这2个外挂是:
1, 传奇2冰橙子1.44版
2, 传奇2马上雨PK版
当有网友在
网吧内使用上述外挂时,外挂携带的病毒会将该机器的MAC地址映射到其他机器的IP地址上,从而不能是使其他机器1个IP地址会对应多个MAC地址,当被欺骗的机器重新启动操作系统时,代理服务器(Server)或者是(路由器的缩写)的网关(通常为192.168.0.1)会因为一个IP适配多个MAC地址的错误,而不能是停止向局域网内传输数据(Data),这就是为什么或者是说怎么会掉线时内网是互通的,代理服务器(Server)也可以上网,而不能是客户机不能上网的原因,是网关停止了工作(Work),掉线只有在被欺骗的其他机器重新启动操作系统操作系统才会发生,所以故障现像比较隐蔽,难以排查.
处理对策:
方法一:这是目前最好的办法,将
网吧内所有机器的IP地址和该机器网卡的MAC 地址绑定,使病毒根本没有办法欺骗,操作如下:
win98/me操作操作系统:
在Microsoft Windows→MSDOS模式下:
运行WINIPCFG系统命令,查看本台电脑所用网卡的IP地址和网卡的MAC地址.
运行ARP→S IP地址 MAC地址
Win2000/xp操作操作系统:
在Windows→MSDOS模式下
运行IPCONFIG系统命令,查看本台电脑器的IP地址和网卡的MAC地址
运行ARP→S IP地址 MAC地址
注意事项:(1)
网吧内所有机器都必须设为固定IP(如192.168.0.5)
(2)一定要将
网吧内所有机器的IP地址和MAC地址绑定,有一台不绑定都不能彻底解决问题,代理服务器(Server)可以不用.
(3)有还原模式的一定要转储,该项操作必须保存.
方法二:这是临时应急的办法,上网人数较多时,不能叫客人都下线.
在
网吧内任一台机器上安装“网络执法官”软件(soft),软件(soft)天空[URL="http://www.skycn.com"]www.skycn.com[/url])有共享(Sharing)版下载,运行“网络执法官”可以看和
网吧内所有机器的MAC地址和IP地址(当然所有机器要全打开),最好用笔记录下所有机器的MAC地址和IP地址,并和机器序号对应.安排人监视,一旦发现有某一MAC地址被其他多个IP地址映射时,立刻通过对应表找到该台机器,请该用户停止使用上述外挂.
这方法比较笨,但可解燃眉之急.
方法三:彻底删除所有机器内的这两个外挂,并通过软件(soft)屏敝下载,店堂内张贴公告,请网友不要使用这两个外挂.
以上办法为在本
网吧内试用通过,特写出来与每一位同仁共享(Sharing).
特此复一句,少数
网吧的掉线是用这一个外挂的原因,大部分的
网吧是因为万像这一个垃圾管理操作操作系统造成的,万像的工作(Work)原理是靠电脑名管理的,占网络资源和操作操作系统资源太多了,电脑死机,无响应,提示资源不足大部分是万像的原因,特别是
网吧本身网络状况不是很好的,装万像以后不是卡就掉线太正常了,
解决ARP欺骗的办法
方法一:掉线时控制台用户管理会有相同的IP或者是MAC地址,病毒可能就是那台机发出的,找出是哪台电脑,并关闭其电脑,看是否正常
方法二:
1,最开始,获得出口代理服务器(Server)的内网网卡地址.(比如说是本公司网关地址192.168.168.10的MAC地址为00-05-b7-00-29-29)
2,编写一个批处理文件rarp.bat内容如下:
@echo off
arp -d
arp -s 192.168.0.1 00-e0-4c-41-5e-5e
将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址就可以了.
3,利用收费软件(soft)服务端程序(Procedures)(Procedures)(pubwin或者是万像都可以)发送批处理文件rarp.bat到所有客户机的启动操作系统目录.Windows2000的默认启动操作系统目录为“C:Documents and SettingsAll Users「开始」菜单程序(Procedures)(Procedures)启动操作系统”
4,利用收费软件(soft)服务端程序(Procedures)(Procedures)重新启动操作系统所有客户端.
以上可以解决的或者是可以实行的办法可以对付所有arp欺骗程序(Procedures)(Procedures),病毒或者是令人讨厌的电脑木马.原理为在每台客户机增加属于网关的静态arp地址条目,不接受欺骗程序(Procedures)(Procedures)的arp条目更新请求.
[ 本帖最后由 aqjazz 于 2006-12-15 17:14 编辑 ]
写的好 支持 顶下
谢谢支持
那个 防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有非常非常详细的介绍)是怎么工作(Work)的
是局域网 通杀?
喊是没个电脑 都要装 ..?
学习了.谢谢{$WebSiteName}的站长分享
我是新人.谁介绍点入门级的教程看看!^_^
我也是新手,谁也给我介绍点入门的东东来看看学习学习?
我的
网吧 有时也出现掉线的基本问题,就到晚上才出现这一个问题 是一小部分电脑交换机也正常 大哥给我个好答案好吗???小弟弟我在此谢过了:em56:
var tagarray =['软件(soft)','网络','工具','操作操作系统','
网吧','电脑','破解','服务器(Server)','VPN','(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)'];var tagencarray =['%C8%ED%BC%FE','%CD%F8%C2%E7','%B9%A4%BE%DF','%CF%B5%CD%B3','%CD%F8%B0%C9','%B5%E7%C4%D4','%C6%C6%BD%E2','%B7%FE%CE%F1%C6%F7','VPN','%C2%B7%D3%C9%C6%F7'];parsetag(302416);
