<rt id="txl8k"></rt>

        1. <i id="txl8k"><del id="txl8k"><cite id="txl8k"></cite></del></i>
        2. 真情服務(wù)  厚德載物
          今天是:
          聯(lián)系我們

          市場(chǎng)部:0564-3227239
          技術(shù)部:0564-3227237
          財(cái)務(wù)部: 0564-3227034
          公司郵箱:lachs@126.com
          技術(shù)郵箱:cc1982@163.com
          地址:六安市淠望路103號(hào)

          技術(shù)分類(lèi)
          推薦資訊
          當(dāng)前位置:首 頁(yè) > 技術(shù)中心 > 網(wǎng)絡(luò) > 查看信息
          ARP攻擊時(shí)的主要現(xiàn)象
          作者:永辰科技  來(lái)源:永辰科技  發(fā)表時(shí)間:2011-8-18 0:08:17  點(diǎn)擊:3428

             arp病毒并不是某一種病毒的名稱(chēng),而是對(duì)利用arp協(xié)議的漏洞進(jìn)行傳播的一類(lèi)病毒的總稱(chēng)。arp協(xié)議是TCP/IP協(xié)議組的一個(gè)協(xié)議,用于進(jìn)行把網(wǎng)絡(luò)地址翻譯成物理地址(又稱(chēng)MAC地址)。通常此類(lèi)攻擊的手段有兩種:路由欺騙和網(wǎng)關(guān)欺騙。是一種入侵電腦的木馬病毒。對(duì)電腦用戶(hù)私密信息的威脅很大。

            

          故障原因

            主要原因是在局域網(wǎng)中有人使用了ARP欺騙的木馬程序,比如一些盜號(hào)的軟件。
            傳奇外掛攜帶的ARP木馬攻擊,當(dāng)局域網(wǎng)內(nèi)使用外掛時(shí),外掛攜帶的病毒會(huì)將該機(jī)器的MAC地址映射到網(wǎng)關(guān)的IP地址上,向局域網(wǎng)內(nèi)大量發(fā)送ARP包,致同一網(wǎng)段地址內(nèi)的其它機(jī)器誤將其作為網(wǎng)關(guān),掉線(xiàn)時(shí)內(nèi)網(wǎng)是互通的,計(jì)算機(jī)卻不能上網(wǎng)。方法是在能上網(wǎng)時(shí),進(jìn)入MS-DOS窗口,輸入命令:arp –a查看網(wǎng)關(guān)IP對(duì)應(yīng)的正確MAC地址,將其記錄,如果已不能上網(wǎng),則先運(yùn)行一次命令arp –d將arp緩存中的內(nèi)容刪空,計(jì)算機(jī)可暫時(shí)恢復(fù)上網(wǎng),一旦能上網(wǎng)就立即將網(wǎng)絡(luò)斷掉,禁用網(wǎng)卡或拔掉網(wǎng)線(xiàn),再運(yùn)行arp –a。
            如已有網(wǎng)關(guān)的正確MAC地址,在不能上網(wǎng)時(shí),手工將網(wǎng)關(guān)IP和正確MAC綁定,可確保計(jì)算機(jī)不再被攻擊影響?稍贛S-DOS窗口下運(yùn)行以下命令:arp –s 網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC。如被攻擊,用該命令查看,會(huì)發(fā)現(xiàn)該MAC已經(jīng)被替換成攻擊機(jī)器的MAC,將該MAC記錄,以備查找。找出病毒計(jì)算機(jī):如果已有病毒計(jì)算機(jī)的MAC地址,可使用NBTSCAN軟件找出網(wǎng)段內(nèi)與該MAC地址對(duì)應(yīng)的IP,即病毒計(jì)算機(jī)的IP地址。

          故障現(xiàn)象

            當(dāng)局域網(wǎng)內(nèi)有某臺(tái)電腦運(yùn)行了此類(lèi)ARP欺騙的木馬的時(shí)候,其他用戶(hù)原來(lái)直接通過(guò)路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過(guò)病毒主機(jī)上網(wǎng),切換的時(shí)候用戶(hù)會(huì)斷一次線(xiàn)。
            切換到病毒主機(jī)上網(wǎng)后,如果用戶(hù)已經(jīng)登陸了傳奇服務(wù)器,那么病毒主機(jī)就會(huì)經(jīng)常偽造斷線(xiàn)的假像,那么用戶(hù)就得重新登錄傳奇服務(wù)器,這樣病毒主機(jī)就可以盜號(hào)了。
            由于ARP欺騙的木馬發(fā)作的時(shí)候會(huì)發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞,用戶(hù)會(huì)感覺(jué)上網(wǎng)速度越來(lái)越慢。當(dāng)木馬程序停止運(yùn)行時(shí),用戶(hù)會(huì)恢復(fù)從路由器上網(wǎng),切換中用戶(hù)會(huì)再斷一次線(xiàn)。
            該機(jī)一開(kāi)機(jī)上網(wǎng)就不斷發(fā)Arp欺騙報(bào)文,即以假冒的網(wǎng)卡物理地址向同一子網(wǎng)的其它機(jī)器發(fā)送Arp報(bào)文,甚至假冒該子網(wǎng)網(wǎng)關(guān)物理地址蒙騙其它機(jī)器,使網(wǎng)內(nèi)其它機(jī)器改經(jīng)該病毒主機(jī)上網(wǎng),這個(gè)由真網(wǎng)關(guān)向假網(wǎng)關(guān)切換的過(guò)程中其它機(jī)器會(huì)斷一次網(wǎng)。倘若該病毒機(jī)器突然關(guān)機(jī)或離線(xiàn),則其它機(jī)器又要重新搜索真網(wǎng)關(guān),于是又會(huì)斷一次網(wǎng)。所以會(huì)造成某一子網(wǎng)只要有一臺(tái)或一臺(tái)以上這樣的病毒機(jī)器,就會(huì)使其他人上網(wǎng)斷斷續(xù)續(xù),嚴(yán)重時(shí)將使整個(gè)網(wǎng)絡(luò)癱瘓。這種病毒(木馬)除了影響他人上網(wǎng)外,也以竊取病毒機(jī)器和同一子網(wǎng)內(nèi)其它機(jī)器上的用戶(hù)帳號(hào)和密碼(如QQ和網(wǎng)絡(luò)游戲等的帳號(hào)和密碼)為目的,而且它發(fā)的是Arp報(bào)文,具有一定的隱秘性,如果占系統(tǒng)資源不是很大,又無(wú)防病毒軟件監(jiān)控,一般用戶(hù)不易察覺(jué)。這種病毒開(kāi)學(xué)初主要發(fā)生在學(xué)生宿舍,據(jù)最近調(diào)查,現(xiàn)在已經(jīng)在向辦公區(qū)域和教工住宅區(qū)域蔓延,而且呈越演越烈之勢(shì)。
            經(jīng)抽樣測(cè)試,學(xué)校提供的賽門(mén)鐵克防病毒軟件企業(yè)版10.0能有效查殺已知的Arp欺騙病毒(木馬)病毒。惡意軟件由于國(guó)際上未有明確界定,目前暫無(wú)一款防病毒軟件能提供100%杜絕其發(fā)作的解決方案,需要借助某些輔助工具進(jìn)行清理。

          解決思路

            不要把你的網(wǎng)絡(luò)安全信任關(guān)系建立在IP基礎(chǔ)上或MAC基礎(chǔ)上。
            設(shè)置靜態(tài)的MAC-->IP對(duì)應(yīng)表,不要讓主機(jī)刷新你設(shè)定好的轉(zhuǎn)換表。
            除非必要,否則停止ARP使用,把ARP做為永久條目保存在對(duì)應(yīng)表中。
            使用ARP服務(wù)器。確保這臺(tái)ARP服務(wù)器不被黑。
            使用"proxy"代理IP傳輸。
            使用硬件屏蔽主機(jī)。
            定期用響應(yīng)的IP包中獲得一個(gè)rarp請(qǐng)求,檢查ARP響應(yīng)的真實(shí)性。
            定期輪詢(xún),檢查主機(jī)上的ARP緩存。
            使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò)。

          解決方案

            一般出現(xiàn)局域網(wǎng)
            網(wǎng)吧用戶(hù)一般可以用ROS路由進(jìn)行綁定,在主機(jī)上安裝上ARP防火墻服務(wù)端,客戶(hù)機(jī)安裝客戶(hù)端,雙相綁定比較安全。
            軟件百度搜索
            推薦軟件:http://wwwantiarpcom/down.asp?ArticleID=81
            市面上有眾多的ARP防火墻 推薦使用360
            建議采用雙向綁定解決和防止ARP欺騙。在電腦上綁定路由器的IP和MAC地址
            首先,獲得路由器的內(nèi)網(wǎng)的MAC地址(例如HiPER網(wǎng)關(guān)地址192.168.16.254的MAC地址為0022aa0022aa局域網(wǎng)端口MAC地址>)。
            編寫(xiě)一個(gè)批處理文件rarp.bat內(nèi)容如下:
            @echo off
            arp -d
            arp -s 192.168.16.254 00-22-aa-00-22-aa
            將網(wǎng)關(guān)IP和MAC更改為您自己的網(wǎng)關(guān)IP和MAC即可,讓這個(gè)文件開(kāi)機(jī)運(yùn)行(拖到“開(kāi)始-程序-啟動(dòng)”)。
            自己手動(dòng)清除病毒:
            1、立即升級(jí)操作系統(tǒng)中的防病毒軟件和防火墻,同時(shí)打開(kāi)“實(shí)時(shí)監(jiān)控”功能,實(shí)時(shí)地?cái)r截來(lái)自局域網(wǎng)絡(luò)上的各種ARP病毒變種。
            2、立即根據(jù)自己的操作系統(tǒng)版本下載微軟MS06-014和MS07-017兩個(gè)系統(tǒng)漏洞補(bǔ)丁程序,將補(bǔ)丁程序安裝到局域網(wǎng)絡(luò)中存在這兩個(gè)漏洞的計(jì)算機(jī)系統(tǒng)中,防止病毒變種的感染和傳播。
            3、檢查是否已經(jīng)中毒:
            a. 在設(shè)備管理器中, 單擊“查看—顯示隱藏的設(shè)備”
            b. 在設(shè)備樹(shù)結(jié)構(gòu)中,打開(kāi)“非即插即用設(shè)備”
            c. 查找是否存在:“NetGroup Packet Filter Driver” 或 “NetGroup Packet Filter”,如果存在,就表明已經(jīng)中毒。
            4、對(duì)沒(méi)有中毒機(jī)器,可以下載軟件Anti ARP Sniffer,填入網(wǎng)關(guān),啟用自動(dòng)防護(hù),保護(hù)自己的ip地址以及網(wǎng)關(guān)地址,保證正常上網(wǎng)。
            5、對(duì)已經(jīng)中毒電腦可以用以下方法手動(dòng)清除病毒:
            (1)刪除:%windows%\System32\LOADHW.EXE (有些電腦可能沒(méi)有)
            (2)a. 在設(shè)備管理器中, 單擊“查看—顯示隱藏的設(shè)備”
            b. 在設(shè)備樹(shù)結(jié)構(gòu)中,打開(kāi)“非即插即用設(shè)備”
            c. 找到 “NetGroup Packet Filter Driver” 或 “NetGroup Packet Filter”
            d. 右點(diǎn)擊,”卸載
            e. 重啟系統(tǒng)
            (3)刪除:%windows%\System32\drivers\npf.sys
            (4)刪除%windows%\System32\msitinit.dll(有些電腦可能沒(méi)有)
            (5)刪除注冊(cè)表服務(wù)項(xiàng):開(kāi)始〉運(yùn)行〉regedit〉打開(kāi),進(jìn)入注冊(cè)表,全注冊(cè)表搜索npf.sys,把文件所在文件夾Npf整個(gè)刪除.(應(yīng)該有2個(gè)).至此arp病毒清除.
            (6)根據(jù)經(jīng)驗(yàn),該病毒會(huì)下載大量病毒,木馬及惡意軟件,并修改winsocks,導(dǎo)致不能打開(kāi)網(wǎng)頁(yè),不能打開(kāi)netmeeting等,為此還需要做下面幾步工作:
            a.用殺毒軟件清理惡意軟件,木馬.
            b.檢查并刪除下列文件并相關(guān)啟動(dòng)項(xiàng):
            1)%windows%\System32\nwizwmgjs.exe(一般殺毒軟件會(huì)隔離)
            2)%windows%\System32\nwizwmgjs.dll(一般殺毒軟件會(huì)隔離)
            3)%windows%\System32\ravzt.exe(一般殺毒軟件會(huì)隔離)
            4)%windows%\System32\ravzt.dat
            3)%windows%\System32\googleon.exe
            c.重置winsocks(可以用軟件修復(fù),下面介紹一個(gè)比較簡(jiǎn)單的辦法):
            開(kāi)始>運(yùn)行>CMD,進(jìn)入命令提示符,輸入cd..回車(chē),一直退出至c盤(pán)根目錄,在C:>下輸入netsh winsock reset回車(chē),然后按提示重啟計(jì)算機(jī)。

          ARP攻擊時(shí)的主要現(xiàn)象

            1、網(wǎng)上銀行、游戲及QQ賬號(hào)的頻繁丟失
            一些人為了獲取非法利益,利用ARP欺騙程序在網(wǎng)內(nèi)進(jìn)行非法活動(dòng),此類(lèi)程序的主要目的在于破解賬號(hào)登陸時(shí)的加密解密算法,通 過(guò)截取局域網(wǎng)中的數(shù)據(jù)包,然后以分析數(shù)據(jù)通訊協(xié)議的方法截獲用戶(hù)的信息。運(yùn)行這類(lèi)木馬病毒,就可以獲得整個(gè)局域網(wǎng)中上網(wǎng)用 戶(hù)賬號(hào)的詳細(xì)信息并盜取。
            2、網(wǎng)速時(shí)快時(shí)慢,極其不穩(wěn)定,但單機(jī)進(jìn)行光纖數(shù)據(jù)測(cè)試時(shí)一切正常
            當(dāng)局域內(nèi)的某臺(tái)計(jì)算機(jī)被ARP的欺騙程序非法侵入后,它就會(huì)持續(xù)地向網(wǎng)內(nèi)所有的計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備發(fā)送大量的非法ARP欺騙數(shù)據(jù)包, 阻塞網(wǎng)絡(luò)通道,造成網(wǎng)絡(luò)設(shè)備的承載過(guò)重,導(dǎo)致網(wǎng)絡(luò)的通訊質(zhì)量不穩(wěn)定。
            3、局域網(wǎng)內(nèi)頻繁性區(qū)域或整體掉線(xiàn),重啟計(jì)算機(jī)或網(wǎng)絡(luò)設(shè)備后恢復(fù)正常
            當(dāng)帶有ARP欺騙程序的計(jì)算機(jī)在網(wǎng)內(nèi)進(jìn)行通訊時(shí),就會(huì)導(dǎo)致頻繁掉線(xiàn),出現(xiàn)此類(lèi)問(wèn)題后重啟計(jì)算機(jī)或禁用網(wǎng)卡會(huì)暫時(shí)解決問(wèn)題,但掉 線(xiàn)情況還會(huì)發(fā)生。

          ARP病毒原理

          1 網(wǎng)絡(luò)模型簡(jiǎn)介

            眾所周知,按照OSI (Open Systems Interconnection Reference Model 開(kāi)放系統(tǒng)互聯(lián)參考模型) 的觀點(diǎn),可將網(wǎng)絡(luò)系統(tǒng)劃分為7層結(jié)構(gòu),每一個(gè)層次上運(yùn)行著不同的協(xié)議和服務(wù),并且上下層之間互相配合,完成網(wǎng)絡(luò)數(shù)據(jù)交換的功能.
            然而,OSI的模型僅僅是一個(gè)參考模型,并不是實(shí)際網(wǎng)絡(luò)中應(yīng)用的模型。實(shí)際上應(yīng)用最廣泛的商用網(wǎng)絡(luò)模型即TCP/IP體系模型,將網(wǎng)絡(luò)劃分為四層,每一個(gè)層次上也運(yùn)行著不同的協(xié)議和服務(wù).

          2 ARP協(xié)議簡(jiǎn)介

            我們大家都知道,在局域網(wǎng)中,一臺(tái)主機(jī)要和另一臺(tái)主機(jī)進(jìn)行通信,必須要知道目標(biāo)主機(jī)的IP地址,但是最終負(fù)責(zé)在局域網(wǎng)中傳送數(shù)據(jù)的網(wǎng)卡等物理設(shè)備是不識(shí)別IP地址的,只能識(shí)別其硬件地址即MAC地址。MAC地址是48位的,通常表示為12個(gè)16進(jìn)制數(shù),每2個(gè)16進(jìn)制數(shù)之間用“-”或者冒號(hào)隔開(kāi),如:00-0B-2F-13-1A-11就是一個(gè)MAC地址。每一塊網(wǎng)卡都有其全球唯一的MAC地址,網(wǎng)卡之間發(fā)送數(shù)據(jù),只能根據(jù)對(duì)方網(wǎng)卡的MAC地址進(jìn)行發(fā)送,這時(shí)就需要一個(gè)將高層數(shù)據(jù)包中的IP地址轉(zhuǎn)換成低層MAC地址的協(xié)議,而這個(gè)重要的任務(wù)將由ARP協(xié)議完成。
            ARP全稱(chēng)為Address Resolution Protocol,地址解析協(xié)議。所謂“地址解析”就是主機(jī)在發(fā)送數(shù)據(jù)包前將目標(biāo)主機(jī)IP地址轉(zhuǎn)換成目標(biāo)主機(jī)MAC地址的過(guò)程。ARP協(xié)議的基本功能就是通過(guò)目標(biāo)設(shè)備的IP地址,查詢(xún)目標(biāo)設(shè)備的MAC地址,以保證通信的順利進(jìn)行。 這時(shí)就涉及到一個(gè)問(wèn)題,一個(gè)局域網(wǎng)中的電腦少則幾臺(tái),多則上百臺(tái),這么多的電腦之間,如何能準(zhǔn)確的記住對(duì)方電腦網(wǎng)卡的MAC地址,以便數(shù)據(jù)的發(fā)送呢?這就涉及到了另外一個(gè)概念,ARP緩存表。在局域網(wǎng)的任何一臺(tái)主機(jī)中,都有一個(gè)ARP緩存表,該表中保存這網(wǎng)絡(luò)中各個(gè)電腦的IP地址和MAC地址的對(duì)照關(guān)系。當(dāng)這臺(tái)主機(jī)向同局域網(wǎng)中另外的主機(jī)發(fā)送數(shù)據(jù)的時(shí)候,會(huì)根據(jù)ARP緩存表里的對(duì)應(yīng)關(guān)系進(jìn)行發(fā)送。
            下面,我們用一個(gè)模擬的局域網(wǎng)環(huán)境,來(lái)說(shuō)明ARP欺騙的過(guò)程。

          3 ARP欺騙過(guò)程

            假設(shè)一個(gè)只有三臺(tái)電腦組成的局域網(wǎng),該局域網(wǎng)由交換機(jī)(Switch)連接。其中一個(gè)電腦名叫A,代表攻擊方;一臺(tái)電腦叫S,代表源主機(jī),即發(fā)送數(shù)據(jù)的電腦;令一臺(tái)電腦名叫D,代表目的主機(jī),即接收數(shù)據(jù)的電腦。這三臺(tái)電腦的IP地址分別為192.168.0.2,192.168.0.3,192.168.0.4。MAC地址分別為MAC_A,MAC_S,MAC_D。
            現(xiàn)在,S電腦要給D電腦發(fā)送數(shù)據(jù)了,在S電腦內(nèi)部,上層的TCP和UDP的數(shù)據(jù)包已經(jīng)傳送到了最底層的網(wǎng)絡(luò)接口層,數(shù)據(jù)包即將要發(fā)送出去,但這時(shí)還不知道目的主機(jī)D電腦的MAC地址MAC_D。這時(shí)候,S電腦要先查詢(xún)自身的ARP緩存表,查看里面是否有192.168.0.4這臺(tái)電腦的MAC地址,如果有,那很好辦,就將 封裝在數(shù)據(jù)包的外面。直接發(fā)送出去即可。如果沒(méi)有,這時(shí)S電腦要向全網(wǎng)絡(luò)發(fā)送一個(gè)ARP廣播包,大聲詢(xún)問(wèn):“我的IP是192.168.0.3,硬件地址是MAC_S,我想知道IP地址為192.168.0.4的主機(jī)的硬件地址是多少?” 這時(shí),全網(wǎng)絡(luò)的電腦都收到該ARP廣播包了,包括A電腦和D電腦。A電腦一看其要查詢(xún)的IP地址不是自己的,就將該數(shù)據(jù)包丟棄不予理會(huì)。而D電腦一看IP地址是自己的,則回答S電腦:“我的IP地址是192.168.0.4,我的硬件地址是MAC_D”需要注意的是,這條信息是單獨(dú)回答的,即D電腦單獨(dú)向S電腦發(fā)送的,并非剛才的廣播,F(xiàn)在S電腦已經(jīng)知道目的電腦D的MAC地址了,它可以將要發(fā)送的數(shù)據(jù)包上貼上目的地址MAC_D,發(fā)送出去了。同時(shí)它還會(huì)動(dòng)態(tài)更新自身的ARP緩存表,將192.168.0.4-MAC_D這一條記錄添加進(jìn)去,這樣,等S電腦下次再給D電腦發(fā)送數(shù)據(jù)的時(shí)候,就不用大聲詢(xún)問(wèn)發(fā)送ARP廣播包了。這就是正常情況下的數(shù)據(jù)包發(fā)送過(guò)程。
            這樣的機(jī)制看上去很完美,似乎整個(gè)局域網(wǎng)也天下太平,相安無(wú)事。但是,上述數(shù)據(jù)發(fā)送機(jī)制有一個(gè)致命的缺陷,即它是建立在對(duì)局域網(wǎng)中電腦全部信任的基礎(chǔ)上的,也就是說(shuō)它的假設(shè)前提是:無(wú)論局域網(wǎng)中那臺(tái)電腦,其發(fā)送的ARP數(shù)據(jù)包都是正確的。那么這樣就很危險(xiǎn)了!因?yàn)榫钟蚓W(wǎng)中并非所有的電腦都安分守己,往往有非法者的存在。比如在上述數(shù)據(jù)發(fā)送中,當(dāng)S電腦向全網(wǎng)詢(xún)問(wèn)“我想知道IP地址為192.168.0.4的主機(jī)的硬件地址是多少?”后,D電腦也回應(yīng)了自己的正確MAC地址。但是當(dāng)此時(shí),一向沉默寡言的A電腦也回話(huà)了:“我的IP地址是192.168.0.4,我的硬件地址是MAC_A” ,注意,此時(shí)它竟然冒充自己是D電腦的IP地址,而MAC地址竟然寫(xiě)成自己的!由于A電腦不停地發(fā)送這樣的應(yīng)答數(shù)據(jù)包,本來(lái)S電腦的ARP緩存表中已經(jīng)保存了正確的記錄:192.168.0.4-MAC_D,但是由于A電腦的不停應(yīng)答,這時(shí)S電腦并不知道A電腦發(fā)送的數(shù)據(jù)包是偽造的,導(dǎo)致S電腦又重新動(dòng)態(tài)更新自身的ARP緩存表,這回記錄成:192.168.0.4-MAC_A,很顯然,這是一個(gè)錯(cuò)誤的記錄(這步也叫ARP緩存表中毒),這樣就導(dǎo)致以后凡是S電腦要發(fā)送給D電腦,也就是IP地址為192.168.0.4這臺(tái)主機(jī)的數(shù)據(jù),都將會(huì)發(fā)送給MAC地址為MAC_A的主機(jī),這樣,在光天化日之下,A電腦竟然劫持了由S電腦發(fā)送給D電腦的數(shù)據(jù)!這就是ARP欺騙的過(guò)程。
            如果A這臺(tái)電腦再做的“過(guò)分”一些,它不冒充D電腦,而是冒充網(wǎng)關(guān),那后果會(huì)怎么樣呢?我們大家都知道,如果一個(gè)局域網(wǎng)中的電腦要連接外網(wǎng),也就是登陸互聯(lián)網(wǎng)的時(shí)候,都要經(jīng)過(guò)局域網(wǎng)中的網(wǎng)關(guān)轉(zhuǎn)發(fā)一下,所有收發(fā)的數(shù)據(jù)都要先經(jīng)過(guò)網(wǎng)關(guān),再由網(wǎng)關(guān)發(fā)向互聯(lián)網(wǎng)。在局域網(wǎng)中,網(wǎng)關(guān)的IP地址一般為192.168.0.1。如果A這臺(tái)電腦向全網(wǎng)不停的發(fā)送ARP欺騙廣播,大聲說(shuō):“我的IP地址是192.168.0.1,我的硬件地址是MAC_A”這時(shí)局域網(wǎng)中的其它電腦并沒(méi)有察覺(jué)到什么,因?yàn)榫钟蚓W(wǎng)通信的前提條件是信任任何電腦發(fā)送的ARP廣播包。這樣局域網(wǎng)中的其它電腦都會(huì)更新自身的ARP緩存表,記錄下192.168.0.1-MAC_A這樣的記錄,這樣,當(dāng)它們發(fā)送給網(wǎng)關(guān),也就是IP地址為192.168.0.1這臺(tái)電腦的數(shù)據(jù),結(jié)果都會(huì)發(fā)送到MAC_A這臺(tái)電腦中!這樣,A電腦就將會(huì)監(jiān)聽(tīng)整個(gè)局域網(wǎng)發(fā)送給互聯(lián)網(wǎng)的數(shù)據(jù)包!
            實(shí)際上,這種病毒早就出現(xiàn)過(guò),這就是ARP地址欺騙類(lèi)病毒。一些傳奇木馬(Trojan/PSW.LMir)具有這樣的特性,該木馬一般通過(guò)傳奇外掛、網(wǎng)頁(yè)木馬等方式使局域網(wǎng)中的某臺(tái)電腦中毒,這樣中毒電腦便可嗅探到整個(gè)局域網(wǎng)發(fā)送的所有數(shù)據(jù)包,該木馬破解了《傳奇》游戲的數(shù)據(jù)包加密算法,通過(guò)截獲局域網(wǎng)中的數(shù)據(jù)包,分析數(shù)據(jù)包中的用戶(hù)隱私信息,盜取用戶(hù)的游戲帳號(hào)和密碼。在解析這些封包之后,再將它們發(fā)送到真正的網(wǎng)關(guān)。這樣的病毒有一個(gè)令網(wǎng)吧游戲玩家聞之色變的名字:“傳奇網(wǎng)吧殺手”

          ARP病毒新的表現(xiàn)形式

            由于現(xiàn)在的網(wǎng)絡(luò)游戲數(shù)據(jù)包在發(fā)送過(guò)程中,均已采用了強(qiáng)悍的加密算法,因此這類(lèi)ARP病毒在解密數(shù)據(jù)包的時(shí)候遇到了很大的難度。現(xiàn)在又新出現(xiàn)了一種ARP病毒,與以前的一樣的是,該類(lèi)ARP病毒也是向全網(wǎng)發(fā)送偽造的ARP欺騙廣播,自身偽裝成網(wǎng)關(guān)。但區(qū)別是,它著重的不是對(duì)網(wǎng)絡(luò)游戲數(shù)據(jù)包的解密,而是對(duì)于HTTP請(qǐng)求訪問(wèn)的修改。
            HTTP是應(yīng)用層的協(xié)議,主要是用于WEB網(wǎng)頁(yè)訪問(wèn)。還是以上面的局域網(wǎng)環(huán)境舉例,如果局域網(wǎng)中一臺(tái)電腦S要請(qǐng)求某個(gè)網(wǎng)站頁(yè)面,如想請(qǐng)求easynet.5d6dcom這個(gè)網(wǎng)頁(yè),這臺(tái)電腦會(huì)先向網(wǎng)關(guān)發(fā)送HTTP請(qǐng)求,說(shuō):“我想登陸easynet.5d6dcom網(wǎng)頁(yè),請(qǐng)你將這個(gè)網(wǎng)頁(yè)下載下來(lái),并發(fā)送給我。”這樣,網(wǎng)關(guān)就會(huì)將easynet.5d6dcom頁(yè)面下載下來(lái),并發(fā)送給S電腦。這時(shí),如果A這臺(tái)電腦通過(guò)向全網(wǎng)發(fā)送偽造的ARP欺騙廣播,自身偽裝成網(wǎng)關(guān),成為一臺(tái)ARP中毒電腦的話(huà),這樣當(dāng)S電腦請(qǐng)求WEB網(wǎng)頁(yè)時(shí),A電腦先是“好心好意”地將這個(gè)頁(yè)面下載下來(lái),然后發(fā)送給S電腦,但是它在返回給S電腦時(shí),會(huì)向其中插入惡意網(wǎng)址連接!該惡意網(wǎng)址連接會(huì)利用MS06-014和MS07-017等多種系統(tǒng)漏洞,向S電腦種植木馬病毒!同樣,如果D電腦也是請(qǐng)求WEB頁(yè)面訪問(wèn),A電腦同樣也會(huì)給D電腦返回帶毒的網(wǎng)頁(yè),這樣,如果一個(gè)局域網(wǎng)中存在這樣的ARP病毒電腦的話(huà),頃刻間,整個(gè)網(wǎng)段的電腦將會(huì)全部中毒!淪為黑客手中的僵尸電腦!

          ARP病毒電腦定位方法

          1 命令行法

            這種方法比較簡(jiǎn)便,不利用第三方工具,利用系統(tǒng)自帶的ARP命令即可完成。上文已經(jīng)說(shuō)過(guò),當(dāng)局域網(wǎng)中發(fā)生ARP欺騙的時(shí)候,ARP病毒電腦會(huì)向全網(wǎng)不停地發(fā)送ARP欺騙廣播,這時(shí)局域網(wǎng)中的其它電腦就會(huì)動(dòng)態(tài)更新自身的ARP緩存表,將網(wǎng)關(guān)的MAC地址記錄成ARP病毒電腦的MAC地址,這時(shí)候我們只要在其它受影響的電腦中查詢(xún)一下當(dāng)前網(wǎng)關(guān)的MAC地址,就知道中毒電腦的MAC地址了,查詢(xún)命令為 ARP -a,需要在cmd命令提示行下輸入。輸入后的返回信息如下:
            Internet Address Physical Address Type
            192.168.0.1 00-50-56-e6-49-56 dynamic
            這時(shí),由于這個(gè)電腦的ARP表是錯(cuò)誤的記錄,因此,該MAC地址不是真正網(wǎng)關(guān)的MAC地址,而是中毒電腦的MAC地址!這時(shí),再根據(jù)網(wǎng)絡(luò)正常時(shí),全網(wǎng)的IP—MAC地址對(duì)照表,查找中毒電腦的IP地址就可以了。由此可見(jiàn),在網(wǎng)絡(luò)正常的時(shí)候,保存一個(gè)全網(wǎng)電腦的IP—MAC地址對(duì)照表是多么的重要。可以使用nbtscan 工具掃描全網(wǎng)段的IP地址和MAC地址,保存下來(lái),以備后用。

          2 工具軟件法

            現(xiàn)在網(wǎng)上有很多ARP病毒定位工具,其中做得較好的是Anti ARP Sniffer(現(xiàn)在已更名為ARP防火墻),下面我就演示一下使用Anti ARP Sniffer這個(gè)工具軟件來(lái)定位ARP中毒電腦。
            首先打開(kāi)Anti ARP Sniffer 軟件,輸入網(wǎng)關(guān)的IP地址之后,再點(diǎn)擊紅色框內(nèi)的“枚舉MAC”按鈕,即可獲得正確網(wǎng)關(guān)的MAC地址.
            接著點(diǎn)擊“自動(dòng)保護(hù)”按鈕,即可保護(hù)當(dāng)前網(wǎng)卡與網(wǎng)關(guān)的正常通信。
            當(dāng)局域網(wǎng)中存在ARP欺騙時(shí),該數(shù)據(jù)包會(huì)被Anti ARP Sniffer記錄,該軟件會(huì)以氣泡的形式報(bào)警。
            這時(shí),我們?cè)俑鶕?jù)欺騙機(jī)的MAC地址,對(duì)比查找全網(wǎng)的IP-MAC地址對(duì)照表,即可快速定位出中毒電腦。

          3 Sniffer 抓包嗅探法

            當(dāng)局域網(wǎng)中有ARP病毒欺騙時(shí),往往伴隨著大量的ARP欺騙廣播數(shù)據(jù)包,這時(shí),流量檢測(cè)機(jī)制應(yīng)該能夠很好的檢測(cè)出網(wǎng)絡(luò)的異常舉動(dòng),此時(shí)Ethereal 這樣的抓包工具就能派上用場(chǎng)。
            以上三種方法有時(shí)需要結(jié)合使用,互相印證,這樣可以快速準(zhǔn)確的將ARP中毒電腦定位出來(lái)。

          ARP病毒電腦查殺方法

            較老類(lèi)型的ARP病毒運(yùn)行特征比較隱蔽,電腦中毒時(shí)并無(wú)明顯異,F(xiàn)象,這類(lèi)病毒運(yùn)行時(shí)自身無(wú)進(jìn)程,通過(guò)注入到Explorer.exe進(jìn)程來(lái)實(shí)現(xiàn)隱藏自身。其注冊(cè)表中的啟動(dòng)項(xiàng)也很特殊,并非常規(guī)的Run鍵值加載,也不是服務(wù)加載,而是通過(guò)注冊(cè)表的AppInit_DLLs 鍵值加載實(shí)現(xiàn)開(kāi)機(jī)自啟動(dòng)的,這一點(diǎn)比較隱蔽,因?yàn)檎5南到y(tǒng)AppInit_DLLs鍵值是空的。也正由于這個(gè)特點(diǎn),利用Autoruns這個(gè)工具軟件就可以快速掃描出病毒文件體。
            ARP病毒文件主體,該文件雖然擴(kuò)展名為log,看似很像是系統(tǒng)日志文件,但其實(shí),它是一個(gè)不折不扣的病毒!除了Log形式的病毒文件,還有一些以Bmp作為擴(kuò)展名的病毒文件,同樣,這些病毒文件也不是圖片文件,而是EXE格式的可執(zhí)行文件,在同目錄下還有同名的dll文件,這些都是病毒體。
            %WinDir%\ KB*.log
            或者
            %WinDir%\ *.bmp
            %WinDir%\同名.dll
            如何區(qū)別正常的log日志文件,bmp圖片文件和病毒文件呢?其實(shí)很簡(jiǎn)單,用記事本程序打開(kāi)該文件,查看其文件頭是否有“MZ”的標(biāo)記即可,找到這些文件后,可以先清除注冊(cè)表中的相關(guān)鍵值,然后重啟系統(tǒng)到安全模式下,手動(dòng)刪除文件即可。
            對(duì)于最近多發(fā)的,修改WEB請(qǐng)求頁(yè)面的新型ARP病毒,則改變了病毒文件的表現(xiàn)形式,現(xiàn)對(duì)簡(jiǎn)單,利用系統(tǒng)進(jìn)程查看和啟動(dòng)項(xiàng)查看注冊(cè)表的Run鍵值,可以明顯發(fā)現(xiàn)病毒的文件,另外,利用KV 的未知病毒掃描程序進(jìn)行檢測(cè),也是一個(gè)好辦法。
            局域網(wǎng)ARP病毒通用的處理流程
            1.先保證網(wǎng)絡(luò)正常運(yùn)行
            方法一:編輯個(gè)***.bat文件內(nèi)容如下:
            arp.exes
            **.**.**.**(網(wǎng)關(guān)ip)****
            **
            **
            **
            **(
            網(wǎng)關(guān)mac地址)
            end
            讓網(wǎng)絡(luò)用戶(hù)點(diǎn)擊就可以了!
            辦法二:編輯一個(gè)注冊(cè)表問(wèn)題,鍵值如下:
            WindowsRegistryEditorVersion5.00
            [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
            “mac”=“arps
            網(wǎng)關(guān)IP地址網(wǎng)關(guān)Mac地址”
            然后保存成Reg文件以后在每個(gè)客戶(hù)端上點(diǎn)擊導(dǎo)入注冊(cè)表。
            2找到感染ARP病毒的機(jī)器。
            a:在電腦上ping一下網(wǎng)關(guān)的IP地址,然后使用ARP-a的命令看得到的網(wǎng)關(guān)對(duì)應(yīng)的MAC地址是否與實(shí)際情況相符,如不符,可去查找與該MAC地址對(duì)應(yīng)的電腦。
            b:使用抓包工具,分析所得到的ARP數(shù)據(jù)報(bào)。有些ARP病毒是會(huì)把通往網(wǎng)關(guān)的路徑指向自己,有些是發(fā)出虛假ARP回應(yīng)包來(lái)混淆網(wǎng)絡(luò)通信。第一種處理比較容易,第二種處理比較困難,如果殺毒軟件不能正確識(shí)別病毒的話(huà),往往需要手工查找感染病毒的電腦和手工處理病毒,比較困難。
            c:使用mac地址掃描工具,nbtscan掃描全網(wǎng)段IP地址和MAC地址對(duì)應(yīng)表,有助于判斷感染ARP病毒對(duì)應(yīng)MAC地址和IP地址。
            預(yù)防措施:
            1,及時(shí)升級(jí)客戶(hù)端的操作系統(tǒng)和應(yīng)用程式補(bǔ)丁;
            2,安裝和更新殺毒軟件。
            4,如果網(wǎng)絡(luò)規(guī)模較少,盡量使用手動(dòng)指定IP設(shè)置,而不是使用DHCP來(lái)分配IP地址。
            5,如果交換機(jī)支持,在交換機(jī)上綁定MAC地址與IP地址。

          ARP病毒的防范技巧

          1、什么是ARP病毒

            由于局域網(wǎng)在最初設(shè)計(jì)的時(shí)候沒(méi)有考慮安全的問(wèn)題,所以存在很多漏洞,arp欺騙就是最常見(jiàn)的一種。
            ARP欺騙分為二種,一種是對(duì)路由器ARP表的欺騙;另一種是對(duì)內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。 第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址,并按照一定的頻率不斷進(jìn)行,使真實(shí)的地址信息無(wú)法通過(guò)更新保存在路由器中,結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址,造成正常PC無(wú)法收到信息。
            第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān),讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù),而不是通過(guò)正常的路由器途徑上網(wǎng)。在PC看來(lái),就是上不了網(wǎng)了,“網(wǎng)絡(luò)掉線(xiàn)了”。

          2、被攻擊表現(xiàn)

            1、用戶(hù)頻繁斷網(wǎng)、上網(wǎng)時(shí)感覺(jué)網(wǎng)絡(luò)經(jīng)常掉線(xiàn),重新開(kāi)機(jī)或修復(fù)本地連接(或先停用再啟用)后網(wǎng)絡(luò)恢
            復(fù)正常但幾分鐘后網(wǎng)絡(luò)再次中斷,甚至客戶(hù)端無(wú)法登陸,但是在某一閑時(shí)或半夜某一人上網(wǎng)時(shí)自己可以上!
            2、IE 瀏覽器在使用過(guò)程中頻繁出錯(cuò)或自動(dòng)關(guān)閉網(wǎng)頁(yè)。甚至只有發(fā)送沒(méi)有接收的數(shù)據(jù)包!
            3、一些常用軟件經(jīng)常出現(xiàn)故障或非正常自動(dòng)關(guān)閉,但是在上網(wǎng)人數(shù)較少或某一時(shí)段正常的!

          3、如何發(fā)現(xiàn)清除arp病毒

            1 、檢查本機(jī)的“ ARP 欺騙”木馬染毒進(jìn)程
            點(diǎn)選“進(jìn)程”標(biāo)簽。察看其中是否有一個(gè)名為“ MIR0.dat ”的進(jìn)程。如果有,則說(shuō)明已經(jīng)中毒。
            右鍵點(diǎn)擊此進(jìn)程后選擇“結(jié)束進(jìn)程”。
            2 、檢查網(wǎng)內(nèi)感染“ ARP 欺騙”木馬染毒的計(jì)算機(jī)
            1)在“開(kāi)始” “運(yùn)行”輸入cmd后確定。
            2)在彈出的命令提示符框中輸入并執(zhí)行以下命令ipconfig
            3)記錄網(wǎng)關(guān) IP 地址,即“ Default Gateway ”對(duì)應(yīng)的值,例如“ 10.17.1.1”。
            4)再輸入并執(zhí)行 以下命令: arp –a
            5)在“ Internet Address ”下找到上步記錄的網(wǎng)關(guān) IP 地址,記錄其對(duì)應(yīng)的物理地址,即“ Physical Address ”值,例如“ 00-05-e8-1f-35-54 ”。在網(wǎng)絡(luò)正常時(shí)這就是網(wǎng)關(guān)的正確物理地址,在網(wǎng)絡(luò)受“ ARP 欺騙”木馬影響而不正常時(shí),它就是木馬所在計(jì)算機(jī)的網(wǎng)卡物理地址。
            3、靜態(tài)ARP綁定網(wǎng)關(guān)
            步驟一:
            在能正常上網(wǎng)時(shí),進(jìn)入MS-DOS窗口,輸入命令:arp -a,查看網(wǎng)關(guān)的IP對(duì)應(yīng)的正確MAC地址, 并將其記錄下來(lái)。
            注意:如果已經(jīng)不 能上網(wǎng)則輸入一次命令arp -d將arp緩存中的內(nèi)容刪空,計(jì)算機(jī)可暫時(shí)恢復(fù)上網(wǎng)(攻擊如果不停止的話(huà))。一旦能上網(wǎng)就立即將網(wǎng)絡(luò)斷掉(禁用網(wǎng)卡或拔掉網(wǎng)線(xiàn)),再運(yùn)行arp -a。
            步驟二:
            如果計(jì)算機(jī)已經(jīng)有網(wǎng)關(guān)的正確MAC地址,而不能上網(wǎng)。只需手工將網(wǎng)關(guān)IP和正確的MAC地址綁定,即可確保計(jì)算機(jī)不再被欺騙攻擊。
            要想手工綁定,可在MS-DOS窗口下運(yùn)行以下命令:
            arp -s 網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC
            例如:假設(shè)計(jì)算機(jī)所處網(wǎng)段的網(wǎng)關(guān)為10.17.1.1,本機(jī)地址為10.17.1.14,在計(jì)算機(jī)上運(yùn)行arp -a后輸出如下:
            Cocuments and Settings>arp -a
            Inte##ce: 10.17.1.14 --- 0x2
            Internet Address Physical Address Type
            10.17.1.1 00-0f-e2-1c-a1-3a dynamic
            其中,00-0f-e2-1c-a1-3a就是網(wǎng)關(guān)10.17.1.1對(duì)應(yīng)的MAC地址,類(lèi)型是動(dòng)態(tài)(dynamic)的,因此是可被改變的。
            被攻擊后,再用該命令查看,就會(huì)發(fā)現(xiàn)該MAC已經(jīng)被替換成攻擊機(jī)器的MAC。如果希望能找出攻擊機(jī)器,徹底根除攻擊,可以在此時(shí)將該MAC記錄下來(lái),為以后查找該攻擊的機(jī)器做準(zhǔn)備。
            手工綁定的命令為:
            arp –s 10.17.1.1 00-0f-e2-1c-a1-3a
            綁定完,可再用arp -a查看arp緩存:
            Cocuments and Settings>arp -a
            Inte##ce: 10.212.63.100 --- 0x2
            Internet Address Physical Address Type
            10.17.1.1 00-0f-e2-1c-a1-3a static
            這時(shí),類(lèi)型變?yōu)殪o態(tài)(static),就不會(huì)再受攻擊影響了。
            但是,需要說(shuō)明的是,手工綁定在計(jì)算機(jī)關(guān)機(jī)重啟后就會(huì)失效,需要再次重新綁定。所以,要徹底根除攻擊,只有找出網(wǎng)段內(nèi)被病毒感染的計(jì)算機(jī),把病毒殺掉,才算是真正解決問(wèn)題。

          4、下載arp防御軟件

            1. 金山ARP防火墻beta。
            雙向攔截ARP攻擊、支持Vista、初級(jí)用戶(hù)零設(shè)置+豐富的高級(jí)設(shè)置、安裝免重啟、低資源占用。
            2. 360ARP防火墻

          5、防范從我做起

            1.查殺病毒和木馬。采用殺毒軟件(需更新至最新病毒庫(kù))、采用最新木馬查殺軟件進(jìn)行在安全模式下徹底查殺(計(jì)算機(jī)啟動(dòng)時(shí)時(shí)按F8可進(jìn)入安全模式)。
            2.不使用不良網(wǎng)管軟件。
            3.不使用軟件更改自己的mac地址。
            4.發(fā)現(xiàn)別人惡意攻擊或有中毒跡象(例如發(fā)現(xiàn)arp攻擊地址為某臺(tái)計(jì)算機(jī)的mac地址),及時(shí)告知和制止。

          6、有效認(rèn)識(shí)ARP病毒

            ARP病毒也叫ARP地址欺騙類(lèi)病毒,這是一類(lèi)特殊的病毒。該病毒一般屬于木馬病毒,不具備主動(dòng)傳播的特性,不會(huì)自我復(fù)制,但是由于其發(fā)作的時(shí)候會(huì)向全網(wǎng)發(fā)送偽造的ARP數(shù)據(jù)包,嚴(yán)重干擾全網(wǎng)的正常運(yùn)行,其危害甚至比一些蠕蟲(chóng)病毒還要嚴(yán)重得多。
            ARP病毒發(fā)作時(shí),通常會(huì)造成網(wǎng)絡(luò)掉線(xiàn),但網(wǎng)絡(luò)連接正常,內(nèi)網(wǎng)的部分電腦不能上網(wǎng),或者所有電腦均不能上網(wǎng),無(wú)法打開(kāi)網(wǎng)頁(yè)或打開(kāi)網(wǎng)頁(yè)慢以及局域網(wǎng)連接時(shí)斷時(shí)續(xù)并且網(wǎng)速較慢等現(xiàn)象,嚴(yán)重影響到企業(yè)網(wǎng)絡(luò)、網(wǎng)吧、校園網(wǎng)絡(luò)等局域網(wǎng)的正常運(yùn)行。
           
           
           
          合作伙伴
          微軟中國(guó) | 聯(lián)想集團(tuán) | IBM | 蘋(píng)果電腦 | 浪潮集團(tuán) | 惠普中國(guó) | 深信服 | 愛(ài)數(shù)軟件 | 華為
          六安市永辰科技有限公司 版權(quán)所有 © Copyright 2010-2021 All Rights 六安市淠望路103號(hào) 最佳瀏覽效果 IE8或以上瀏覽器
          訪問(wèn)量:3052893    皖I(lǐng)CP備11014188號(hào)-1
          日韩精品欧美专区国内精品,久久精品免费视频网,国产a级无码一区二区三区,久久精品国产只有精品1
          <rt id="txl8k"></rt>
          
          

                1. <i id="txl8k"><del id="txl8k"><cite id="txl8k"></cite></del></i>