广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 27997 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[病毒蠕虫] ARP病毒泛滥!!!!!ARP病毒处理全攻略
ARP病毒泛滥!!!!!ARP病毒处理全攻略

该木马病毒不仅会影响自己的上网和资讯安全,还会波及全网,只要还有一台电脑感染该病毒,就会对学校的网路运行和资讯安全造成严重的威胁,请各校园网用户务必行动起来,并请相互告知。以下程式带有此类ARP病毒(传奇杀手等),请不要使用:
****传奇2冰橙子1.44版
  传奇2及时雨PK版
  "网吧传奇杀手"的木马软体进行传奇帐号和口令的扫描
  网路执法官等类似程式



1、中毒现象
宿舍内机器以前可正常上网的,突然出现可认证,不能上网的现象(无法ping通网关),重启机器或在MSDOS窗口下运行命令ARP -d后,又可恢复上网一段时间。病毒发作时除了会导致同一局域网内的其他用户出现时断时续外,还会窃取用户口令(如 QQ 、网路游戏、网上银行以及其他脆弱系统帐号等),这是木马的惯用伎俩。

2、我们VS病毒
这是APR病毒欺骗攻击造成的。
  引起问题的原因一般是由传奇外挂携带的ARP木马攻击。当有同学在宿舍局域网内使用上述外挂时,外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上,向局域网内大量发送ARP包,从而致使同一网段地址内的其他机器误将其作为网关,这就是为什么掉线时内网是互通的,电脑却不能上网的原因。
该病毒主要通过 ARP 欺骗实施破坏行为。 ARP 欺骗分两种,一种是对路由器 ARP 表的欺骗;另一种是对内网,对内网 PC 的网关欺骗。第一种 ARP 欺骗的原理是-截获网关数据。它通知路由器一系列错误的内网 MAC 地址,并按照一定的频率不断的更新学习进行,使真实的地址资讯无法通过更新保存在路由器中,结果路由器的所有数据只能发送错误的 MAC 地址,造成正常的 PC 无法收到资讯。第二种 ARP 欺骗原理是-通过交换机的 MAC 地址学习机制,伪造网关。它的原理是建立假的网关,让被它欺骗的 PC 向假网关发送数据,而不是通过正常的路由器或交换途径寻找网关,造成在同一网关的所有 PC 无法访问网路。

3、网路解毒剂DIY
步骤一. 在能上网时,进入MS-DOS窗口,输入命令:
arp –a
查看网关IP对应的正确MAC地址,将其记录下来。
注:如果已经不能上网,则先运行一次命令arp –d将arp缓存中的内容删空,电脑可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网路断掉(禁用网卡或拔掉网线),再运行arp –a。
步骤二. 如果已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保电脑不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令:
arp –s 网关IP 网关MAC
例如:假设电脑所处网段的网关为218.197.192.254,本机地址为218.197.192.1在电脑上运行arp –a后输出如下:
C:\Documents and Settings>arp -a
Interface: 218.197.192.1 --- 0x2
Internet Address Physical Address Type
218.197.192.254 00-01-02-03-04-05 dynamic
其中00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址,类型是动态(dynamic)的,因此是可被改变。
被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC,如果大家希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后搜寻做准备。
手工绑定的命令为:
arp –s 218.197.192.254 00-01-02-03-04-05
绑定完,可再用arp –a查看arp缓存,
C:\Documents and Settings>arp -a
Interface: 218.197.192.1 --- 0x2
Internet Address Physical Address Type
218.197.192.254 00-01-02-03-04-05 static
这时,类型变为静态(static),就不会再受攻击影响了。
但是,需要说明的是,手工绑定在电脑关机重开机后就会失效,需要再绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的电脑,令其杀毒,方可解决。
找出病毒电脑的方法:
如果已有病毒电脑的MAC地址,可使用NBTSCAN软体找出网段内与该MAC地址对应的IP,即病毒电脑的IP地址,然后可报告校网路中心对其进行查封。
NBTSCAN的使用方法:
下载nbtscan.rar到硬盘后解压,然后将cygwin1.dll和nbtscan.exe两文件拷贝到c:\windows\system32(或system)下,进入MSDOS窗口就可以输入命令:
nbtscan -r 218.197.192.0/24 (假设本机所处的网段是218.197.192,掩码是255.255.255.0;实际使用该命令时,应将斜体字部分改为正确的网段)。
使用nbtscan时,有时因为有些电脑安装防火墙软体,nbtscan的输出不全,但在电脑的arp缓存中却能有所反应,所以使用nbtscan时,还可同时查看arp缓存,就能得到比较完全的网段内电脑IP与MAC的对应关系。
注:1、进入MSDOS窗口的方法:
“开始”功能表 岬 “运行” 岬 在打开位置输入cmd,点击确定
2、点击此链结ftp://ftp.jnu.edu.cn/PUB1__S.../nbtscan.rar 可以下载。
如果你的机器受ARP病毒影响,利用这个工具找到原凶,为了你的利益,欢迎大家积极举报中ARP木马的机器!!!!
举报方式为: http://wlwh.j...u.cn 用自己学号IP地址登陆,里面有一个举报选项!


下面方法是比较简单的预防ARP的处理办法,杀毒完毕后,如果仍有断线现象发生。以下两种方法解决:
1、 请点击此处下载arp免疫补丁,按照说明文件运行,即可保证网路正常。
ftp://ftp.jnu.edu.cn/PUB1__S.../arp/arp.rar

ARP病毒攻击免疫补丁为必装程式,若想更有力的抵抗ARP攻击请装ANTIARP软体,该软体不仅能保证你的电脑系统免遭ARP病毒攻击正常上网,而且可避免IP地址被别人盗用。


第二步:没有安装防病毒软体的,请及时安装防病毒软体
http://antivirus...du.cn/



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾和信超媒体宽带网 | Posted:2006-12-23 02:25 |
Fielding 手机 会员卡
个人头像
个人文章 个人相簿 个人日记 个人地图
头衔:猫毛管理员             猫毛管理员            
总版主
级别: 总版主 该用户目前不上站
推文 x52 鲜花 x377
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

ARP好像长大了......现发展出多种攻击模式

※目前已知的ARP攻击程式的伪装型态:

1.MAC伪装原型:
  中毒之单机向全场发送一个不存在的MAC的错误讯息,让场内单机因为找不到ROUTER而断线。

2.MAC伪装变种1:
  中毒之单机将自己的MAC改成跟ROUTER一样向全场发送错误讯息,让场内单机因为找错ROUTER而断线。

3.MAC伪装变种2:
  中毒之单机将场内多台的单机MAC改成跟ROUTER一样向全场发送错误讯息,让场内单机因为找错ROUTER而断线。

4.ARP封包攻击型原型:
  中毒之单机向ROUTER发送每秒数万个询问.要求回答告诉全场单机导致ROUTER瘫痪,轻者LAG,重者断线。

5.ARP封包攻击型变种1:
  中毒之单机向全场单机发送每秒数万个询问,要求全场单机告诉ROUETR 同样导致ROUTER瘫痪。

6.ARP封包攻击型变种2:
  中毒之单机向全场单机发送每秒数万个询问,要求全场单机告诉其他单机导致区网瘫痪。


[ 此文章被Fielding在2007-02-15 08:57重新编辑 ]


献花 x0 回到顶端 [1 楼] From:台湾中华HiNet | Posted:2007-02-15 08:12 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.116971 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言