ARP欺骗类病毒、木马的原理与解决办法
<P> 近期,“ARP欺骗”木马在互联网上迅速扩散,很多单位与学校局域网内计算机感染了此病毒,有的网络甚至因为它而全面瘫痪。笔者一直在关注此病毒,积累了一些心得,希望与大家共享。<BR> 下面,笔者就从ARP木马欺骗中毒现象、危害、成因、检测、处理和预防措施等几个方面入手,与大家共同探</P><P>讨应对ARP欺骗木马的方法。 </P><P>一、ARP介绍</P><P>1、什么是ARP?<BR> ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。</P><P>2、什么是ARP欺骗?<BR> 从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。<BR> 第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。</P><P>二、故障现象</P><P> 1、最普遍的现象是造成局域网内大面积掉线,IE浏览器频繁出错,以及一些常用软件出现故障等,过一段时间后又会恢复正常。<BR> 2、个别单位或学校局域网内中某台电脑中arp欺骗病毒时,会让局域网内所有电脑打开某一固定网页或浏览所有网页都会在加载一些恶意代码,新弹出一个恶意网页。</P><P>三、ARP欺骗木马破坏性分析</P><P> ARP欺骗木马十分猖狂,危害也特别大,各大学校园网、小区网、公司网和网吧等局域网都出现了不同程度的灾情,带来了网络大面积瘫痪的严重后果。ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。<BR> 该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。目前,已经发现一些用户密码被窃取的情况。<BR> 一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。有些网管员对此不甚了解,出现故障时,认为PC没有问题,交换机没掉线的“本事”,电信也不承认宽带故障。而且如果第一种ARP欺骗发生时,只要重启路由器,网络就能全面恢复,那问题一定是在路由器了。为此,宽带路由器背了不少“黑锅”。</P><P>三、ARP 欺骗病毒原理分析</P><P> 该病毒主要通过ARP(Address Resolution Protocol,地址解析协议)欺骗实施攻击和破坏行为。<BR> 它通过交换机的MAC地址学习机制,伪造网关。其原理是建立假的网关,让被它欺骗的计算机向假网关发送数据,而不是通过正常的路由器或交换机途径寻找网关,造成同一网关内的所有计算机无法访问网络。<BR> 以校园网为例,ARP欺骗问题一般是由传奇外挂携带的ARP木马攻击引起的。当有同学在校园网内使用上述传奇外挂时,外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上,向局域网内大量发送ARP数据包,从而致使同一网段地址内的其他机器误将其作为网关。这就是为什么掉线时内网是互通的,计算机却不能上网的原因。</P><P>四、定位ARP攻击源头</P><P> 方法一:<BR> 对于利用三层交换机设备接入校园网的单位,可以检查其三层交换机设备上的ARP表。如果发现有多个IP地址对应同一MAC地址,则说明此MAC地址对应的计算机很可能中了此木马病毒。<BR> 然后可通过下连的二层交换机的转发表查到此MAC对应的交换机端口,从而定位出有问题的计算机,关闭此端口,通知用户查杀病毒结束后再开放端口。<BR> 方法二:<BR> 在局域网内通过交换机端口镜像进行抓包,凡大量发送ARP请求的均可能是本木马感染者。立即关闭端口,通过交换端口确定上网用户,通知用户查杀病毒后再开放端口。<BR> 方法三:<BR> 扫描本子网内的全部IP地址,然后再查ARP表。如果有一个IP地址对应的MAC与网关的MAC地址相同,那么这个IP地址和MAC地址就是中毒计算机的IP地址和MAC地址。<BR> 方法四:<BR> 检查网内感染“ARP欺骗”木马染毒的计算机。在“开始→程序→附件”菜单下调出“命令提示符”,输入并执行ipconfig命令。<BR> 记录网关IP地址,即“Default Gateway”对应的值,例如“192.168.1.1”。再输入并执行arp -a命令,在“Internet Address”下找到上步记录的网关IP地址,记录其对应的物理地址,即“Physical Address”值,</P><P>例如“00-01-02-03-04-05”。<BR> 在网络正常时,这就是网关的正确物理地址。在网络受“ARP欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。<BR> 方法五(推荐):<BR>通过ARP防火墙(anti arp sniffer)防御与追踪ARP攻击源头</P><P>五.防御方法<BR> 1、制作批处理文件绑定路由器的IP和MAC地址。<BR> 在c:\(C盘根目录)下创建或修改autoexec.bat文件,加入如下命令:<BR> arp -d<BR> arp -s 192.168.X.254 00-22-aa-00-22-aa<BR> autoexec.bat放在C盘根目录下,每次开机后会自动执行。arp -d 删除ARP缓存表中的所有条目,arp -s </P><P>192.168.X.254 00-22-aa-00-22-aa 静态绑定网关IP地址与MAC地址。使用时将网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。<BR> 2、通过ARP防火墙(anti arp sniffer)防御(笔者推荐)<BR> 下载软件ARP防火墙(anti arp sniffer),解压后点击AntiArpSniffer.exe运行该软件,点击获取MAC,再点击自动保护</P><P>arp防火墙下载地址:</P><P><STRONG><A target=_blank href="http://www.sq01.cn/bbs/UploadFile/2007-8/AntiARP4.2beta1.rar" target=_blank>ARP防火墙单机版 v4.2 b1完美破解版(无时间限制)</A></STRONG></P><P><STRONG>ARP防火墙anti arp snifferV4.1.1单机永不过期版(支持更多windows版本)</STRONG><BR><FONT face=Verdana>ARP防火墙(anti arp sniffer)V4.1.1 单机版:</FONT><A target=_blank href="http://www.yici.net/content/downinfo/0/89.html" target=_blank><FONT face=Verdana color=#000000>http://www.yici.net/content/downinfo/0/89.html</FONT></A><BR><FONT face=Verdana>ARP防火墙(anti arp sniffer)V4.1.1</FONT>破解补丁:<A target=_blank href="http://www.yici.net/content/downinfo/0/128.html" target=_blank><FONT color=#003366>http://www.yici.net/content/downinfo/0/128.html</FONT></A></P><P> </P><p>[此帖子已被 灰儿 在 2007-11-09 18:16:10 编辑过]
页:
[1]