一起特殊ARP病毒攻击

ailey · 发表于 2007-10-4 02:02:06

99999999命。。又中毒了。。不过这个实在是看不出来是什么问题

那么多广播包。。。高手来帮我分析下。谢谢

qzyuanmu · 发表于 2007-10-4 08:50:46

原帖由 ailey 于 2007-10-4 02:02 发表
99999999命。。又中毒了。。不过这个实在是看不出来是什么问题

那么多广播包。。。高手来帮我分析下。谢谢

初步判断为 192.168.0.197 ，望有所帮助，

ailey · 发表于 2007-10-4 12:16:44

192.168.0.197 我装了防ARP攻击的软件；所以会进行ARP扫描；

192。168。0。197本身是正常的

zealotcc · 发表于 2007-10-4 15:10:23

将00 0A E6 57 E4 A3 断网试试
具体故障是什么样的呢?这种防arp软件本身就对网络有很大影响!

战略高手网吧 · 发表于 2007-10-4 15:42:50

199是网关吗？

为什么所有的机器都与他连接了？

ailey · 发表于 2007-10-4 23:47:16

回复：zealotcc

ip:192.168.0.99  MAC:00.0A.E6.57.E4.A3 我也觉得可疑，但我关掉了这台电脑，问题照样存在
具体故障：PING网关掉包相当严重，偶尔才PING通一次。PING值却正常，客户机全部断网；PING其它客户电脑正常。
排除：192.168.0.99
   192.168.0.100
   192.168.0.197
   192.168.0.199
   192.168.0.230
   注：以上的电脑是没有问题的

回复：战略高手网吧
192.168.0.199是捉包的电脑。也就是装有科来网络分析软件的电脑

Consumer · 发表于 2007-10-5 07:06:49

我不是专家，所以只能给你一点我的推测。这一起攻击确实很特殊，不过你抓到的数据包也很特殊。所有的ARP通讯协议包全都是操作数为1，也就是所有的都是请求对方告知的ARP信息。出现这种情况，那么我想知道你在抓包的时候采用了什么过滤器？
安装科来工具，不会自主的产生这么多的数据包，除非两种可能，第一你的这台用于监控的计算机上启用了第三方软件帮助进行ARP欺骗以捕获数据包，第二你的每隔一段时间启用一次物理地址扫描器。如果排除这两种可能，那么下面的可能性微乎其微，不过我列举一下，第一这台机器中毒，第二有其他机器冒充这台机器而发送数据包，还有等等种种可能性，暂时不列入考虑。
从你目前提供的数据来看，199这台机器充当网关，而通常大家都认为0.1这样的地址才是网关的概念，貌似在这里行不通。
首先对于这个数据来源提出几点质疑：
为什么你所在的199这台机器，“所有”发出去的ARP请求都没有回应？
0.197是一台什么机器？
0.1是一台什么机器？
你使用什么方法确信所有的数据报文都通过你的机器？
为什么99这台机器一旦扫描就从63开始到79结束，同时在他扫扫描的时候发现还有其他机器分别在其先后进行扫描？
为什么0.132发送数据包为0？
为什么0.158接受数据包为0？

分析一：不论从什么角度，这样的现象都是很奇特的，同时从上面的几处疑点入手，我发现网络中的另外一些蹊跷，比如数据包数量上，可以看出来0.99，也就是大家都在怀疑的这台主机，表面上看来这台主机试图作一些什么事情，可是这台数据上所获取的数据报文数量都甚至无法列入前20名，造成这种现象的可能，一方面这台主机被人冒充了，另一方面，这台主机上的数据跟本不再监控范围之内。
再看，几乎所有的ARP请求，有一个共同的特点，就是在“物理地址报头”处，总是存在清晰的目标地址和源地址，然而在后面的“IP报头”处，我们看到的目标物理地址变成缺省的00：00：00：00：00：00，这种地址，依照我的知识水平，我用过的3款ARP欺骗软件分别是P2P终结者、CA和John。他们都不会构建这样的数据包，我目前接触过的Cisco路由器，Microsoft网络协议栈，默认的Ubuntu Redhat SUSE Linux，也都不会主动构建这样的数据包。因为既然可以填充到物理层，那么当然可以填充到IP报头，所以问题出在为什么要构建这样的数据包。如果这个东西是用于隐藏自己的身份，那么病毒程序，或者网络中掩藏自己身份的计算机通过这样的数据包大量发送来达到欺骗监控着的目的，这样的数据包可以发送到指定主机，同时在构建这样的数据包时，简单方便，不需要考虑到IP报头在第几位开始是什么内容。与此同时改变以往的简单累加扫描方法，取而代之的具有时间间隔的扫描，和通过随机数生成不同的扫描顺序的扫描方法，可以轻松的欺骗大多数分析软件的监控和绝大多数网络管理人员的眼睛。

分析二：在用于监控的机器方面，由于没有正确配置端口映像或者由于拙劣的ARP欺骗手法而导致的数据包大量丢失，造成了我们失去从ARP响应上发现问题的可能。

分析三：在采用ARP欺骗软件的时候，比较无奈的一种情况是路由器拒绝服务。这种东西由于路由器负荷过大造成，路由器处理器并不强悍，普通的家用路由器一般不能处理太大的数据流量，如果上下行达到5M同时有超过50台计算机，同时外网结构复杂需要改变的报头比较复杂，都有可能造成路由器工作不正常。有两个软件永远不能小看，一个是ARP防火墙，另一个是BT下载工具，ARP防火墙的主动防御可以让路由器在缓存区溢出之前就DOS，BT可以让路由器直接不能受理其他业务而导致超时。

分析四：这套数据包如果是我，是可以精心的假造出来让大家忙活的，不过相信楼主人品不像我这么差，所以应该不是这种原因。睡觉了，先写到这里。

zealotcc · 发表于 2007-10-5 12:06:55

首先感谢Consumer回复
有几个问题要提一下
0.1是网关,楼主并没有使用arp欺骗的方法来抓包
包中有arp回复,至于这些包的完整性肯定没有办法保证,拥挤的网络
arp为二层协议,说ip头实在不妥,c兄的意思是目的mac为00,既然是询问自然不知道,00是正常的

如果问题急于解决,建议楼住使用老办法,拔网线 ,拔交换机定位问题所在
网内的arp防火墙全部关闭,故障应该会缓解很多

luxxsys · 发表于 2007-10-5 12:23:26

我也下来看看，希望能够帮助到你。同时自己也锻炼锻炼。

luxxsys · 发表于 2007-10-5 12:40:24

看样子好难，我是看不出什么头绪了，大家都没有什么最终解决办法吗？期待……

看来这个帖子又有加精的希望了哦。

ailey · 发表于 2007-10-5 13:12:59

回复：Consumer

大哥。我没这么无聊。。用有ARP攻击的电脑来骗你们，除非我自已得了神经病；因为我自已分析这些数据看了3个多小时，实在没办法才上论坛求救的；

因为是网吧，所以急需让网络连上去。。13分钟数据捉完之后。。我就把总电源给切断了。。所以电脑重新开机，，一切恢复正常；

因为：192.168.0.99
   192.168.0.100
   192.168.0.197
   192.168.0.199
   192.168.0.230
这上面5台电脑是有后备电源的，所以在断电的时候没有重启，所以我说可以排处这5台电脑；

谢谢大家的分析，希望有心人士再帮我看看，，最好能分析出是什么样的问题。这么多广播包，我还是第一次遇到。

qzyuanmu · 发表于 2007-10-5 14:17:05

检查其 MAC 00 -E0- 4C -C6 -17 -08 ，是网关吗？是的话，检查其安全性

ailey · 发表于 2007-10-5 19:34:26

回复：qzyuanmu

是网关，设置了ARP自动防御。禁BT下载。外网攻击防御

ronsun · 发表于 2007-10-5 20:32:31

从包来看，应该是00:E0:4C:C6:17:08，但不能肯定是这台机器，因为MAC是可以伪造的。

hudeg632 · 发表于 2007-10-5 22:54:43

有人在使用某种ARP软件(也可能是毒),目的是更改所有IP的物理地址,改为00 00 00 00 00 00.查一下,没有被改的那一台IP就是有问题的机器.

hudeg632 · 发表于 2007-10-6 01:07:20

如果不是13楼说的情况,就是有机器在冒充网关0.1.查一下扫描的机器,二是没有受到影响的机器,

如果排除197,199,和99.就有可能是230.(见你重启所有机器,他就停了吧),还有怎么没看到100?

还是觉得199有问题,22,24,47,21,11这些后来启动的机器都能和它正常通信.

一起特殊ARP病毒攻击

本帖子中包含更多资源