ARP新变种，科来无法解决

罗洋

病毒发作时情况：

      网吧内所有机器提示ip地址冲突，单机重启后正常，外网正常未掉线

科来监控：
  
      没有显示任何异常

AntiArpSniffer监控：

      没有显示任何异常

路由器日志：

     全是类似以下日志（我这里复制出一段：
2  7488:IP绑定冲突: LAN 中MAC地址为 00-00-17-6C-86-9B 的主机尝试使用IP地址 192.168.0.4.
3  7495:IP绑定冲突: LAN 中IP地址为 192.168.0.4 的主机被攻击了 6 次.


查看mac表，发现192.168.0.4的原mac地址为00-16-17-6C-86-9B，而局域网内没有00-00-17-6C-86-9B这个mac地址

初步判断某台机器将自己的mac前4位更改为00-00开头，剩下地址为欲攻击的机器的mac地址，然后对所有地址发起轮换攻击

经过检查，局域网内没有网络执法官，局域网终结者等恶意软件（过程繁琐，恕不详解），因此判断为arp病毒变种

但是科来没有任何反应，郁闷

后来因为没有充足时间监控与查找是哪台机器中毒，将所有机器重启，恢复正常

所以，科来现在对这种arp变种是无能为力的，希望改进

PS：

    路由已将所有内网客户机绑定，客户机与自身网卡绑定，客户机与网关绑定

[ 本帖最后由 罗洋 于 2007-5-14 14:33 编辑 ]

ipower

关注中

ipower

麻烦把包抓一个啊

zealotcc

是啊，抓个包上来看一看

罗洋

原帖由 ipower 于 2007-5-14 15:37 发表
麻烦把包抓一个啊

不好意思，情况是今早出现的，当时没想到要发帖就没保存，下次出现了抓吧

KelvinFu

呵呵，我来说说自己的看法：

1.首先，我可以肯定的告诉LZ，科来网络分析系统是可以分析出ARP变种，它通过在底层进行捕获网络中的数据包，不管ARP病毒怎么变，它总会向网络中发送数据包，网络分析软件捕获到数据包，通过分析，就可以查找出来。

2.其次，我对LZ的描述一些小小的疑问：

A.你所描述的轮换攻击是如果体现的（请具体描述下）？？
B.你是如何确定你的网络是受到ARP变种病毒的攻击的？？如果你网络受到的并非ARP攻击呢？

3.另外，在使用科来网络分析系统时，你需要选择节点浏览器中的根节点（选择根节点则显示的是网络中所有的数据），如果你在节点浏览器中，选择其他节点（比如IP节点），这样就会看不到ARP的信息的。

4.LZ可能经常使用诊断视图吧。诊断功能为我们快速了解和查找网络故障，提供了专家级别的信息。

但是，很多时候我们会结合其他视图的数据来排查定位故障。数据包是不会骗人的！

拿ARP欺骗为例：通过协议视图了解网络ARP协议的通讯状况，ARP request 和ARP response之间差异，等等。

SCAN

斑竹分析的有道理，最好有抓包，好做分析。光靠只管知觉判断不准确
另外给斑竹个建议，为了方便大家交流最好能把上传的附件再大点。2M太小了。10分钟的包压缩一下都上传不了。