一次新型攻击网关的ARP病毒的解决实例（不知道能申精不，嘿嘿）

roylong · 发表于 2007-5-26 00:01:29

最近事情比较多，不好意思了兄弟们
周末把文档编辑整理下
因为在处理这次故障时我的思想也很乱，所以没有做实时的截图，可能以剖析我当时的思路为主了.毕竟当时也是摸石头过河的了.

前几天上班，同事告知电脑A无法上网，立刻前往A检查，首先是A ping网关了，不通，但是A ping网内其他主机又是通的。此时开始怀疑是ARP病毒。

在此A察看arp -a,发现网关地址是正确的，而一般情况下ARP病毒是欺骗你，告诉你病毒主机的地址是网关地址，导致你的包无法传到网关上而导致无法与网关交流数据。我当时因此认为可能不是ARP病毒。

此时在正常的电脑上运行科来分析网络。没有发现异常的数据包。此时又陆续有几个同事报故障无法上网。这时人有点迷茫，这种情况以前没有接触过。

我把我的电脑B接在A所在的网络接口上，上网正常，但是当我把我的电脑B的IP换成A的IP时候，B也出现无法上网的情况，A如果把IP更换成B的IP，即刻正常上网！！此故障与IP有关。

我给B安装了ARP单机防火墙，发现用A的IP还是无法上网，但是如果打开ARP防火墙的追踪功能或者主动防御功能时，即刻正常上网，但是一旦追踪功能取消，一段时间后马上和网关又无法通讯。
到ARP防火墙网站察看关于这2个功能的介绍：“网关受到了攻击，网关获取到的你本机的MAC是错误的。点击“追踪”后，ARP防火墙会对外发包进行MAC扫描，在追踪过程中，网关能重新获取到你本机正确的MAC地址，所以网络能通一会儿。追踪停止后，网关再受到攻击，获取到你的MAC又是错误的，所以你的网络又断了。对于这种情况，把主动防御设置为“始终启用”就可以了，主动防御能够持续向网关通告你本机的正确MAC。”

同时我还发现在ARP防火墙的日志里，局域网的其他IP的ARP包一般都只有几个，但是有2个IP，C，D的ARP包数量明显多于其他的IP。把目标说定在C，D，嘿嘿，感觉接近病因了。

马上断掉C，D的网络，用趋势的(ARP)TSC，ARP专杀软件来查杀，分别查杀到2个病毒，删除后重新启动C，D，交换机，路由器。这时在ARP防火墙的日志里面，ARP包数量恢复正常，所有的IP又可以正常上网了。

这种病毒主要攻击网关导致网关上关于你的MAC地址错误而让网关无法与你的IP联系。当你arp-d的时候可能会让网关获取你的真实的MAC，但是一段时间后病毒主机会攻击网关导致网关上你的MAC地址错误而让网关上你的MAC地址错误，你又无法上网了。这个就是执行arp -d后短时间能上网的原因。

至此，一个病毒查杀的完整过程到此结束。这种ARP欺骗类病毒的威力可以看出来了吧？先不说对网络的影响，单从病毒的原理就可以看出它的厉害。你根本感觉不出来，因为在ARP的静态列表中，病毒把正确的列表已经镜像出了，它不会笨到一直往自己的IP发包。你访问任何服务器都没有问题，其实已经中毒了。

[ 本帖最后由 roylong 于 2007-5-26 00:41 编辑 ]

roylong · 发表于 2007-5-26 00:24:24

当然也可以通过察看路由器上记录的的MAC地址或者交换机上的MAC地址，端口来确定病毒主机

此种病毒可以通过双绑来防止未来发生，毕竟杀毒软件是出现在病毒之后的。

zealotcc · 发表于 2007-5-26 07:11:14

感谢楼主，看了这帖，我想大家就更了解双绑的意义了

菜鸟人飞 · 发表于 2007-5-28 10:33:32

楼主遇到的是一个典型的欺骗网关的ARP断网攻击。这是ARP欺骗攻击里面的一种，其危害性是最为严重的，排查也相对困难，因为一般思路下排查ARP时，都会首先检查客户端的ARP表，而这时ARP表的数据是正常的。

论坛中好像有一个帖子也是讨论这个攻击的，具体地址忘了，大家可以搜索一下。

97jr · 发表于 2007-5-28 11:16:29

我们单位也被攻击了，用科来发现了一个地址大量发送arp包。有没有什么专杀工具或者免疫程序？

roylong · 发表于 2007-5-28 11:40:08

用用趋势的(ARP)TSC可以专杀arp的病毒.效果不错.
免疫的话,双绑一般情况下就OK了

robur · 发表于 2007-5-28 13:03:10

呵呵，局域网ARP泛滥是灾难啊。。。
我在学校上网，一般都是靠rp。。。

上不了网了，就疯狂的Arp -d……

sivalei · 发表于 2007-5-28 17:52:59

所以现在网吧的路由器出来了对arp表和mac的绑定和免费arp广播的功能

roylong · 发表于 2007-5-28 18:52:27

可惜公司的测试机器流动性比较大
不分方便双绑（每天都添加新机器双绑，那还不累死我，嘿嘿）

所以只能被动杀毒了

chencheng14 · 发表于 2007-5-29 20:05:43

想请教下，如果进行双向绑定的话是不是就不会再有ARP的欺骗，双向绑定对这种情况有效么？/

roylong · 发表于 2007-5-30 11:11:19

一般情况下，双绑定对ARP欺骗都是有效的
至少目前是这样的。

freekite · 发表于 2007-6-7 09:58:51

这种现像在很多局域网里出现……但解决方法和原因很少有人能道出。
支持LZ　！　
希望版主能将此贴至顶高亮或加精～

KIMICN · 发表于 2007-6-7 13:21:31

这种病毒主要攻击网关导致网关上关于你的MAC地址错误而让网关无法与你的IP联系。当你arp-d的时候可能会让网关获取你的真实的MAC，但是一段时间后病毒主机会攻击网关导致网关上你的MAC地址错误而让网关上你的MAC地址错误，你又无法上网了。这个就是执行arp -d后短时间能上网的原因。

在受害机上arp -d只能清除受害机上的arp缓存，从而获得正确的网关MAC，不会更新网关上的arp表吧。楼主所说执行arp -d可以短暂上网是在网关上执行的吗？

文少哥哥 · 发表于 2007-6-11 20:11:19

和我们情况一，一样。我用科来检测出来了。

fgangcn · 发表于 2007-6-12 11:31:10

我想，在你使用　ＡＲＰ　－Ｄ清除ＡＲＰ缓存后，主机上的ＡＲＰ程序会重新向局域网发送自己的消息，路由器的相关信息也会被更新．

hfnet · 发表于 2007-6-12 15:02:46

我们公司现在也被ARP病毒所感染,有没有行之有效的方法呢??

imlaozhao · 发表于 2007-6-12 17:52:24

象这种情况登入路由查看路由动态arp 缓存肯定会发现不能上网机器ip并非和其真实mac对应,根据这个错误的mac(如果没有被伪造)可以追踪到中毒的机器,现在网吧arp 欺骗的问题多是这种类型的.而且你找到中毒机器清除病毒或者关机后路由的动态arp缓存并不会立刻更新需要用路由命令刷新.
双绑基本可防止这样的问题发生,另外客户机的安全性非常重要,如果不是因为安全问题轻而易举的被病毒木马感染又何来arp欺骗源呢?

一次新型攻击网关的ARP病毒的解决实例（不知道能申精不，嘿嘿）

评分

回复 #2 roylong 的帖子

回复 #13 KIMICN 的帖子