最近遇到的一次ARP攻击案例。

只是一个神话 · 发表于 2007-6-26 21:00:33

状况：前些天接到某政府机构的求助电话，说网络时断时续，打开一个网页很慢，有的机器不管打开什么网页杀毒软件都会提示一个名为http://66888.****/*.*的网页病毒程序。
排查：经过询问，得知发作前些天网络就不大正常，周一上班发现网络大规模出问题，很多人在那大喊影响到工作了。要马上解决问题（后来才知道原来TMD都是在炒股票，我说怎么猴急成这样！哎，拿了老百姓的钱，做的就是这些所谓的“工作”，BS下！），初步了解情况后第一反应就是中了ARP病毒，就随便找了两台机器arp -a一查，果然是ARP欺骗。随便找了台机器装上科来，忘了50个节点的限制，一开就跳个对话框出来，汗！不过不影响排查情况，抓包3秒钟

，停止查看，

再

，80%的机器都在ARP欺骗攻击，本人以前遇到的情况也就一两台有这种情况。发现问题的严重。对面的人又喊了：这个是什么东西啊，怎么老是跳出来啊？跑过去一看，是NOD32 IMON监控到的一病毒程序，联想到一开始的时候有人提到这个问题，刚开始并没有特别注意，直接点禁止掉了。然后打开IE，可以上网，arp -a一看。。。

又不是网关MAC。
综合这些问题，基本确定网络中存在两种ARP欺骗攻击，一种是断网式的，一种是嗅探式的。其中那个病毒程序很可能是嗅探式攻击在嗅探数据的同时向被攻击主机发送ARP病毒程序，使被攻击主机中毒也成为攻击主机。当然，可能还有ARP扫描攻击，因为大部分机器都中毒了，所以我并没有很细的去分析。
解决问题：找到正确的网关MAC先写个ARP绑定批处理文件，通过AD策略下发一下。所有机器重启后，一小部分机器能上网了，大部分机器还是不能上网。通过arp -a查看，

:L :L 静态绑定的竟然是ARP攻击者的地址，试了几次，结果都一样，没办法，上google找ANTIARP软件，正好官网有个试用版的，装上一试，软件能正确识别网关MAC，同时也阻挡了大量的对内和对外的ARP攻击，既然有效果，就一台一台装吧。。。。。。
后续：所有机器都装上ANTIARP单机防火墙后，网络恢复正常，当然，工作还没完，找了一台攻击机器，安装NOD32,升级病毒库，杀毒。杀了几百个木马和病毒程序，从正常模式杀到安全模式，从安全模式杀到DOS模式，花了两个多小时，清理完后重启系统，系统不在发送ARP欺骗数据包了。。。再后来就是让他们花钱买了一套NOD32网络版杀毒软件。然后每台机器杀毒，前前后后花了一个多星期。

写得比较乱，理理思路
1、网络状况：存在两种ARP欺骗攻击，其中嗅探攻击的同时向别的机器别的机器发送ARP病毒程序。
2、解决思路：先是静态绑定，效果不大的情况下使用ANTIARP防火墙
3、逐个杀毒，后来卸了一部分机器的ANTIARP防火墙，至今未受到攻击。

很可惜的是没抓到包，不知道攻击主机是使用什么方式攻击被攻击主机的。

另外通过这次故障发现该机构在防毒方面没有足够的重视，有些人的机器上虽然安装了防毒软件，当在防毒软件提示用户如何操作时很多人都点了允许。:L ，想想，要是每秒给你弹个对话框出来，就算知道要禁止，搞不定就眼花点错了。

前些天遇到的事情了，这几天一直比较忙，今天有空写出来跟大家分享下经验。写得不是很好，希望对大家有点帮助。

cliked · 发表于 2007-6-27 09:48:26

呵呵,楼主应该有不少收获吧,杀软上能赚上一笔了哦

只是一个神话 · 发表于 2007-6-27 09:59:10

不赚他们的赚谁的。。。

qzyuanmu · 发表于 2007-6-27 11:02:40

挣他们一笔，还有后期的维护费用没？

xiaomeng · 发表于 2007-6-27 15:15:45

好东西，学习了。

wfu_liuxh · 发表于 2007-6-27 21:56:31

不赞成用ANTIARP防火墙。因为ANTIARP防火墙采用类似以毒攻毒的方法，同样对网关造成攻击。如果接入交换机性能差，就会与遭到arp攻击类似的效果。

只是一个神话 · 发表于 2007-6-27 23:31:47

嗯。最好是什么都不用。wfu_liuxh 是否有更好的方法分享下。

wfu_liuxh · 发表于 2007-6-28 08:03:37

原帖由 只是一个神话 于 2007-6-27 23:31 发表
嗯。最好是什么都不用。wfu_liuxh 是否有更好的方法分享下。

我使用科来和其他抓报软件时间都很短，因此还提供不出很多经验。
但我以为用untiarp绝对是饮鸩止渴的做法，因antiarp就像流氓软件，一直在告诉网关，我是××××。因为网关也是雾里看花，并无法分别谁说得是真话，谁说的是假话，因此antiarp的频率必须比arp病毒还要高，才能保证被网关以为你是真的，这比让arp攻击好不了多少。当然如果只你一个人这样做，你就可以上网（损人利己)，但如果大家都安装antiarp,那么大家就都上不了网了。
我以为要解决arp病毒，主要从两个方面，一是管理方面，通过科来等找出中毒的机器（好像也会连安装了antiarp的也当成病毒），然后想办法通知中读者。另一方面从技术方面，如果使用的接入交换机支持802.1x则有软件（例如化为的cams)可以自动封相应端口（可时限），而且软件也会将安装了antiarp的机器封杀（这样你还会支持安装antiarp吗？）。如果交换机不支持802。1x我现在是没有任何办法。不过可以安装正规厂家的正规防火墙，这样能检测出攻击的机器，你可以以毒攻毒，让她也无法上网，引起她的警觉。我以为anti防火墙不是正规产品，因此不会通篇考虑网络效率问题。因此不建议使用antiarp防火墙

只是一个神话 · 发表于 2007-6-28 09:48:31

原帖由 wfu_liuxh 于 2007-6-28 08:03 发表

我使用科来和其他抓报软件时间都很短，因此还提供不出很多经验。
但我以为用untiarp绝对是饮鸩止渴的做法，因antiarp就像流氓软件，一直在告诉网关，我是××××。因为网关也是雾里看花，并无法分别谁说得是 ...

嗯，有道理，不过我遇到的问题是，80%都在发送ARP欺骗，也就是说网内大部分主机都中毒了，而且ARP －S绑定无效果，这种情况下科来起到的作用仅仅是对网络情况的一种评估，而不是找到中毒主机的（基本上每个人都中毒了，也不用查了），另外如果是交换机有类似自动封端口的功能，那么大家不是也不能上网了？另外，需要一提的是，如果大家都装了ANTIARP，那网络是正常的，因为ANTIARP不仅会阻挡外部的攻击，也能阻挡本机对外部的攻击，如果大家都装了，那网络就不存在ARP攻击了，在无ARP攻击的情况下，ANTIARP是不会与网关通信的。
所以当网络内的大部分主机都中ARP病毒且ARP －S无效，又要迅速解决上网问题的时候，该怎么办？
我觉得最好的方法还是通过ARP －S入手，但我不知道为什么ARP －S会无效，网上查了查，有人说是XP的一个BUG，有相关补丁，但事实是如何？我也不知道，当时也没去想这个问题，只是后来才查的。不知道大家对这个问题有什么高见，可不可以通过其它手段解决ARP －S无效？
另外，我一直不明白的是，ANTIARP又是通过何种手段获取正确的网关MAC的呢？

sivalei · 发表于 2007-6-28 10:28:07

ARP －S在XP下无效？

从哪里看到的？没有道理没效果啊，否则全国那么多网吧不都歇菜了？

只是一个神话 · 发表于 2007-6-28 10:36:44

呵呵，可惜没抓张图啊，不过我以人格保证这是真的。
比如一台机器受到了攻击，arp -a后看到的是
192.168.130.1       00-e0-5c-01-02-11    dynamic 这个是错误的
使用arp -s 192.168.130.1  00-e0-5c-01-02-12(正确网关)后，arp -a应该是
192.168.130.1       00-e0-5c-01-02-12 static
可看到的结果却是
192.168.130.1       00-e0-5c-01-02-11 static

https://dream4ever.org/archive/t-100933.html

wfu_liuxh · 发表于 2007-6-28 11:04:04

原帖由 只是一个神话 于 2007-6-28 10:36 发表
呵呵，可惜没抓张图啊，不过我以人格保证这是真的。
比如一台机器受到了攻击，arp -a后看到的是
192.168.130.1 00-e0-5c-01-02-11 dynamic 这个是错误的
使用arp -s 192.168.130.1 00-e0-5c-01 ...

你说的很对,arp -s有时就是不起作用。但用antiarp也确实不像你说的那么智能.你这样做对你无影响只能说明你的接入交换机有相当高的性能或你的网络规模比较小或vlan化的比较细。因为我也管理着一个规模比较大的网络,后来让arp折腾我们让用户都安装untiarp,结果情况更糟,没办法我们使用华为的cams.通过802.1x认证才解决了这一问题。cams会将安装antiarp的机器当作arp攻击者而禁封其端口。
上述只是个人的体会。网络设备不同，环境不同，上网模式不同，因此出现的问题，管理方法也不可能一样。

wfu_liuxh · 发表于 2007-6-28 11:11:17

原帖由 sivalei 于 2007-6-28 10:28 发表
ARP －S在XP下无效？

从哪里看到的？没有道理没效果啊，否则全国那么多网吧不都歇菜了？

你说的也对，前阶段就是有网吧被折腾的歇业。不过网吧大都装网刻软件，每天都通过网刻软件执行类似于ghost的系统恢复。因此影响较小。

秋水寒 · 发表于 2007-6-28 11:39:01

呵呵，早几天我公司也遇到了ARP欺骗，是一台营业用的服务器，搞得我们营业的客户端无法正常营业，通过ARP -S查看，服务器的MAC地址变成其中一台客户端的MAC地址，断开那台电脑，就OK了。呵呵~
还好，只中了一台。

只是一个神话 · 发表于 2007-6-28 12:20:10

原帖由 wfu_liuxh 于 2007-6-28 11:04 发表

你说的很对,arp -s有时就是不起作用。但用antiarp也确实不像你说的那么智能.你这样做对你无影响只能说明你的接入交换机有相当高的性能或你的网络规模比较小或vlan化的比较细。因为我也管理着一个规模比较大的 ...

嗯，所以大家可以讨论在什么情况下，用什么软件，做什么操作。分享一下大家的方法。最终的目标是解决问题。

wfu_liuxh · 发表于 2007-6-28 17:40:11

原帖由 只是一个神话 于 2007-6-28 12:20 发表

嗯，所以大家可以讨论在什么情况下，用什么软件，做什么操作。分享一下大家的方法。最终的目标是解决问题。

在硬件和管理理软件不具备的环境下，我以为用arp -s应该是不错的方法。但不知能否了解arp -s不起作用的原因和条件，如果能解决这个问题就好了，好像楼主对此有过研究，不知进展如何？

只是一个神话 · 发表于 2007-6-28 17:42:20

进展不大，如同我给的链接中微软MVP：风间子说的那样，这是XP SP2的一个BUG，其它的没找到相关信息。

yuanye002 · 发表于 2007-6-28 23:37:26

郁闷啊，前段时间我们也是遇到这样一个问题，一个学校的二个网段中的也是ARP类型的病毒。俺比较菜了，楞是用科来没查出点名堂来。
后用的是最原始的一个办法，一台一台机器重新做系统。（

以前做系统的GHO文件好象不知道到哪里去了。。

）
由于工作量很大，到现在还有一些机器没有重新做，偶尔还有IP冲突和掉线的现象。。有些机器安装了“AntiARP”，也不能够正常上网啊，郁闷，只是那个图标闪个不停，