爆料：最新arp变种病毒破坏过程揭秘！！！（申请加精）

tslcw · 发表于 2007-7-5 21:48:57

臭名昭著的ARP病毒是所有网管心里最深的痛，之前的ARP病毒通过双向绑定还可以勉强对付，最起码查找病毒主机也容易，随便一个arp -a就可以看到中毒电脑的MAC地址。但最近出现的ＡＲＰ变种，着实让我头痛不已，通过几天与其的斗争，弄到了病毒作怪的第一手资料，现发贴和大家共同讨论ＡＲＰ长治久安之道：
１、表现症状：当局域网内存有ARP变种后，会发现网内部分主机不能ping通网关和其他任何主机，修复本地连接或者用arp -d清除缓存后，会通几个包，然后又断，换一个IP地址后一切正常。同时任何主机使用该IP地址均不能PING通网关，也就是说：网络里面有几个IP地址被病毒锁定，任何一台电脑用这几个IP都不能与外界通信。
2、查找病毒主机：本人第一次发现这种现像时，也像以前一样用ARP防火墙，欣向ARP之类的工具进行查找病毒主机，但最终以失败告终，找不到一点珠丝马迹。迫不得已采用最原始也是最笨的方法：用笔记本接到中心交换机上，把笔记本设置成被攻击的IP地址，一直ping网关，然后把二级交换机一个一个拔掉，（注意：在此过程中，拔一个交换机，要用笔记本上执行一次arp -d）当拔到哪个交换机，ping包正常的时候，就说明问题出现在这个交换机下面，然后用此方法查找是问题哪个三级交换机上，然后再到三级交换机上查找，最终找到那台病毒主机。本人管理的网络交换机分布在楼上楼下10个地方，共26台交换机，而且机柜是钉在楼顶，要扛着梯子拿着矿灯到处跑，辛苦程度可想而知。
3、经过我的研究下面我把这种病毒的工作过程的截图发给大家，让大家也开开眼：
电脑重新启动后：在DOS下面arp -a一切正常，过几十秒后arp -a还一切正常，只有网关的IP与ＭＡＣ，大概过了一分钟再arp -a 效果如图１图２：
我只载了两个图，下面还有一直到１９２．１６８．１２３．２５５，我不敢确定这个过程到底是在做什么，估计是扫描本网段有哪些ＩＰ在用，或者是扫描本网段有哪些电脑有漏洞可以攻击，根把后面用sniffer抓包结果显示，后者的可能性大．
再来一个图：图３这是最后的结果，图中的几个ＩＰ就是被攻击的ＩＰ地址，这时，无论哪台电脑用这几个ＩＰ地址都是无法与外界通信的．（注意：图３的ＭＡＣ地址都是网络里面根本不存在的，是病毒随意编造的．
４、下图是我用SNIFFER抓的一个包，要说的话都在图上了。在这里你也可以清楚的看到这个病毒的工作过程。
5、解决方案：要想对付这种病毒，有以下几种方法：、
A：接入层交换机全部采用可以端口绑MAC的，但成本会高很多。
B：既然是ARP欺骗，那么我们就不用ARP协议，客户端全部采用PPPOE拔号形式，这样就脱离了ARP协议。大家如果不相信，可以在用电信的ADSL时， ping一个网战的时候，arp -a查看一下，是没有ARP缓存记录的。
C：这是我自己想到的一个办法，还没有试用，不知道可行不可行。是在IP地址分配方案上做文章，我举例说明：看的懂的就看，看不懂的照猫画虎就行，照着做也行。
例如：我现的网络，网关是192.168.1.1/255.255.255.0 客户端可以用的IP为：192.168.1.2-192.168.1.253/255.255.255.0,现在我把网关的子网掩码改：192.168.1.1/255.255.0.0,这样客户端的IP就多了去了，这样客户端就设置成：192.168.2.2 ,192.168.3.3 ,192.168.4.4,192.168.5.5以此类推，子网掩码和网关不用变，当然你如果会算的话，可以找一个比较适合你网络的掩码。这个方法有局限性，例如网吧就不能用，公司也不行，因为客户端之间不能相互访问了，比较适合小区宽带，这样还避免了相互感染病毒的危险。这是我自己想的，不知道可行性怎么样。有高手可以指点一下。

[ 本帖最后由可追于 2007-5-8 14:39 编辑 ]

附件
2007-5-8 13:04

1.jpg (152.71 KB)
第一个屏幕

2007-5-8 13:04

2.jpg (175.2 KB)
下面还有一直到２５５

2007-5-8 13:11

3.jpg (46.52 KB)
图中的ＩＰ就是被攻击的ＩＰ

2007-5-8 14:39

4.JPg (1.18 MB)
sniffer 抓包，要说的都在图上

[ 本帖最后由 tslcw 于 2007-7-5 21:52 编辑 ]

zealotcc · 发表于 2007-7-6 00:02:52

支持原创,如果用科来楼主就不用那么辛苦啦,在arp问题上科来相比较方便

这种攻击方式也不算新颖了,论坛里好象还有过一帖包里有arp网关欺骗、单向arp回应的 ip冲突攻击、针对主机间的mac欺骗.基本涵盖了所有的arp攻击方式

关于楼主的解决方案c,像楼主所述的这种arp攻击.就是没有什么用的. 你再怎么改ip.网关跟你还是一个段的吧,病毒还是可以对网关进主机mac的欺骗,造成数据包的有去无回

tslcw · 发表于 2007-7-6 08:58:45

具体怎么分析我估计这个时候的MAC 地址都是假的那怎么用科来分析是看流量吗?

ppp2 · 发表于 2007-7-6 09:14:32

扛着梯子拿着矿灯~~我以前也是这么干的,后来换了可网管的设备,+科来,很少做这么潇洒的事了,好怀念过去呀

zealotcc · 发表于 2007-7-6 09:21:40

挖塞,没那么夸张吧

关于科来解决arp问题的帖子论坛里很多啦,楼主一看便知

lswlzlp · 发表于 2007-7-6 16:50:37

这个问题我也曾经历过，用过不少方法效果不理想。现在解决了。方法是：
1 用软路由，并做pppoe server 让客户机拨号上网。
2 在硬路由中做~ ~ ~（同上）

palm · 发表于 2007-7-7 00:13:44

原帖由 ppp2 于 2007-7-6 09:14 发表
扛着梯子拿着矿灯~~我以前也是这么干的,后来换了可网管的设备,+科来,很少做这么潇洒的事了,好怀念过去呀

流金岁月，

zzgpitt · 发表于 2007-7-7 09:05:08

支持楼主，新变种害得我丢了几家网吧，

xianyu · 发表于 2007-7-12 08:31:16

楼主这种方法是比较奔的了,隔离区域查找.
1.楼主有26台交换机,不会是在1个VLAN吧? 我也是网官,我们这的ARP是不会跨过VLAN感染的,难道你的能? 在每个VLAN下,用SNIFFER查一下,就可以了,把有问题的主机隔离.使网络恢复正常.
2.解决ARP的方法: 杀毒是杀不掉,ARP专杀也是不好使的. 我的经验是重做系统. 尽量全格式化.

robur · 发表于 2007-7-12 15:00:09

原帖由 lswlzlp 于 2007-7-6 16:50 发表
这个问题我也曾经历过，用过不少方法效果不理想。现在解决了。方法是：
1 用软路由，并做pppoe server 让客户机拨号上网。
2 在硬路由中做~ ~ ~（同上）

这办法不错，哈哈～

chuzl · 发表于 2007-7-13 13:07:24

可以结合科来网络分析系统的集成工具mac scanner试试。

chuzl · 发表于 2007-7-13 13:24:40

楼主，咋没有看出这个攻击是最新的arp变种啊？