关于在全网进行ARP病毒查杀的紧急通知
★黑基空间★�t
V�J7^�h(Q(},\
3U�c�P5}�q0
一、现象及机理:
★黑基空间★�N;V:y#K�f�k,]�|�r
近来,部分用户反映某时间段内,网络频繁出现异常。具体表现为网络时通时断、网速下降、Ip地址冲突、打开网页出现错误提示等等。通过网络中心技术人员深入分析,发现原因是用户网段内有一台或多台计算机感染了新的网络蠕虫病毒所致。
�i&U4M,|
R"L)z�p�B�d0
这种新的蠕虫病毒发作后的侵染方式一改常态,选择了更低层的网络协议--ARP协议。
★黑基空间★'}#~�h2u,v1s
ARP协议即地址解析协议,是将IP地址与网络物理地址一一对应的协议。负责IP地址和网卡物理地址(MAC)之间的转换。是网络通信重要的协议之一,ARP协议存在设计缺陷,因为它会信任所有的ARP数据包。
★黑基空间★�R�|�l1j�a�K�D�z
这种新的蠕虫病毒机理是以多线程的方式每秒数包甚至上百包的速度在网内发包。从发包方向上看有两种情况:一是向同网段内的所有在线计算机发送ARP广播问询包,这种包发送一般很密集,产生大量的ARP通信量导致网络阻塞,从而使网络带宽“缩水”,导致同段内网络速度急剧变慢;二是向病毒宿主机所在的网关和同段内的所有在线计算机发送单播应答包,这是一种带有欺骗性质的应答包,欺骗用户网关,但因为ARP的缺陷,目标计算机会无条件接收欺骗的应答包,而这正是造成网络软故障的原因所在。
x0X�w�~-k�v4f0
二、建议:
★黑基空间★8S&A1P'?,z�`
1、用户要及时给计算机系统安装系统补丁程序。下载地址:
http://sus.sdut.edu.cn/6f t�X�|�L9|$t�o.z1g0
2、安装防毒软件和防火墙并及时更新病毒库,增强个人计算机防御计算机病毒的能力。
�V%t4K�["E){0
3、一定要设置系统登陆密码,防止网络病毒蠕虫病毒轻易试探侵入,密码位数也要复杂一些。
★黑基空间★
r&U�P�L$j�G�N
4、使用U盘进行数据交换前,先对其进行病毒检查。
�F�_�F#g-|8B�G;d.C0
5、做好系统和重要数据的备份,以便能够在遭受病毒侵害后及时恢复。
�K$u�S�V D1U0
6、不要随便共享文件和文件夹,即使要共享,应先设置好权限,一般指定特定帐号或特定机器才能访问,另外不建议设置可写或可控制权限。
★黑基空间★�D�i�r1G1}'f$u%^
三、措施:
3s9z-^
n�@�i([�z0
1、网络中心在全网中查找病毒宿主机,一旦发现将停止网络连接,望用户配合做好病毒查杀或重装系统,再申请恢复网络连接。
★黑基空间★�z'r�p:x.A.o
2、实施用户IP与MAC的绑定,这对使用同一IP互换网卡或主机的用户将带来不便。
★黑基空间★,h,A�p�V�B)?
3、近期,网络中心会推出一个自主版权的ARP防火墙软件,敬请期待。
0~�s�f�z�I�q0
�n"[7[�Q5r
P�x.@0
★黑基空间★2x#v5@�A�L%o$a'a
ARP病毒查杀方法
�E#r�B�{4Q3A0
1、中毒现象
★黑基空间★�U&?,b�A
T�u,h;y
局域网内机器以前可正常上网的,突然出现不能上网的现象(无法ping通网关),重启机器或在MSDOS窗口下运行命令ARP -d后,又可恢复上网一段时间。
★黑基空间★�|-N2I�d)N-_
.Q(T'^(`9s�@�I0
2、我们VS病毒
�~�V$I&F
h%G�C#Q0
这是APR病毒欺骗攻击造成的。
)c O,D�E:|�J0@�e�|0
引起问题的原因一般是由传奇外挂携带的ARP木马攻击。当有同学在宿舍局域网内使用上述外挂时,外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上,向局域网内大量发送ARP包,从而致使同一网段地址内的其它机器误将其作为网关,这就是为什么掉线时内网是互通的,计算机却不能上网的原因。
★黑基空间★ h
C:H�Z7l�e�l
�D�v!G�j:}�d�r�v0
3、网络解毒剂DIY
★黑基空间★2j�\�D�R�J%B�W�p4Y�O�V
步骤一. 在能上网时,进入MS-DOS窗口,输入命令:arp –a
★黑基空间★(f0j
J5^,H�N0H
查看网关IP对应的正确MAC地址,将其记录下来。
9{�?�`%O�f!d0
注:如果已经不能上网,则先运行一次命令arp –d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp –a。
�f�f�t�K�M0
步骤二. 如果已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令:arp –s 网关IP 网关MAC
�^!f3]�z�M!x0
例如:假设计算机所处网段的网关为192.168.1.25,本机地址为192.168.1.11在计算机上运行arp –a后输出如下:
★黑基空间★.Y's�v3F0F$G;P
★黑基空间★4n4A�L-W�k�]
C:\Documents and Settings>arp -a
4i�k)a;h0i0
Interface: 192.168.1.11 --- 0x2
★黑基空间★�U�y!r�A)a�V
Internet Address Physical Address Type
★黑基空间★%B�y�A,]�A�c�s0w�c
192.168.1.25 00-01-02-03-04-05 dynamic
y�@7W�U7H+Y�h/[0
★黑基空间★!V�a�N�z�~�k'N+~
其中00-01-02-03-04-05就是网关192.168.1.25对应的MAC地址,类型是动态(dynamic)的,因此是可被改变。
★黑基空间★�S3p+O
E�v,A�Z�p�n
被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC,如果大家希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找做准备。
�S%z%o�M5])V!t�J0T0
★黑基空间★�~0m1k�V�k�J'U/O�U6E9q
手工绑定的命令为:arp –s 192.168.1.25 00-01-02-03-04-05
�R�{�g6t+G1V�{�~"w0
绑定完,可再用arp –a查看arp缓存,
★黑基空间★�q#M�@�i%l�t
}!W b3a�B�q#y�O0
C:\Documents and Settings>arp -a
,e-D�q"s�B/p�h�V$X�e$u�w0
Interface: 192.168.1.11 --- 0x2
W/^�I%h�O L�X�_�~0
Internet Address Physical Address Type
-{�l�A�J8p�}�u"L0
192.168.1.25 00-01-02-03-04-05 static
Q�A/r6n:q�D�b%t
^#V�R0
O�q�Y;r�d0k5z0
这时,类型变为静态(static),就不会再受攻击影响了。
★黑基空间★
C�x�s�v�O+C5n9S�U.O
但是,需要说明的是,手工绑定在计算机关机重开机后就会失效,需要再绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,令其杀毒,方可解决。
8]�M�X0[�i"k�Y0
★黑基空间★�a�^�z�_9S0K6X
找出病毒计算机的方法:
★黑基空间★6B�w9_ H�p-D�i1\
如果已有病毒计算机的MAC地址,可使用NBTSCAN软件找出网段内与该MAC地址对应的IP,即病毒计算机的IP地址,然后可报告校网络中心对其进行查封。
�N�H�x5U;v0
3k�@�b3B.@#i-[�B,c4~0
NBTSCAN的使用方法:
★黑基空间★0{,T�a�S�j�L�}
下载nbtscan.rar到硬盘后解压,然后将cygwin1.dll和nbtscan.exe两文件拷贝到c:\windows\system32(或system)下,进入MSDOS窗口就可以输入命令:
★黑基空间★�G9`0z+f-P�L�h
nbtscan -r 218.197.192.0/24(假设本机所处的网段是218.197.192,掩码是255.255.255.0;实际使用该命令时,应将斜体字部分改为正确的网段)。
!b�U�i.L"_,{0
使用nbtscan时,有时因为有些计算机安装防火墙软件,nbtscan的输出不全,但在计算机的arp缓存中却能有所反应,所以使用nbtscan时,还可同时查看arp缓存,就能得到比较完全的网段内计算机IP与MAC的对应关系
�O�j3?4`6k�e�y�V0
★黑基空间★:O�?�[�i/y"u3u
[
本帖最后由 瑞雪@波斯猫 于 2008-5-4 21:49 编辑 ]
mm475
