近期,一種新型的“ ARP 欺騙”木馬病毒正在校園網中擴散,嚴重影響了校園網的正常運行。感染此木馬的計算機試圖通過“ ARP 欺騙”手段截獲所在網絡內其它計算機的通信信息,並因此造成網內其它計算機的通信故障。ARP欺騙木馬的中毒現象表現為:使用校園網時會突然掉線,過一段時間後又會恢復正常。比如客戶端狀態頻頻變紅,用戶頻繁斷網,IE浏覽器頻繁出錯,以及一些常用軟件出現故障等。
如果校園網是通過身份認證上網的,會突然出現可認證,但不能上網的現象(無法ping通網關),重啟機器或在MS-DOS窗口下運行命令arp -d後,又可恢復上網。ARP欺騙木馬十分猖狂,危害也特別大,各大學校園網、小區網、公司網和網吧等局域網都出現了不同程度的災情,帶來了網絡大面積癱瘓的嚴重後果。ARP欺騙木馬只需成功感染一台電腦,就可能導致整個局域網都無法上網,嚴重的甚至可能帶來整個網絡的癱瘓。
該木馬發作時除了會導致同一局域網內的其他用戶上網出現時斷時續的現象外,還會竊取用戶密碼。如盜取QQ密碼、盜取各種網絡游戲密碼和賬號去做金錢交易,盜竊網上銀行賬號來做非法交易活動等,這是木馬的慣用伎倆,給用戶造成了很大的不便和巨大的經濟損失。大家可能會有疑問什麼是ARP欺騙?
ARP(Address Resolution Protocol,地址解析協議)是一個位於TCP/IP協議棧中的低層協議,負責將某個IP地址解析成對應的MAC地址。
什麼是ARP欺騙?
ARP(Address Resolution Protocol,地址解析協議)是一個位於TCP/IP協議棧中的低層協議,負責將某個IP地址解析成對應的MAC地址。
從影響網絡連接通暢的方式來看,ARP欺騙分為二種,一種是對路由器ARP表的欺騙;另一種是對內網PC的網關欺騙。
第一種ARP欺騙的原理是——截獲網關數據。它通知路由器一系列錯誤的內網MAC地址,並按照一定的頻率不斷進行,使真實的地址信息無法通過更新保存在路由器中,結果路由器的所有數據只能發送給錯誤的MAC地址,造成正常PC無法收到信息。第二種ARP欺騙的原理是——偽造網關。它的原理是建立假網關,讓被它欺騙的PC向假網關發數據,而不是通過正常的路由器途徑上網。在PC看來,就是上不了網了,“網絡掉線了”。
如何檢查和處理“ ARP 欺騙”木馬的方法
1 .檢查本機的“ ARP 欺騙”木馬染毒進程
同時按住鍵盤上的“ CTRL ”和“ ALT ”鍵再按“ DEL ”鍵,選擇“任務管理器”,點選“進程”標簽。察看其中是否有一個名為“ MIR0.dat ”的進程。如果有,則說明已經中毒。右鍵點擊此進程後選擇“結束進程”。參見右圖。
2 .檢查網內感染“ ARP 欺騙”木馬染毒的計算機
在“開始” - “程序” - “附件”菜單下調出“命令提示符”。輸入並執行以下命令:
ipconfig
記錄網關 IP 地址,即“ Default Gateway ”對應的值,例如“ 59.66.36.1 ”。再輸入並執行以下命令:
arp –a
在“ Internet Address ”下找到上步記錄的網關 IP 地址,記錄其對應的物理地址,即“ Physical Address ”值,例如“ 00-01-e8-1f-35-54 ”。在網絡正常時這就是網關的正確物理地址,在網絡受“ ARP 欺騙”木馬影響而不正常時,它就是木馬所在計算機的網卡物理地址。
也可以掃描本子網內的全部 IP 地址,然後再查 ARP 表。如果有一個 IP 對應的物理地址與網關的相同,那麼這個 IP 地址和物理地址就是中毒計算機的 IP 地址和網卡物理地址。 上一頁12345下一頁共5頁
3 .設置 ARP 表避免“ ARP 欺騙”木馬影響的方法
本方法可在一定程度上減輕中木馬的其它計算機對本機的影響。用上邊介紹的方法確定正確的網關 IP 地址和網關物理地址,然後在 “命令提示符”窗口中輸入並執行以下命令:
arp –s 網關 IP 網關物理地址
4.態ARP綁定網關
步驟一:
在能正常上網時,進入MS-DOS窗口,輸入命令:arp -a,查看網關的IP對應的正確MAC地址, 並將其記錄下來。
注意:如果已經不能上網,則先運行一次命令arp -d將arp緩存中的內容刪空,計算機可暫時恢復上網(攻擊如果不停止的話)。一旦能上網就立即將網絡斷掉(禁用網卡或拔掉網線),再運行arp -a。
步驟二:
如果計算機已經有網關的正確MAC地址,在不能上網只需手工將網關IP和正確的MAC地址綁定,即可確保計算機不再被欺騙攻擊。
要想手工綁定,可在MS-DOS窗口下運行以下命令:
arp -s 網關IP 網關MAC
例如:假設計算機所處網段的網關為192.168.1.1,本機地址為192.168.1.5,在計算機上運行arp -a後輸出如下:
Cocuments and Settings>arp -a
Interface:192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 dynamic
其中,00-01-02-03-04-05就是網關192.168.1.1對應的MAC地址,類型是動態(dynamic)的,因此是可被改變的。
被攻擊後,再用該命令查看,就會發現該MAC已經被替換成攻擊機器的MAC。如果希望能找出攻擊機器,徹底根除攻擊,可以在此時將該MAC記錄下來,為以後查找該攻擊的機器做准備。
手工綁定的命令為:
arp -s 192.168.1.1 00-01-02-03-04-05
綁定完,可再用arp -a查看arp緩存:
Cocuments and Settings>arp -a
Interface: 192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 static
這時,類型變為靜態(static),就不會再受攻擊影響了。
但是,需要說明的是,手工綁定在計算機關機重啟後就會失效,需要再次重新綁定。所以,要徹底根除攻擊,只有找出網段內被病毒感染的計算機,把病毒殺掉,才算是真正解決問題。 上一頁12 345下一頁共5頁
5 .作批處理文件
在客戶端做對網關的arp綁定,具體操作步驟如下:
步驟一:
查找本網段的網關地址,比如192.168.1.1,以下以此網關為例。在正常上網時,“開始→運行→cmd→確定”,輸入:arp -a,點回車,查看網關對應的Physical Address。
比如:網關192.168.1.1 對應00-01-02-03-04-05。
步驟二:
編寫一個批處理文件rarp.bat,內容如下:
@echo off
arp -d
arp -s 192.168.1.1 00-01-02-03-04-05
保存為:rarp.bat。
步驟三:
運行批處理文件將這個批處理文件拖到“Windows→開始→程序→啟動”中,如果需要立即生效,請運行此文件。
注意:以上配置需要在網絡正常時進行
6.使用安全工具軟件
及時下載Anti ARP Sniffer軟件保護本地計算機正常運行。具體使用方法可以在網上搜索。
如果已有病毒計算機的MAC地址,可使用NBTSCAN等軟件找出網段內與該MAC地址對應的IP,即感染病毒的計算機的IP地址,然後報告單位的網絡中心對其進行查封。
或者利用單位提供的集中網絡防病毒系統來統一查殺木馬。另外還可以利用木馬殺客等安全工具進行查殺。 上一頁123 45下一頁共5頁
7.應急方案
網絡管理管理人員利用上面介紹的ARP木馬檢測方法在局域網的交換機上查出受感染該病毒的端口後,立即關閉中病毒的端口,通過端口查出相應的用戶並通知其徹底查殺病毒。而後,做好單機防范,在其徹底查殺病毒後再開放相應的交換機端口,重新開通上網。
清華大學校園網絡安全響應小組編了一個小程序,它可以保護您的計算機在同一個局域網內部有ARP欺騙木馬計算機的攻擊時,保持正常上網。具體使用方法:
1、 程序運行後請先選擇網卡,選定網卡後點擊“選定”按鈕。
2、 選定網卡後程序會自動獲取您機器的網關地址。
3、獲得網關地址後請點擊獲取MAC地址按鈕獲取正確的網關MAC地址。
4、 確認網關的MAC地址後請點擊連接保護,程序開始保護您的機器。
5、 點擊程序右上角的叉,程序自動隱藏到系統托盤內。
6、要完全退出程序請在系統托盤中該程序圖標上點擊右鍵選擇EXIT。
注意:
1、這個程序只是一個ARP攻擊保護程序,即受ARP木馬攻擊時保持自己計算機的MAC地址不被惡意篡改,從而在遭受攻擊時網絡不會中斷。本程序並不能清除已經感染的ARP木馬,要預防感染或殺除木馬請您安裝正版的殺毒軟件!
附錄二
Anti Arp Sniffer 的用法
雙擊Antiarp文件,出現圖二所示對話