有可能是蠕虫病毒
或ARP病毒
ARP病毒解决方案
一、 病毒原理和行为说明
此类病毒利用的是ARP洪流攻击原理。在局域网中,是通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle” 进行ARP重定向和嗅探攻击。
用伪造源MAC地址发送ARP响应包,对ARP高速缓存机制的攻击。
每个主机都用一个ARP高速缓存存放最近IP地址到MAC硬件地址之间的映射记录。MS Windows高速缓存中的每一条记录(条目)的生存时间一般为60秒,起始时间从被创建时开始算起。我们可以通过在命令行下执行arp –a命令来查看系统当前的ARP缓存(注意arp和-a之间有一个空格)。
默认情况下,ARP从缓存中读取IP-MAC条目,缓存中的IP-MAC条目是根据ARP响应包动态变化的。因此,只要网络上有ARP响应包发送到本机,即会更新ARP高速缓存中的IP-MAC条目。
攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A可不知道被伪造了)。
当攻击源大量向局域网中发送虚假的ARP信息后,就会造成局域网中的机器ARP缓存的崩溃。
交换机上同样维护着一个动态的MAC缓存,它一般是这样,首先,交换机内部有一个对应的列表,交换机的端口对应MAC地址表Port n <-> Mac记录着每一个端口下面存在那些MAC地址,这个表开始是空的,交换机从来往数据帧中学习。因为MAC-PORT缓存表是动态更新的,那么让整个交换机的端口表都改变,对交换机进行MAC地址欺骗的洪流,不断发送大量假MAC地址的数据包,交换机就更新MAC-PORT缓存,如果能通过这样的办法把以前正常的MAC和Port对应的关系破坏了,那么交换机就会进行泛洪发送给每一个端口,让交换机基本变成一个HUB,向所有的端口发送数据包,要进行嗅探攻击的目的一样能够达到。也将造成交换机 MAC-PORT缓存的崩溃。
当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。
在ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC地址都一致为病毒主机的MAC地址),同时能够在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。
二、 监控攻击行为和源头
使用AntiArpSniffer定位ARP攻击源。在你的网络里面,找一台机器运行此工具,并定期来监控此工具的检测情况。
临时处理对策
A) arp –d与arp -a命令
在能上网时,打开命令行窗口,输入命令:arp –a 查看网关IP对应的正确MAC地址,将其记录下来。
注:如果已经不能上网,则先运行一次命令arp –d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp –a。
B) 手工绑定ARP
如果已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令: arp –s 网关IP 网关MAC
例如:假设计算机所处网段的网关为172.16.6.254,本机地址为172.16.6.205,在计算机能正常上网时,上运行arp –a后输出如下:
c:\>arp -aInterface: 172.16.6.205 --- 0x2 Internet Address Physical Address Type 172.16.6.5 00-11-43-de-39-06 dynamic 172.16.6.26 00-11-43-d5-38-40 dynamic 172.16.6.250 00-90-fb-02-6a-37 dynamic 172.16.6.251 00-0b-fc-06-ab-fc dynamic 172.16.6.254 00-00-0c-07-ac-05 dynamic
其中00-00-0c-07-ac-05就是网关172.16.6.254对应的MAC地址,类型是动态(dynamic)的,因此是可被改变。
当该主机被攻击导致不能正常上网后,再用arp -a命令查看时,就会发现该对应的网关MAC已经被替换成攻击机器的MAC。
因此,我们可以在主机能正常上网的时候,通过命令手工绑定正确的网关MAC地址,如下:
Arp –s 172.16.6.254 00-00-0c-07-ac-05
绑定完,可再用arp –a查看arp缓存,如下
c:\>arp -aInterface: 172.16.6.205 --- 0x2 Internet Address Physical Address Type 172.16.6.5 00-11-43-de-39-06 dynamic 172.16.6.26 00-11-43-d5-38-40 dynamic 172.16.6.250 00-90-fb-02-6a-37 dynamic 172.16.6.254 00-00-0c-07-ac-05 static
这时,类型变为静态(static),就不会再受攻击影响了。需要说明的是,手工绑定在计算机关机重开机后就会失效,需要再绑定。
有效解决办法
要彻底根除攻击,只有找出网段内被病毒感染的计算机,先断网,然后给其杀毒,方可解决。某些网络可能难以通过MAC地址找到机器的物理位置,这个时候需要用一些迂回的方式,比如大家都不能联网的时候,有一台机器可以,那么一般来说这个机器就是攻击源了。 |
