木馬程式對遊戲玩家也是痛心的傷,下面是資訊之舟電腦之家為您推薦的解決方案:
【故障原因】
局域網內有人使用ARP欺騙的木馬程式(比如:傳奇盜號的軟件,某些傳奇外掛中也被惡意加載了此程式)。
【故障原理】
要瞭解故障原理,我們先來瞭解一下ARP協議。
在局域網中,通過ARP協議來完成IP位址轉換為第二層物理位址(即MAC位址)的。ARP協議對網絡安全具有重要的意義。通過偽造IP位址和MAC位址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量使網絡阻塞。
ARP 協議是「Address Resolution Protocol」(位址解析協議)的縮寫。在局域網中,網絡中實際傳輸的是「幀」,幀裏面是有目標主機的MAC位址的。在乙太網中,一個主機要和另一個 主機進行直接通信,必須要知道目標主機的MAC位址。但這個目標MAC位址是如何獲得的呢?它就是通過位址解析協議獲得的。所謂「位址解析」就是主機在發 送幀前將目標IP位址轉換成目標MAC位址的過程。ARP協議的基本功能就是通過目標設備的IP位址,查詢目標設備的MAC位址,以保證通信的順利進行。
每台安裝有TCP/IP協議的電腦裏都有一個ARP緩存表,表裏的IP位址與MAC位址是一一對應的,如下表所示。
主機 IP位址 MAC位址
A 192.168.16.1 aa-aa-aa-aa-aa-aa
B 192.168.16.2 bb-bb-bb-bb-bb-bb
C 192.168.16.3 cc-cc-cc-cc-cc-cc
D 192.168.16.4 dd-dd-dd-dd-dd-dd
我們以主機A(192.168.16.1)向主機B(192.168.16.2)發送數據為例。當發送數據時,主機A會在自己的ARP緩存 表中尋找是否有目標IP位址。如果找到了,也就知道了目標MAC位址,直接把目標MAC位址寫入幀裏面發送就可以了;如果在ARP緩存表中沒有找到相對應 的IP位址,主機A就會在網絡上發送一個廣播,目標MAC位址是「FF.FF.FF.FF.FF.FF」,這表示向同一網段內的所有主機發出這樣的詢 問:「192.168.16.2的MAC位址是什麼?」網絡上其他主機並不響應ARP詢問,只有主機B接收到這個幀時,才向主機A做出這樣的回 應:「192.168.16.2的MAC位址是bb-bb-bb-bb-bb-bb」。這樣,主機A就知道了主機B的MAC位址,它就可以向主機B發送信 息了。同時它還更新了自己的ARP緩存表,下次再向主機B發送資訊時,直接從ARP緩存表裏查找就可以了。ARP緩存表採用了老化機制,在一段時間內如果 表中的某一行沒有使用,就會被刪除,這樣可以大大減少ARP緩存表的長度,加快查詢速度。
從上面可以看出,ARP協議的基礎就是信任局域網內所 有的人,那麼就很容易實現在乙太網上的ARP欺騙。對目標A進行欺騙,A去Ping主機C卻發送到了DD-DD-DD-DD-DD-DD這個位址上。如果 進行欺騙的時候,把C的MAC位址騙為DD-DD-DD-DD-DD-DD,於是A發送到C上的數據包都變成發送給D的了。這不正好是D能夠接收到A發送 的數據包了麼,嗅探成功。
A對這個變化一點都沒有意識到,但是接下來的事情就讓A產生了懷疑。因為A和C連接不上了。D對接收到A發送給C的數據包可沒有轉交給C。
做「man in the middle」,進行ARP重定向。打開D的IP轉發功能,A發送過來的數據包,轉發給C,好比一個路由器一樣。不過,假如D發送ICMP重定向的話就中斷了整個計劃。
D 直接進行整個包的修改轉發,捕獲到A發送給C的數據包,全部進行修改後再轉發給C,而C接收到的數據包完全認為是從A發送來的。不過,C發送的數據包又直 接傳遞給A,倘若再次進行對C的ARP欺騙。現在D就完全成為A與C的中間橋梁了,對於A和C之間的通訊就可以瞭若指掌了。
【故障現象】
當局域網內某台主機運行ARP欺騙的木馬程式時,會欺騙局域網內所有主機和路由器,讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過路由器上網現在轉由通過病毒主機上網,切換的時候用戶會斷一次線。
切換到病毒主機上網後,如果用戶已經登陸了傳奇服務器,那麼病毒主機就會經常偽造斷線的假像,那麼用戶就得重新登錄傳奇服務器,這樣病毒主機就可以盜號了。
由於ARP欺騙的木馬程式發作的時候會發出大量的數據包導致局域網通訊擁塞以及其自身處理能力的限制,用戶會感覺上網速度越來越慢。當ARP欺騙的木馬程式停止運行時,用戶會恢復從路由器上網,切換過程中用戶會再斷一次線。
【HiPER用戶快速發現ARP欺騙木馬】
在路由器的「系統曆史記錄」中看到大量如下的資訊(440以後的路由器軟件版本中才有此提示):
MAC Chged 10.128.103.124
MAC Old 00:01:6c:36:d1:7f
MAC New 00:05:5d:60:c7:18
這個消息代表了用戶的MAC位址發生了變化,在ARP欺騙木馬開始運行的時候,局域網所有主機的MAC位址更新為病毒主機的MAC位址(即所有資訊的MAC New位址都一致為病毒主機的MAC位址),同時在路由器的「用戶統計」中看到所有用戶的MAC位址資訊都一樣。
如果是在路由器的「系統曆史記錄」中看到大量MAC Old位址都一致,則說明局域網內曾經出現過ARP欺騙(ARP欺騙的木馬程式停止運行時,主機在路由器上恢復其真實的MAC位址)。
【在局域網內查找病毒主機】
在上面我們已經知道了使用ARP欺騙木馬的主機的MAC位址,那麼我們就可以使用NBTSCAN(最新nbtscan下載位址:HTTP://go.rritw.com/www.xdowns.com/soft/1/44/2012/Soft_96516.html ,點擊 Download NBTscan binaries for Win32 )工具來快速查找它。
NBTSCAN可以取到PC的真實IP位址和MAC位址,如果有」傳奇木馬」在做怪,可以找到裝有木馬的PC的IP/和MAC位址。
命令:「nbtscan -r 192.168.16.0/24」(搜索整個192.168.16.0/24網段, 即
192.168.16.1-192.168.16.254); 或「nbtscan 192.168.16.25-137」搜索192.168.16.25-137 網段,即192.168.16.25-192.168.16.137。輸出結果第一列是IP位址,最後一列是MAC位址。
NBTSCAN的使用範例:
假設查找一台MAC位址為「000d870d585f」的病毒主機。
1)將壓縮包中的nbtscan.exe 和cygwin1.dll解壓縮放到c:/下。
2)在Windows開始—運行—打開,輸入cmd(windows98輸入「command」),在出現的DOS視窗中輸入:C:/nbtscan -r 192.168.16.1/24(這裏需要根據用戶實際網段輸入),回車。
C:/Documents and Settings/ALAN>C:/nbtscan -r 192.168.16.1/24
Warning: -r option not supported under Windows. Running without it.
Doing NBT name scan for addresses from 192.168.16.1/24
IP address NetBIOS Name Server User MAC address
------------------------------------------------------------------------------
192.168.16.0 Sendto failed: Cannot assign requested address
192.168.16.50 SERVER 00-e0-4c-4d-96-c6
192.168.16.111 LLF ADMINISTRATOR 00-22-55-66-77-88
192.168.16.121 UTT-HIPER 00-0d-87-26-7d-78 xdowns.com
192.168.16.175 JC 00-07-95-e0-7c-d7
192.168.16.223 test123 test123 00-0d-87-0d-58-5f
3)通過查詢IP--MAC對應表,查出「000d870d585f」的病毒主機的IP位址為「192.168.16.223」。
【解決思路】
1、不要把你的網絡安全信任關系建立在IP基礎上或MAC基礎上,(rarp同樣存在欺騙的問題),理想的關系應該建立在IP+MAC基礎上。
2、設置靜態的MAC-->IP對應表,不要讓主機刷新你設定好的轉換表。
3、除非很有必要,否則停止使用ARP,將ARP做為永久條目保存在對應表中。
4、使用ARP服務器。通過該服務器查找自己的ARP轉換表來響應其他機器的ARP廣播。確保這台ARP服務器不被黑。
5、使用"proxy"代理IP的傳輸。
6、使用硬體遮罩主機。設置好你的路由,確保IP位址能到達合法的路徑。(靜態配置路由ARP條目),注意,使用交換集線器和網橋無法阻止ARP欺騙。
7、管理員定期用響應的IP包中獲得一個rarp請求,然後檢查ARP響應的真實性。
8、管理員定期輪詢,檢查主機上的ARP緩存。
9、使用防火牆連續監控網絡。注意有使用SNMP的情況下,ARP的欺騙有可能導致陷阱包丟失。
【HiPER用戶的解決方案】
建議用戶採用雙向綁定的方法解決並且防止ARP欺騙。
1、在PC上綁定路由器的IP和MAC位址:
1)首先,獲得路由器的內網的MAC位址(例如HiPER網關位址192.168.16.254的MAC位址為0022aa0022aa)。
2)編寫一個批處理檔rarp.bat內容如下:
@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa
將檔中的網關IP位址和MAC位址更改為您自己的網關IP位址和MAC位址即可。
將這個批處理軟件拖到「windows--開始--程式--啟動」中。
3) 如果是網吧,可以利用收費軟件服務端程式(pubwin或者萬象都可以)發送批處理檔rarp.bat到所有客戶機的啟動目錄。Windows2000 的默認啟動目錄為「C:/Documents and Settings/All Users「開始」菜單程式啟動」。
2、在路由器上綁定用戶主機的IP和MAC位址(440以後的路由器軟件版本支援):
在HiPER管理介面--高級配置--用戶管理中將局域網每台主機均作綁定。
NBTSCAN的使用方法:
下載nbtscan.rar到硬盤後解壓,然後將cygwin1.dll和nbtscan.exe兩檔拷貝到c:\windows\system32(或system)下,進入MSDOS視窗就可以輸入命令:
nbtscan -r 218.197.192.0/24 (假設本機所處的網段是218.197.192,掩碼是255.255.255.0;實際使用該命令時,應將斜體字部分改為正確的網段) 。
注:使用nbtscan時,有時因為有些計算機安裝防火牆軟件,nbtscan的輸出不全,但在計算機的arp緩存中卻能有所反應,所以使用nbtscan時,還可同時查看arp緩存,就能得到比較完全的網段內計算機IP與MAC的對應關系。
補充一下:
Anti ARP Sniffer 使用說明
一、功能說明:
使用Anti ARP Sniffer可以防止利用ARP技術進行數據包截取以及防止利用ARP技術發送位址沖突數據包。
二、使用說明:
1、ARP欺騙:
填入網關IP位址,點擊〔獲取網關mac位址〕將會顯示出網關的MAC位址。點擊[自動防護]即可保護當前網卡與該網關的通信不會被協力廠商監聽。
注意:如出現ARP欺騙提示,這說明攻擊者發送了ARP欺騙數據包來獲取網卡的數據包,如果您想追蹤攻擊來源請記住攻擊者的MAC位址,利用MAC位址掃描器可以找出IP 對應的MAC位址。
2、IP位址沖突
首先點擊「恢復默認」然後點擊「防護位址沖突」。
如頻繁的出現IP位址沖突,這說明攻擊者頻繁發送ARP欺騙數據包,才會出現IP沖突的警告,利用Anti ARP Sniffer可以防止此類攻擊。
首先您需要知道沖突的MAC位址,Windows會記錄這些錯誤。查看具體方法如下:
右擊[我的電腦]-->[管理]-->點擊[事件檢視器]-->點擊[系統]-->查看來源為[TcpIP]--->雙擊 事件可以看到顯示位址發生沖突,並記錄了該MAC位址,請複製該MAC位址並填入Anti ARP Sniffer的本地MAC位址輸入框中(請注意將:轉換為-),輸入完成之後點擊[防護位址沖突],為了使MAC位址生效請禁用本地網卡然後再啟用網 卡,在CMD命令列中輸入Ipconfig /all,查看當前MAC位址是否與本地MAC位址輸入框中的MAC位址相符,如果更改失敗請與我聯系。如果成功將不再會顯示位址沖突。
注意:如果您想恢復默認MAC位址,請點擊[恢復默認],為了使MAC位址生效請禁用本地網卡然後再啟用網卡。
有關ARP病毒問題的處理說明:
故障現象:機器以前可正常上網的,突然出現可認證,不能上網的現象(無法ping通網關),重啟機器或在MSDOS視窗下運行命令ARP -d後,又可恢復上網一段時間。
故障原因:這是APR病毒欺騙攻擊造成的。
引起問題的原因一般是由傳奇外掛攜帶的ARP木馬攻擊。當在局域網內使用上述外掛時,外掛攜帶的病毒 會將該機器的MAC位址映射到網關的IP位址上,向局域網內大量發送ARP包,從而致使同一網段位址內的其它機器誤將其作為網關,這就是為什麼掉線時內網 是互通的,計算機卻不能上網的原因。
臨時處理對策:
步驟一. 在能上網時,進入MS-DOS視窗,輸入命令:arp –a 查看網關IP對應的正確MAC位址,將其記錄下來。
注:如果已經不能上網,則先運行一次命令arp –d將arp緩存中的內容刪空,計算機可暫時恢復上網(攻擊如果不停止的話),一旦能上網就立即將網絡斷掉(禁用網卡或拔掉網線),再運行arp –a。
步驟二. 如果已經有網關的正確MAC位址,在不能上網時,手工將網關IP和正確MAC綁定,可確保計算機不再被攻擊影響。手工綁定可在MS-DOS視窗下運行以下命令: arp –s 網關IP 網關MAC
例如:假設計算機所處網段的網關為218.197.192.254,本機位址為218.197.192.1在計算機上運行arp –a後輸出如下:
C:\Documents and Settings>arp -a
Interface: 218.197.192.1 --- 0x2
Internet Address Physical Address Type
218.197.192.254 00-01-02-03-04-05 dynamic
其中00-01-02-03-04-05就是網關218.197.192.254對應的MAC位址,類型是動態(dynamic)的,因此是可被改變。
被攻擊後,再用該命令查看,就會發現該MAC已經被替換成攻擊機器的MAC,如果大家希望能找出攻擊機器,徹底根除攻擊,可以在此時將該MAC記錄下來,為以後查找做准備。
手工綁定的命令為:
arp –s 218.197.192.254 00-01-02-03-04-05
綁定完,可再用arp –a查看arp緩存,
C:\Documents and Settings>arp -a
Interface: 218.197.192.1 --- 0x2
Internet Address Physical Address Type
218.197.192.254 00-01-02-03-04-05 static
這時,類型變為靜態(static),就不會再受攻擊影響了。但是,需要說明的是,手工綁定在計算機關機重開機後就會失效,需要再綁定。所以,要徹底根除攻擊,只有找出網段內被病毒感染的計算機,令其殺毒,方可解決。找出病毒計算機的方法:
如果已有病毒計算機的MAC位址,可使用NBTSCAN軟件找出網段內與該MAC位址對應的IP,即病毒計算機的IP位址,然後可報告校網絡中心對其進行查封。
解決措施
NBTSCAN的使用方法:
下載nbtscan.rar到硬盤後解壓,然後將cygwin1.dll和nbtscan.exe兩檔拷貝到c:\windows\system32(或system)下,進入MSDOS視窗就可以輸入命令:
nbtscan -r 218.197.192.0/24 (假設本機所處的網段是218.197.192,掩碼是255.255.255.0;實際使用該命令時,應將斜體字部分改為正確的網段) 。
注:使用nbtscan時,有時因為有些計算機安裝防火牆軟件,nbtscan的輸出不全,但在計算機的arp緩存中卻能有所反應,所以使用nbtscan時,還可同時查看arp緩存,就能得到比較完全的網段內計算機IP與MAC的對應關系
全站熱搜
留言列表
