故障的原因】
局域网内有人在使用ARP诈骗木马程序。 例如,传说中的盗号软件,一些传说中的插件也被恶意加载。
【故障原理】
要理解故障的原理,首先理解ARP协议吧。
在局域网中,通过ARP协议将IP地址转换为第2层物理地址,即MAC地址。 ARP协议对网络安全具有重要意义。 通过伪造IP地址和MAC地址实现ARP欺骗,可以使网络产生大量的ARP流量从而屏蔽网络。
ARP协议是“地址解析协议”的缩写。 在局域网中,网络上实际传输的是“帧”,其中包含目标主机的MAC地址。 在以太网上,一台主机需要知道目标主机的MAC地址才能直接与另一台主机进行通信。 但是这个目标MAC地址是怎么得到的呢? 这是通过地址解析协议得到的。 地址解析是指在主机发送帧之前将目标IP地址转换为目标MAC地址的过程。 ARP协议的基本功能是通过目标设备的IP地址询问目标设备的MAC地址,以确保通信顺利进行。
安装了TCP/IP协议的每台电脑都有ARP缓存表,正反的IP地址和MAC地址是一一对应的。 请参照下表。
主机IP地址MAC地址
a 192.168.16.1 aa-aa-aa-aa-aa-aa-aa
b 192.168.16.2 B-B-B-B
C 192.168.16.3 cc-cc-cc-cc-cc-cc
d 192.168.16.4 DD-DD-DD-DD
假设主机a(192.168.16.1 )向主机b ) B(192.168.16.2 )发送数据。 提交数据后,主机a会在其ARP缓存表中查找是否存在目标IP地址。 如果找到了,还可以知道目标MAC地址。 将目标MAC地址直接写入帧并发送即可。 如果在ARP缓存表中找不到对应的IP地址,主机a会向网络发送广播。 目标MAC地址为“FF.FF.FF.FF.FF.FF”,同一网段内的所有主机的“192.168.16.2的MAC地址是什么? ”的咨询。 网络中的其他主机没有响应ARP,并且仅当主机b接收到此帧时,才向主机a回复“192.168.16.2的MAC地址是B- B B-B B-B”。 现在,主机a可以知道主机b的MAC地址,并将信息发送给主机b。 另外,我还更新了自己的ARP缓存表。 下次向主机b发送消息时,只需直接从ARP缓存表中查找即可。 ARP高速缓存表采用了一种过时的机制,如果表中的某行在一段时间内未使用,则会将其删除。 这大大缩短了ARP缓存表的长度,并加快了查询速度。
综上所述,ARP协议的基础是信任局域网内的所有人,以太网上的ARP欺骗很容易实现。 欺骗目标a,Ping主机c,但发送到地址DD-DD-DD-DD-DD-DD-DD。 进行诈骗时,如果将C的MAC地址欺骗为DD-DD-DD-DD,则A发送到C的数据包将全部发送到D。 这不正好d能接收到从a发送的数据包吗? 嗅探成功了。
虽然A先生完全没有注意到这个变化,但是因为以下的事情让A先生产生了怀疑。 因为a和c无法连接了。 D可以不把从接收到的A发送到C的分组传递到C。
点击“man in the middle”进行ARP重定向。 打开d的IP转发功能后,从a发送的数据包将被转发到c,成为路由器。 但是,如果D发送了ICMP重定向,整个计划就会被中断。
d直接进行数据包整体的修正转发,捕获从a发送到c的数据包,全部修正后再转发到c,但可以认为c接收到的数据包完全是从a发送的。 但是,c发送的数据包又被直接传递到a,再次进行了对c的ARP欺骗时。 现在,d完全是A和C之间的桥梁。 我对A和C之间的通信很了解。
【故障现象】
当局域网中的一台主机运行ARP欺骗木马程序时,它会欺骗局域网中的所有主机和路由器,使所有互联网连接的流量都必须通过病毒主机。 其他用户通过路由器直接连接到互联网,但现在通过病毒主机连接到互联网,切换时用户将断开一次连接。
切换到病毒主机接入互联网后,如果用户已经登录到传奇服务器,病毒主机往往会伪造断线的伪像,用户必须重新登录传奇服务器,病毒主机会窃取号码
当ARP诈骗木马程序发布时,会发出大量数据包,造成局域网通信的拥塞和自身处理能力的限制,使用户感到网络速度越来越慢。 当ARP诈骗木马程序停止时,用户将恢复从路由器的互联网连接,并在切换过程中用户再次断开连接。
【HiPER用户快速发现ARP欺骗木马】
路由器的“系统历史记录”将显示大量信息,包括: (440或更高版本的路由器软件具有此提示。)。
MAC Chged 10.128.103.124
ma cold 00:01:6 c :6336036: d 1:7 f
MAC new 0033600533605 d :533605336060: c 7:18
此消息表示用户的MAC地址已发生变化。 当ARP欺骗特洛伊木马并开始运行时,局域网中所有主机的MAC地址都更新为病毒主机的MAC地址。 这意味着所有信息的MAC New地址都与病毒主机的MAC地址相匹配。 此外,路由器的“用户统计信息”中所有用户的MAC地址信息都相同。
如果路由器的“系统历史记录”中显示大量的MAC Old地址
致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时,主机在路由器上恢复其真实的MAC地址)。【在局域网内查找病毒主机】
在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址,那么我们就可以使用NBTSCAN工具来快速查找它。
NBTSCAN可以取到PC的真实IP地址和MAC地址,如果有”传奇木马”在做怪,可以找到装有木马的PC的IP/和MAC地址。
命令:“nbtscan -r 192.168.16.0/24”(搜索整个192.168.16.0/24网段, 即
192.168.16.1-192.168.16.254);或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段,即192.168.16.25-192.168.16.137。输出结果第一列是IP地址,最后一列是MAC地址。
NBTSCAN的使用范例:
假设查找一台MAC地址为“000d870d585f”的病毒主机。
1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:/下。
2)在Windows开始—运行—打开,输入cmd,在出现的DOS窗口中输入:C:/nbtscan -r 192.168.16.1/24(这里需要根据用户实际网段输入),回车。
Warning: -r option not supported under Windows. Running without it.
Doing NBT name scan for addresses from 192.168.16.1/24
IP address NetBIOS Name Server User MAC address
192.168.16.0 Sendto failed: Cannot assign requested address
192.168.16.50 SERVER 00-e0-4c-4d-96-c6
192.168.16.111 LLF ADMINISTRATOR 00-22-55-66-77-88
192.168.16.121 UTT-HIPER 00-0d-87-26-7d-78
192.168.16.175 JC 00-07-95-e0-7c-d7
192.168.16.223 test123 test123 00-0d-87-0d-58-5f
3)通过查询IP–MAC对应表,查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。
【解决思路】
1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。
2、设置静态的MAC–>IP对应表,不要让主机刷新你设定好的转换表。
3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
5、使用"proxy"代理IP的传输。
6、使用硬件屏蔽主机。设置好你的路由,确保IP地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
7、管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。
8、管理员定期轮询,检查主机上的ARP缓存。
9、使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。
【解决方案】
建议用户采用双向绑定的方法解决并且防止ARP欺骗。
1、在PC上绑定路由器的IP和MAC地址:
1)首先,获得路由器的内网的MAC地址(例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa<HiPER管理界面–端口配置–局域网端口MAC地址>)。
2)编写一个批处理文件rarp.bat内容如下:
@echo off
arp -d
arp -s 192.168.16.254 00-22-aa-00-22-aa
将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。
将这个批处理软件拖到“windows–开始–程序–启动”中。
3)如果是网吧,可以利用收费软件服务端程序(pubwin或者万象都可以)发送批处理文件rarp.bat到所有客户机的启动目录。Windows2000的默认启动目录为“C:/Documents and Settings/All Users「开始」菜单程序启动”。
2、在路由器上绑定用户主机的IP和MAC地址(440以后的路由器软件版本支持):
在HiPER管理界面–高级配置–用户管理中将局域网每台主机均作绑定。
ARP