詳解傳奇盜號(區域網路受ARP欺騙攻擊)
【故障現象】當區域網路內某台主機執行ARP欺騙的木馬程序時,會欺騙區域網路內所有主機和安全網路閘道,讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過安全網路閘道上網現在轉由通過病毒主機上網,切換的時候用戶會斷一次線。
切換到病毒主機上網後,如果用戶已經登入了傳奇服務器,那麼病毒主機就會經常偽造斷線的假像,那麼用戶就得重新登入傳奇服務器,這樣病毒主機就可以盜號了。
由於ARP欺騙的木馬程序發作的時候會發出大量的資料包導致區域網路通訊擁塞以及其自身處理能力的限制,用戶會感覺上網速度越來越慢。當ARP欺騙的木馬程序停止執行時,用戶會恢復從安全網路閘道上網,切換程序中用戶會再斷一次線。
【快速搜尋】在WebUI->系統狀態->系統資訊->系統歷史記錄中,看到大量如下的訊息:
MAC
SPOOF 192.168.16.200
MAC Old 00:01:6c:36:d1:7f
MAC New
00:05:5d:60:c7:18
這個消息代表了用戶的MAC位址發生了變化,在ARP欺騙木馬開始執行的時候,區域網路所有主機的MAC位址更新為病毒主機的MAC位址(即所有訊息的MAC
New位址都一致為病毒主機的MAC位址)。
同時在安全網路閘道的WebUI->進階組態->用戶管理->讀ARP表中看到所有用戶的MAC位址訊息都一樣,或者在WebUI->系統狀態->用戶統計中看到所有用戶的MAC位址訊息都一樣。
如果是在WebUI->系統狀態->系統資訊->系統歷史記錄中看到大量MAC
Old位址都一致,則說明區域網路內曾經出現過ARP欺騙(ARP欺騙的木馬程序停止執行時,主機在安全網路閘道上恢復其真實的MAC位址)。
在上面我們已經知道了使用ARP欺騙木馬的主機的MAC位址,那麼我們就可以使用NBTSCAN(下載位址:
http://www.utt.com.cn/upload/nbtscan.rar)工具來快速搜尋它。
NBTSCAN可以取到PC的真實IP位址和MAC位址,如果有」傳奇木馬」在做怪,可以找到裝有木馬的PC的IP/和MAC位址。
指令:「nbtscan
-r 192.168.16.0/24」(搜尋整個192.168.16.0/24網段,
即192.168.16.1-192.168.16.254);或「nbtscan 192.168.16.25-137」搜尋192.168.16.25-137
網段,即192.168.16.25-192.168.16.137。輸出結果第一列是IP位址,最後一列是MAC位址。
NBTSCAN的使用範例:
假設搜尋一台MAC位址為「000d870d585f」的病毒主機。
1)將壓縮包中的nbtscan.exe
和cygwin1.dll解壓縮放到c:\下。
2)在Windows開始à執行à開啟,輸入cmd(windows98輸入「command」),在出現的DOS視窗中輸入:C:\nbtscan
-r 192.168.16.1/24(這裡需要根據用戶實際網段輸入),Enter鍵。
3)通過查詢IP--MAC對應表,查出「000d870d585f」的病毒主機的IP位址為「192.168.16.223」。
【解決辦法】
採用雙向綁定的方法解決並且防止ARP欺騙。
1、在PC上綁定安全網路閘道的IP和MAC位址:
1)首先,獲得安全網路閘道的局局內網的MAC位址(例如HiPER網路閘道位址192.168.16.254的MAC位址為0022aa0022aa)。
2)編寫一個批次處理文件rarp.bat內容如下:
@echo
off
arp -d
arp -s 192.168.16.254
00-22-aa-00-22-aa
將文件中的網路閘道IP位址和MAC位址更改為實際使用的網路閘道IP位址和MAC位址即可。
將這個批次處理軟體拖到「windowsà開始à程序à啟動」中。
3)如果是網咖,可以利用收費軟體服務端程序(pubwin或者萬象都可以)傳送批次處理文件rarp.bat到所有客戶端機的啟動目錄。Windows2000的預設啟動目錄為「C:\Documents
and Settings\All
Users「開始」表單程序啟動」。
2、在安全網路閘道上綁定用戶主機的IP和MAC位址:
在WebUI->進階組態->用戶管理中將區域網路每台主機均作綁定。