[101][分享]網路遭Arp攻擊

資料通訊與網路-課程版面-授課教授:XO

版主: b80203, ghost3401, XO, maa, siegf

分享到: Facebook

[101][分享]網路遭Arp攻擊

文章400401133 » 週四 12月 20, 2012 11:59 pm

想在版上分享一下,前陣子家裡網路發生的狀況,那還真是惡夢一場的說.....

家裡的網路其實平常就會偶爾斷線,大概一週一兩次,平常也不以為意

覺得是數據機的問題,容易熱當(因為之前一斷線去碰數據機就超燙的說,就拔掉重開),

前一週就叫中華電信來換了一台新的,結果狀況還是沒解決

而且還更惡化,大概用不到15分鐘就可以斷線3次..... :shock:

(這一兩天才發現,有可能是在換數據機前,筆電被別人插了USB不小心感染到)

(不過並沒有在筆電中找到arp的病毒或木馬程式,所以純粹為猜測)


因為換了數據機沒解決,又看到網路當掉的機率變得更加頻繁,就想說找些程式來觀查一下網路狀況

一開始想說上課有教Wireshark的軟體

想說就打開來看看

於就是看到下面的結果

圖檔

網路間不斷的進行廣播 arp 從192.168.1.13X 一直到192.168.1.169

進行的次數相當的龐大,最多兩秒內跑了300筆以上,5分鐘內就有幾萬筆的訊息.......

無形間把整個網路的流量給霸佔,而且網速越來越慢, 最後到了當掉的地步....

表面上看起來是斷線,但是我看到無線網路狀態還是有在傳送接收封包,就知道案情並不單純

於是就又找了其它的東西來看看 順便看看有沒有解決的辦法><

1. Wow! ARP Protector
保護電腦以避免 ARP 欺騙/攻擊的自由軟體。目標專注於保護區網內部的網路安全,可以解決
ARP 病毒的攻擊、避免被 Netcut 之類的軟體阻斷網路連線、捕捉 ARP 攻擊的電腦 IP 等。

資料來源:http://www.openfoundry.org/of/projects/1035

起動後有個地方可以瀏覽記錄

就看到了以下的狀況,一秒內發生的事情
圖檔

2.CurrPorts v2.02 網路連線監控程式

這個軟體裡面顯示的有些內容會和上課看到的東西有些類似

他把內建在 Windows 下 cmd 中的 netstat 指令結果做成圖形界面來看

可以針對內容篩選觀看,還可以製作成 html 的形式輸出

資料來源:http://briian.com/?p=6058

我就想說開了這個來再看看 arp 還搞了什麼名堂出來....

結果 FB 看到一半斷線, 馬上就去看看上面寫了什麼東西

圖檔

最後面寫著arp掛馬攻擊.....(在這之前我爸就有查說該不會是
arp 掛馬攻擊吧?...)

想不到還真的偶然的看到了.......

於是就馬不停蹄趁網路重新接上還沒斷之前上去查了一下~~

看到了一份2009/04/20的討論 ARP掛馬-新的區網隱形殺手

甚麼是ARP?
在802.3 乙太網路架構下,區域網路中使用 CSMA/CD 方式,這種廣播(Broadcast)
的傳輸方式,多數人應該都很熟悉,當某主機需要傳送資訊給某IP位址 時,會先發送
ARP (Address Resolution Protocol),位址解析協定)封包,詢問網路上誰擁有這個
IP 那張網卡的 MAC 位址,而採用該 IP 的電腦,一旦聽到這樣的詢問,便會回應給來
源電腦,以便後續 的資料傳送。

ARP request、ARP reply,以及ARP cache
我們了解到主機利用ARP查詢的方式,來獲得 IP 位址和實體位址的對應。而發出詢問的
封包就叫做 ARP request(它是封裝成廣播封包的形式),因此區域網路內所有電腦都
會收到此一封包,而比對 ARP request 的 IP 位址後,只有該IP的電腦會回覆 ARP reply
封包 ── 將這些資料傳給原本發出 ARP request 的主機。

但主機總不可能每次傳輸都要去問一次別人的 MAC 位址,因此為了減少 ARP request
廣播封包,進而降低網路負擔,電腦主機會將曾經查詢過的網路裝置 IP 位址 / MAC 位址
,記錄在主機裡。

說到這,聰明的人就知道這中間有甚麼可以玩了。如果你有辦法跟對方說,你就是某臺主機
,它就會相信,而一切只要靠 ARP 來騙就可以。


一般當你「駭」進一臺電腦 A,就算是 A 處於交換器環境底下,靠以前的 Sniffer 工具,是
無法聽到交換器上其他網路埠的流量(假設另一個網路埠上有一臺主機 B)。

可是若你使用ARP,騙B說 A 是閘道,這樣B的流量就會先經過 A,A 再轉
閘道,這樣就是所謂的中間人攻擊(Man-in-the- middle),你就可以在交換器環境底下
竊聽。當然對於駭客來說,竊聽還不夠,既然網路封包都流過來了,乾脆改一改再轉送,這
就達到竄改的目的。


這些不需要什麼高深的 TCP/IP 理論,也不需要去算 TCP 的流水號,一切都很簡單。而且
中國網站上已經很多有這樣的 ARP 工具讓人下載,很多小駭客甚至都已經玩到相當熟練了。.....

資料來源:http://jay-fva.blogspot.tw/2009/04/dnsarp-200935zdnetcnetmsn-www.html

後來就想說能用防毒軟體中的防火牆去檔否?

就開了AVG 開起IDS針測中的封索Arp攻擊

圖檔

不過感覺是能做的效果是有限的

後來就重新設定IP分享器那邊

想說狀況會不會改善

圖檔

另外設定了限定MAC位址,家裡的手機,電腦,印表機

圖檔

狀況感覺是有比較好,從wireshark中看訊息沒再那麼多了

不過感覺只是治標的辦法,能夠上網而已,還不是治本,應該是有那個惡意的程式在搞鬼....

後來查到一個名為Lsass 的木馬資料

感覺跟我的狀況還蠻像的

中毒電腦的網路攻擊行為
1.第一步:進行 Arp 廣播,學習與記憶所處網段的 Arp Table 表
2.第二步:對其他電腦進行 arp 攻擊,改掉 Default Gateway 卡號為自己的卡號


資料來源:http://wiki.cc.ncu.edu.tw/wiki/Lsass_%E6%9C%A8%E9%A6%AC
不過使用cmd去檢查後,電腦中並查無此程式,排除了這種可能性

後來又看到別人怎麼處裡這類的問題,
寫一個批次檔antiarp.bat,開機每次執行解決~~~~

1.在能正常上網時,進入MS-DOS視窗,輸入命令:arp -a,查看閘道的IP對應的正確MAC位址,並將其記錄下來。

注意:
如果已經不能上網,則先運行一次命令 arp -d 將 arp 緩存中的內容刪空,電腦可暫時恢復上網(攻擊如果不停止的話)。
一旦能上網就立即將網路斷掉(禁用網卡或拔掉網線),再運行 arp -a。

2.用記事本編寫一個批次檔 antiarp.bat,內容如下,然後將 antiarp.bat 拉到 "啟動" 文件下。
比如:閘道 140.114.82.254 對應 00-0F-E2-45-C6-E8。

@echo off
arp -d
arp -s 140.114.80.254 00-0F-E2-45-C6-E8(請勿照抄)※ 請根據所屬不同網段,修改實際的通訊閘IP及網卡
硬體位址再存檔使用,勿照抄

資料來源:http://tw.myblog.yahoo.com/pia-ddovwmk/article?mid=-2&next=31036&l=a&fid=12



現在的狀況感覺沒斬草除根,只是說還能夠上網沒有問題
在此分享這則和網路有關的資訊供大家參考,說不定那天也會碰到類似的狀況

心得:電腦還是少給別人插USB比較好....來路不明的USB感覺就莫名其妙的會中木馬或病毒... 即使你有了防毒軟體也
不一定有用..... 感覺碰到問題時,會讓你學習的更快速,你會更想花多點時間了解這個暨陌生由熟悉的東西,和你切生相
關的事務,你總會在意,而不會想擺爛忽視他讓你會有想主動學習,找尋答案的感覺,雖然你知道並不一定會解得開問題......


PS 如果還是不知道 ARP 病毒的可以看一下這篇(老實說現在我也搞不太清楚到底是中木馬還是病毒了 = =)
資料來源:http://tw.trendmicro.com/tw/support/tech-support/board/tech/article/20070926085046.html
附加檔案
SetUp.jpg
(162.23 KiB) 被下載 19 次
SIDClose.jpg
(108.94 KiB) 被下載 19 次
arpprotect.jpg
(128.12 KiB) 被下載 21 次
InvisibleManARP.jpg
(515.91 KiB) 被下載 22 次
NoticeARPCacheIP.jpg
(622.66 KiB) 被下載 22 次
ARPattack.jpg
(618.71 KiB) 被下載 21 次
400401133
懷疑的國中生
 
文章: 34
註冊時間: 週五 9月 28, 2012 6:17 pm

Re:[101][分享]網路遭Arp攻擊

文章XO » 週五 12月 21, 2012 5:33 am

老爸英明!
也是學資的呀? ^o^
最後由 XO 於 週五 12月 21, 2012 4:06 pm 編輯,總共編輯了 1 次。
eXtra Old 的是我「不是酒」哦!
제 이름은 오조휘 입니다

臉書裡依舊是 Extra.Old: http://www.facebook.com/extra.old
頭像
XO
資管系教師
 
文章: 5331
註冊時間: 週二 4月 27, 2004 12:20 pm
來自: CQ Inc.

Re:[101][分享]網路遭Arp攻擊

文章400401133 » 週五 12月 21, 2012 8:39 am

我爸是讀高職學電子科的

他對網路也是有點概念

不過有些時候還是上網查知道的

他也說過這種東西,他以前也沒學過,他是後來電腦普及了

買電腦自學才懂這些

有時候他說不懂的話就敢快翻書吧~~

(接著就指著家裡陳年又厚又重的書,他10~20年前自己買的書)

他說:原理都是一樣的

不用都看懂,不過就有點概念吧~~~

有時候想想也是

唉..有時候覺得以前自己怎麼沒多花點時間瞭解
400401133
懷疑的國中生
 
文章: 34
註冊時間: 週五 9月 28, 2012 6:17 pm

Re:[101][分享]網路遭Arp攻擊

文章copyleft » 週五 1月 04, 2013 8:44 am

不知後來有查出是哪一台設備在發出這個廣播嗎?
是目前使用的那台電腦?還是另有其他設備?

滿好奇的。 :mrgreen:
頭像
copyleft
E-Office 小組
 
文章: 1006
註冊時間: 週六 8月 07, 2004 11:27 am
來自: Taiwan


回到 資料通訊與網路

誰在線上

正在瀏覽這個版面的使用者:沒有註冊會員 和 2 位訪客