close

ARP 病毒

現在的病毒真是越來越多樣化了,癱瘓電腦本身的、癱瘓區域網路的、無差別攻擊的(TCP型、UDP型)、感染型的,現在就連 ARP 都拿來使用了。
所謂的 ARP 病毒,是利用 ARP 更新過程,提供錯誤的訊息給電腦主機或是 FireWall 造成該台電腦或設備的 arp 表錯誤,產生無法連線的狀況。
遇到這種病毒的話,MIS 人員頭就要開始疼了,因為
中毒的可能不是該台電腦(換句話說可能找不到病毒)、網路的狀態是 "有時正常,有時不正常" ,這樣一來很可能沒有辦法判斷問題出在哪邊,功力不夠的 MIS 更有可能以為是電腦有問題或是設備損壞。
可是實際上只是 arp 表錯亂所造成的現象...

Layer 7 的項目跟上網需要的各種協定就不描述了,直接講判斷吧。
幾個簡單的判斷方式如下:
1. 祭出命令提示字元,輸入 arp -a 然後去找找 Gateway 的 IP 顯示的 MAC 正不正常。
2. 在 GateWay 上查 arp 表,檢查 MAC 是否有重複的現象。話說回來採用這種方式如果網路設計不良的話會很難看得出問題。
簡易解決方法 Static arp table,簡易的命令範例如下:
c:> arp -s 192.168.1.1 00-aa-00-62-c6-09
192.168.1.1 --> GateWay 的 IP
00-aa-00-62-c6-09 --> GateWay 的網卡卡號(MAC Address)
如果網路規劃的好的話,可以直接綁定網卡卡號,避免這種問題發生。

底下節錄目前已知的 ARP 攻擊程式的偽裝型態:

1.MAC偽裝原型:
  中毒之單機向全場發送一個不存在的MAC的錯誤訊息,讓場內單機因為找不到ROUTER而斷線。
2.MAC偽裝變種1:
  中毒之單機將自己的MAC改成跟ROUTER一樣向全場發送錯誤訊息,讓場內單機因為找錯ROUTER而斷線。
3.MAC偽裝變種2:
  中毒之單機將場內多台的單機MAC改成跟ROUTER一樣向全場發送錯誤訊息,讓場內單機因為找錯ROUTER而斷線。
4.ARP封包攻擊型原型:
  中毒之單機向ROUTER發送每秒數萬個詢問.要求回答告訴全場單機導致ROUTER癱瘓,輕者LAG,重者斷線。
5.ARP封包攻擊型變種1:
  中毒之單機向全場單機發送每秒數萬個詢問,要求全場單機告訴ROUETR 同樣導致ROUTER癱瘓。
6.ARP封包攻擊型變種2:
  中毒之單機向全場單機發送每秒數萬個詢問,要求全場單機告訴其他單機導致區網癱瘓。
arrow
arrow
    全站熱搜
    創作者介紹
    創作者 zerosmall 的頭像
    zerosmall

    習慣成失落...

    zerosmall 發表在 痞客邦 留言(0) 人氣()