Meet ARP-Cheat again

无奈的又碰到了一次arp欺骗,费了一个小时才搞定,写个流水账存档。

  1. 一上班,就有报告说email没办法用的,过去一看,是台通过wifi上的笔记本,现象是打开web登陆界面速度奇慢无比,因为手头还有别的事情,所以直接打开oe添加了个帐号,说先这样用吧,我那边去找找原因。
  2. 接下来就开始有三三两两的说网络不正常的,包括web浏览、股票行情、视频直播,都出现问题,这下麻烦大了。在自己机器上开ping,外部网站、dns,都不正常,从30ms到丢包,不规律重复出现。
  3. 查看非常缓慢的打开了的网站源代码,第一行有一个iframe,访问一个直接数字ip开头的vip.htm页面,但是那个页面打不开,这个应该就是所有网站打开缓慢的原因之一。
  4. 打电话给isp,让他们反向ping回来,过了几分钟,反馈说一切ok,维持在1-2ms之间,isp嫌疑排除,继续。
  5. 询问isp是否做广告推送(因为3),确认没有。
  6. 带笔记本到机房,直接接到ForitGate上,一切ok,故障定位在下层交换机。
  7. 怀疑arp欺骗(已经碰到过n次了),笔记本看一下网关,到别的地方看一下,果然不同,确定故障。
  8. 到FortiGate的dhcp log里面查找那个问题mac,居然没有,想不通。
  9. 先群发bqq消息,通知有问题的人下载antiARP安装,继续查。
  10. 找一台有问题的机器,做全c段ip scan,然后arp –a,看到那个问题机器的mac对应的ip。
  11. \\问题ip\d$,出现登录窗口,看到问题机器名,找到。
  12. 将问题机器断网,杀毒,杀木马(有空的话再写个文章说,也比较有代表性),搞定。

整个流程是这样:问题机器中木马,开始arp欺骗,其他机器收到arp广播,认为问题机器是网关,于是走这条路,问题机器将http请求开头加上那个iframe,目的是为了流量或者广告或者再传播。

总结一下:

  1. 现在基础网络,稳定性还是可以的,出现大面积问题,首先怀疑arp欺骗。
  2. 有条件的,做双向ip-mac绑定,可以解决大部分此类问题。
  3. 无条件的,建立机器-mac对应表,出现问题之后可以非常迅速的找到问题机器。
  4. 尽量在每台机器上装杀毒软件(推荐kav和nod32)和杀木马软件(推荐avg和360safe),可以减少不少麻烦。

——
·本文由 iamcj 原创,采用“CC创作共用”方式共享
6月 7, 2007 | Filed Under Computer 

Comments

10 Responses to “Meet ARP-Cheat again”

  1. xuxu Windows XP Internet Explorer 6.0 on 6月 7th, 2007 11:43

    像我这种没的上网的机器就不用考虑了。。

    其实中不中病毒也是看rp的。。哈

  2. iamcj Windows XP Internet Explorer 6.0 on 6月 7th, 2007 11:48

    嗯,我就不中毒,可见rp之好啊

  3. Zhlsk’s Blog.找不着北» Blog 存档 » iamcj:Modern Virus - 细数现代病毒新伎俩 WordPress 2.2 on 6月 11th, 2007 21:16

    […]  作者:iamcj 最近一段时间,花了不少精力在对付形形色色的木马/病毒,昨天的这个帖子里面已经提到过了,arp欺骗只是最容易观察到的外部表现方式,因为这个以发作会影响周围n多人的网络使用。以前的病毒是什么样的,为什么说现在的木马/病毒很狡猾而难以对付,它们高于”道”的”魔”在哪里,这篇文章会试图做一些浅显和初步的分析。 很 久很久以前(童话都是这样开头的),这个世界上没有木马,只有病毒,病毒们的作用也很单一,比如破坏可执行文件,比如不断产生垃圾侵占磁盘空 间……在”赐予我力量吧”的呐喊声中,简陋的杀毒软件出现了,记得黑色星期五、米开朗基罗、在屏幕上乱跳的stone么,记得当年闻之色变的dirII 么,记得当年的scan、kill99、cpav以及msav么?呵呵,都是只能从化石博物馆里翻出来的东西了。当时的病毒代码都是极其固定的,所以杀毒 软件们的使命很简单,对文件进行二进制匹配,符合,杀之,不符合,忽略之。 之后,出现了代码不完全固定的病毒,带 有%%特征匹配的kv100也随之诞生了,印象最深刻就是每期的电脑报上有一个小窗口,里面是天书一般的病毒特征码(废话么,如果能看懂这个,你就是病毒 了),只要自己输入到kv100里面,就可以”手动升级”了,呵呵,现在想想好像挺可笑的,但是在那个没有网络的时代,不可能有什么方便的在线更新手段, 除了拷贝之外,这个也是挺有时代特征的方式啊。 […]

  4. iamcj Windows XP Internet Explorer 6.0 on 6月 11th, 2007 21:18

    住楼上的,别光拷贝粘帖啊,嘻嘻:)

  5. asd Windows Server 2003 Internet Explorer 6.0 on 6月 12th, 2007 0:25

    作者:iamcj 最近一段时间,花了不少精力在对付形形色色的木马/病毒,昨天的这个帖子里面已经提到过了,arp欺骗只是最容易观察到的外部表现方式,因为这个以发作会影响周围n多人的网络使用。以前的病毒是什么样的,为什么说现在的木马/病毒很狡猾而难以对付,它们高于”道”的”魔”在哪里,这篇文章会试图做一些浅显和初步的分析。 很 久很久以前(童话都是这样开头的),这个世界上没有木马,只有病毒,病毒们的作用也很单一,比如破坏可执行文件,比如不断产生垃圾侵占磁盘空 间……在”赐予我力量吧”的呐喊声中,简陋的杀毒软件出现了,记得黑色星期五、米开朗基罗、在屏幕上乱跳的stone么,记得当年闻之色变的dirII 么,记得当年的scan、kill99、cpav以及msav么?呵呵,都是只能从化石博物馆里翻出来的东西了。当时的病毒代码都是极其固定的,所以杀毒 软件们的使命很简单,对文件进行二进制匹配,符合,杀之,不符合,忽略之。 之后,出现了代码不完全固定的病毒,带 有%%特征匹配的kv100也随之诞生了,印象最深刻就是每期的电脑报上有一个小窗口,里面是天书一般的病毒特征码(废话么,如果能看懂这个,你就是病毒 了),只要自己输入到kv100里面,就可以”手动升级”了,呵呵,现在想想好像挺可笑的,但是在那个没有网络的时代,不可能有什么方便的在线更新手段, 除了拷贝之外,这个也是挺有时代特征的方式啊。 […]

  6. iamcj Windows XP Internet Explorer 6.0 on 6月 12th, 2007 0:31

    啊,又来一个……:)

  7. dosomething Windows XP Internet Explorer 6.0 on 6月 13th, 2007 18:39

    我们单位的机子好像也中了,这几天上网短短续续的,ie被劫持了,参考你的方法试一下啊,

  8. iamcj Windows XP Internet Explorer 6.0 on 6月 13th, 2007 18:48

    嗯,可以考虑SRENG或者360safe,修改名字,然后使用里面的“修复安全模式”功能

  9. itrose Windows XP Internet Explorer 6.0 on 6月 14th, 2007 20:20

    哈哈,我的博客上个月8号也有一篇关于ARP病毒判断的文章,看看我们两个诊断思路如何不同吧

  10. iamcj Windows XP Internet Explorer 6.0 on 6月 14th, 2007 20:38

    itrose 在 2007-06-14 20:20 时说:

    哈哈,我的博客上个月8号也有一篇关于ARP病毒判断的文章,看看我们两个诊断思路如何不同吧

    我去看看,呵呵

Leave a Reply