该病毒发作时症状表现为:
1)计算机网络连接正常,但无法上网或者时通时断,经常掉线;
2)用户私密信息(如QQ、网游等帐号)被窃取;
3)局域网内出现网络拥塞,甚至造成一些网络设备当机;
基本概念:
为了能够说明问题,有必要先来介绍一些基本概念,知者略过。
首先来说IP地址,大家应该都很熟悉了,我们知道,IP地址是一段32位(二进制)的无符号整数,例如:192.168.110.1,其最基本的作用就是在(IP)网络中唯一标识一台特定的主机。在Internet上,我们正是凭借IP地址来定位其他主机或者设备并进行相互通讯的。需要注意的是,IP协议位于OSI参考模型的第三层,即网络层,我们通常所说的路由器就工作在这一层。
然后来说MAC地址,也称物理地址,通常由网络设备制造商向IEEE申请获得,并将其烧入设备(比如网卡)的EPROM芯片中,这是一段48位的无符号整数(二进制),正常情况下是全球唯一的,例如:00-E0-FC-28-AF-36,(注:在2000/XP中,通过点击“开始”,选择“运行”,输入“cmd”调出命令提示符,然后再输入“ipconfig/all”回车,就可以查看自己的MAC地址了)。需要注意的是,MAC的实现是在OSI参考模型的第二层,即数据链路层,传统的(二层)交换机就工作在这一层。
在以太网(Ethernet)中,一个主机要和另一个主机进行直接通信,除了要知道目标主机的IP地址外,还必须要知道目标主机的MAC地址。因为在网络底层的传输过程中,正是通过物理地址来识别主机或者设备的。因此,必须把目的IP地址转换成目的MAC地址,才能保证通信的顺利进行。
那么目标MAC地址是如何获得的呢?这就要通过ARP来实现了,“ARP”全称是“AddressResolutionProtocol”,即“地址解析协议”。具体来说,ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址。
ARP协议的工作原理
在每台安装有TCP/IP协议的电脑里,都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的。(注:从Windows98起,正确安装网络适配器后,系统会自动为其安装TCP/IP协议)
1.正常启动计算机后,每台主机都会在自己的ARP缓冲区中建立一个ARP列表,以表示IP地址和MAC地址的对应关系(注:通过命令arp–a可以看到当前列表信息)。
2.当源主机需要将一个数据包要发送到目的主机时,会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址,如果有,就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。
3.网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中;如果ARP表中已经存在该IP的信息,则将其覆盖;随后,目的主机会给源主机发送一个ARP响应数据包,附上自己的MAC地址,告诉对方自己是它正在查找的主机。
4.当源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息封装数据帧,开始数据的传输。如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。
ARP欺骗的原理:
外因:一般是由传奇外挂等程序,携带和传播该病毒进入企业内网;
内因:在企业局域网内,一般都是采用通过网关来实现上网的方式;所谓的ARP欺骗又大致分两种:一种是对网关进行欺骗——原理是通知网关一系列错误的内网MAC地址,并按一定频率使网关不断的进行学习和更新,从而导致真实的地址信息无法保存在网关的ARP列表中。结果网关就会把所有的数据发送给错误的并不存在的地址去,造成正常的客户端无法收到信息,所以内网的PC就无法上网;另一种是对内网PC的欺骗——原理是通过发布假的ARP信息伪造网关,误导其他的PC向假网关发送数据,而不是通过正常的路由进行外网访问的,造成在同一网关的所有PC都无法访问外网。目前好像这种情况更多一些。
如何防范和应对:
一、关于防范务必落到实处。
1.增强安全意识,不要浏览一些缺乏可信度的网站;
2.不要轻易下载和安装盗版的、不可信任的软件或者程序;
3.不要随便打开不明来历的电子邮件,尤其是邮件附件;
4.不要随便点击打开QQ、MSN等聊天工具上发来的链接信息;
5.不要随便共享文件,如果确实需要最好设置权限,指定访问,建议不可写入;
6.及时修补系统漏洞(比如,打上ARP补丁KB842168等等);
7.修复不安全的设置(比如,为系统设置强密码,即长度不少于七位,使用大写字母、
小写字母、阿拉伯数字和特殊符号三种以上的组合);
8.关闭不必要的系统服务;
9.安装正版的杀毒软件网络版,经常更新病毒库
二、临时处理对策:
步骤一.在能上网时,进入MS-DOS窗口,输入命令:arp–a查看网关IP对应的正确MAC地址,将其记录下来。注:如果已经不能上网,则先运行一次命令arp–d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp–a。
步骤二.如果已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。
手工绑定可在MS-DOS窗口下运行以下命令:arp–s、网关IP、网关MAC。例如:假设计算机所处网段的网关为218.197.192.254,本机地址为218.197.192.1在计算机上运行arp–a后输出如下:C:DocumentsandSettings>arp-aInterface:218.197.192.1---0x2InternetAddressPhysicalAddressType218.197.192.25400-01-02-03-04-05dynamic其中00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址类型是动态(dynamic)的,因此是可被改变。被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC,如果大家希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找做准备。手工绑定的命令为:arp–s218.197.192.25400-01-02-03-04-05绑定完,可再用arp–a查看arp缓存,C:DocumentsandSettings>arp-aInterface:218.197.192.1---0x2InternetAddressPhysicalAddressType218.197.192.25400-01-02-03-04-05static这时,类型变为静态(static),就不会再受攻击影响了。
但是,需要说明的是,手工绑定在计算机关机重开机后就会失效,需要再绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,令其杀毒或从做系统方可解决。
找出病毒计算机的方法:
如果已有病毒计算机的MAC地址,可使用NBTSCAN或AntiARPSniffer软件找出网段内与该MAC地址对应的IP,即病毒计算机的IP地址,然后可报告校网络中心对其进行查封。NBTSCAN的使用方法:下载nbtscan.rar到硬盘后解压,然后将cygwin1.dll和nbtscan.exe两文件拷贝到c:windowssystem32(或system)下,进入MSDOS窗口就可以输入命令:nbtscan-r218.197.192.0/24(假设本机所处的网段是218.197.192,掩码是255.255.255.0;实际使用该命令时,应将斜体字部分改为正确的网段)。注:使用nbtscan时,有时因为有些计算机安装防火墙软件,nbtscan的输出不全,但在计算机的arp缓存中却能有所反应,所以使用nbtscan时,还可同时查看arp缓存,就能得到比较完全的网段内计算机IP与MAC的对应关系。
AntiARPSniffer使用说明
一、功能说明:使用AntiARPSniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包。
二、使用说明:
1、ARP欺骗:填入网关IP地址,点击[获取网关mac地址]将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。注意:如出现ARP欺骗提示,这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包,如果您想追踪攻击来源请记住攻击者的MAC地址,利用MAC地址扫描器可以找出IP对应的MAC地址。
2、IP地址冲突首先点击“恢复默认”然后点击“防护地址冲突”。如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数据包,才会出现IP冲突的警告,利用AntiARPSniffer可以防止此类攻击。首先您需要知道冲突的MAC地址,Windows会记录这些错误。查看具体方法如下:右击[我的电脑]-->[管理]-->点击[事件查看器]-->点击[系统]-->查看来源为[TcpIP]--->双击事件可以看到显示地址发生冲突,并记录了该MAC地址,请复制该MAC地址并填入AntiARPSniffer的本地MAC地址输入框中(请注意将:转换为-),输入完成之后点击[防护地址冲突],为了使MAC地址生效请禁用本地网卡然后再启用网卡,在CMD命令行中输入Ipconfig/all,查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符。如果成功将不再会显示地址冲突。注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。