芝麻 发表于 2008-3-18 13:03:29

给饱受ARP欺骗病毒之苦的管理员一个解脱

基本原理:在各VLAN找台公用机运行ARP病毒“探针”,发现问题后自动把中毒机器的MAC地址写入服务器的共享目录;网管员机器利用脚本配合计划任务定时检查服务器的共享目录,如果发现有病毒记录则立刻在网管员机器弹出窗口报警。
    探针端程序arpvirus.bat如下:
@echo off
rem ping一次网关,使ARP缓存中有网关MAC记录
ping 192.168.108.254 -n 1
rem 网关MAC为00-0f-e2-45-8d-8D,根据你的实际修改
arp -a | find "00-0f-e2-45-8d-8D"

rem errorlevel为1表示未找到正确的网关MAC,即中毒
if errorlevel==1 goto bindarp
:end
exit

:bindarp
rem 中毒机器MAC暂时写入arpvirus.txt
arp -a | find ".254" >> arpvirus.txt

rem 清除假网关MAC,静态绑定正确的网关
arp -d
ipconfig /all>ipconfig.txt
for /f "tokens=13" %%I in ('find "Default Gateway" ipconfig.txt') do set GatewayIP=%%I
ping %GatewayIP% -n 1
arp -a|find "%GatewayIP%">arp.txt
for /f "tokens=1,2" %%I in ('find "%GatewayIP%" arp.txt') do if %%I==%GatewayIP% arp -s %%I %%J
for /f "tokens=15" %%i in ('find "IP Address" ipconfig.txt') do set ip=%%i
for /f "tokens=12" %%i in ('find "Physical Address" ipconfig.txt') do set mac=%%i
arp -s %ip% %mac%
del ipconfig.txt
del arp.txt

rem 把arpvirus.txt添加到\\server2\share\arpvirus.txt,用户名和密码都是aa
net use h: \\server2\share /user:aa "aa"
type arpvirus.txt >>h:arpvirus.txt
del arpvirus.txt
net use h: /d
exit
   探针端计划任务设置略,请注意要让任务每隔15分钟运行一遍。

    网管员端程序arpcheck.bat如下:
@echo off
rem 以指定用户和密码连接到服务器共享目录
net use j: \\server2\share /user:aa "aa"
rem 如果存在有arpvirus.txt表示有机器中毒,启动notepad.exe并打开
if exist j:arpvirus.txt start notepad.exe j:arpvirus.txt
rem 删除病毒记录
if exist j:arpvirus.txt del j:arpvirus.txt
net use j: /d
exit
    注:版权所有,欢迎转载,但要注明作者与出处。

芝麻 发表于 2008-3-20 10:59:23

没人顶?让了这么久沙发就是没人坐?
其实这两段批处理结合计划任务还是很管用的,可以实现ARP欺骗第一时间报警.我也在用.

梅花k 发表于 2008-3-26 11:41:40

谢谢分享

pxyyzml 发表于 2008-3-26 15:59:29

网吧专用软件路由
MSS3.59VPN
软件种子下载
http://msspj.ys168.com
注册费用 150元/套
先注册后付款

大家可以下载试用一下,如果效果好就装,不好删除!

注册联系QQ:710062554 电话:13944151726

zxhtjl 发表于 2008-3-26 19:55:21

这么好的东西怎么没有人顶呢,我来了,顶啊,顶上天

cityhonghu 发表于 2008-4-5 14:54:58

疑问?(菜鸟疑问,请不要抛砖)

如果ARP表为
192.168.108.3               00-0f-e2-45-8d-8D (ip为内网某一IP)
192.168.108.254          xx-xx-xx-xx-xx-xx (MAC为非网关MAC)

你的方法行得通吗?

芝麻 发表于 2008-4-7 15:57:18

第一个ARP表项,理论上这段脚本确实是存在这样的漏洞.即随意冒充一个IP的MAC而不是网关的MAC.脚本将检测不到VLAN中存在ARP欺骗.但首先是病毒会不会这样做,因为冒充一个不是网关的IP,流量没有经过自己就无法进行密码破解.
第二个ARP表项,这段脚本默认是保护IP为:x.x.x.254的网关,如果中了ARP欺骗病毒,中毒机器会临时充当网关,这时VLAN中的机器还是可以访问真正的网关的,只不过中间加了一层,因此我的脚本检测到中毒后立刻用arp -d删除虚假网关MAC,然后绑定正确的网关MAC,然后再向服务器共享目录写入中毒信息.
这段脚本并不能保护VLAN中的各客户机,但如果把ARP欺骗的源头找出来了,客户机保护与否意义不大.

[ 本帖最后由 芝麻 于 2008-4-7 18:37 编辑 ]

loligogo 发表于 2008-5-7 01:48:05

这帖子有道理

但凡有道理地帖子,那是一定要顶的,呵呵




We provide cheap wow power leveling and wow leveling.Also buy eve isk and wow leveling from here.Get to wow leveling work now.

yagamixp 发表于 2008-5-22 22:43:47

Windows IP Configuration



      Host Name . . . . . . . . . . . . : computer01

      Primary Dns Suffix. . . . . . . :

      Node Type . . . . . . . . . . . . : Unknown

      IP Routing Enabled. . . . . . . . : No

      WINS Proxy Enabled. . . . . . . . : No

      DNS Suffix Search List. . . . . . : domain



Ethernet adapter 本地连接:



      Connection-specific DNS Suffix. : domain

      Description . . . . . . . . . . . : Realtek RTL8139/810x Family Fast Ethernet NIC

      Physical Address. . . . . . . . . : 00-E0-FF-FF-1A-CD

      Dhcp Enabled. . . . . . . . . . . : Yes

      Autoconfiguration Enabled . . . . : Yes

      IP Address. . . . . . . . . . . . : 192.168.1.103

      Subnet Mask . . . . . . . . . . . : 255.255.255.0

      IP Address. . . . . . . . . . . . : fe81::2e0:ffff:feff:1acd%4

      Default Gateway . . . . . . . . . : 192.168.1.1

      DHCP Server . . . . . . . . . . . : 192.168.1.1

      DNS Servers . . . . . . . . . . . : 218.85.157.99

                                          192.168.1.1

                                          202.101.98.55

                                          fec0:0:0:ffff::1%1

                                          fec0:0:0:ffff::2%1

                                          fec0:0:0:ffff::3%1

      Lease Obtained. . . . . . . . . . : 2008年5月22日 22:42:42

      Lease Expires . . . . . . . . . . : 2008年5月23日 0:42:42



Tunnel adapter Teredo Tunneling Pseudo-Interface:



      Connection-specific DNS Suffix. :

      Description . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface

      Physical Address. . . . . . . . . : FF-FF-FF-FF-FF-FF-FF-FF

      Dhcp Enabled. . . . . . . . . . . : No

      IP Address. . . . . . . . . . . . : fe81::ffff:ffff:fffd%5

      Default Gateway . . . . . . . . . :

      NetBIOS over Tcpip. . . . . . . . : Disabled



Tunnel adapter Automatic Tunneling Pseudo-Interface:



      Connection-specific DNS Suffix. : domain

      Description . . . . . . . . . . . : Automatic Tunneling Pseudo-Interface

      Physical Address. . . . . . . . . : C0-A8-01-67

      Dhcp Enabled. . . . . . . . . . . : No

      IP Address. . . . . . . . . . . . : fe81::5efe:192.168.1.103%2

      Default Gateway . . . . . . . . . :

      DNS Servers . . . . . . . . . . . : fec0:0:0:ffff::1%1

                                          fec0:0:0:ffff::2%1

                                          fec0:0:0:ffff::3%1

      NetBIOS over Tcpip. . . . . . . . : Disabled





这个好像有点问题是:这样的结果是有三个GatewayIP

芝麻 发表于 2008-5-27 16:14:04

回楼上的:把"探针"端多余的网卡禁用,另外注意:发现病毒并采取措施后要把"探针"端的ARP缓存清空(因为已经静态绑定了正确的网关地址),否则再出现ARP欺骗病毒就监测不了了.
页: [1]
查看完整版本: 给饱受ARP欺骗病毒之苦的管理员一个解脱