mickeyz 发表于 2005-2-7 21:55:30

传奇杀手是一款对局域网进行ARP欺骗,虚拟网关地址,以收集局域网中传奇游戏登陆信息并进行分析从而得到用户信息的破坏性软件.工作流程:  首先,将本机MAC通过arp欺骗广播至局域网,使局域网中的工作站误认为本机是网关.该流程会造成局域网与internet连接中断,使游戏与服务器断开链接.待用户重新启动游戏并进行帐号登陆时,帐户信息并不会直接通过网关上传到代理服务器,而是上传到正在进行arp欺骗的传奇杀手软件中.通过传奇杀手自身的解密手段,会获得该帐户的真实用户名及密码.从而达到窃取玩家帐号的目的.发作状况:  局域网与internet链接速度突然变慢甚至断开.网络游戏断开链接,且重新登陆后提示服务器无相应.故障排除:  在局域网中受影响的客户机上执行arp -a,在回溃信息中会发现重复mac地址.该mac地址对应的即为使用传奇杀手的计算机.而重复的地址就是被arp欺骗后的网关地址.此时可根据mac地址前的ip地址查找该计算机并采取有效手段关闭程序.如果在运行该程序前,该机IP地址已经被更改,则需通过对应的MAC列表查找该物理网卡所存在的计算机.(由此可见,备份一张详细的局域网mac地址列表有多重要)预防措施:  如工作站采用xp/2k3操作系统,可逐台执行"arp -s 网关ip 网关mac"来绑定网关的IP地址.很遗憾,由于win2k/98及更低档次的操作系统中,arp防护功能并不完善,所以在大部分网吧,该程序并没有方便且经济的方法来预防.  1.在网关上生成mac列表,并设置网关上内网网卡防止ARP欺骗.  2.使用具有IP-MAC绑定功能的智能交换机,绑定网关IP-MAC.  3.启用有效的游戏保护软件,在游戏启动前检测网关mac地址,如有异常,即提醒客户并在服务器发出警告信息.友情提示:  由于数据解密方式限制,目前此类软件只能针对热血传奇游戏进行破坏.但此类软件既然已经出现,就很有可能衍生出针对其他网络游戏的其他版本.届时对网吧中网络游戏玩家的危害性会更加巨大.请提前做好相应的预防工作.转自 中国网吧技术联盟论坛 suqunmu帖子!

myxldl 发表于 2005-2-11 21:49:03

好,应多多注意!
页: [1]
查看完整版本: 病毒木马对局域网进行ARP欺骗攻击!