找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 3443|回复: 9

[其它] 特别的ARP病毒一次歼灭战

[复制链接]
发表于 2006-7-13 16:06:17 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
正在上网时,突然被网管告之,电影服务器打不开了。就在本机试了一下,第一次可以打开,第2次就打不开了,怀疑是ARP攻击。
查了一下ARP,没看出什么异常(实际上电影服务器的MAC地址已经被改了,平时也没记电影服务器的MAC地址,所以没看出来)。
到监控机上用ARPKiller,没查到异常,再用SnifferPro查流量,也没查到什么问题。正在一筹莫展的时候,再回到本机查看ARP时,呵呵,问题出来了。

多了2个MAC地址

10.0.22.3       11-22-33-44-55-66
192.168.1.25  00-0a-eb-9e-50-b1

11-22-33-44-55-66 应该是25号机伪造的,我用的是双IP,一个网卡上用2个IP地址。所以192.168.1.25也被拔出萝卜带出泥,一起被查出了。跑到25号机上,叫他重起一下电脑,问题解决。

**:这个ARP病毒很特别,3个服务器(电影,游戏,监控),都被改了,而且改的MAC地址都不一样,就象正常的一样,这就是我一开始没发现问题的原因。25号机的IP,MAC都被改了,如果不是看到192.168.1.25,根本就找不到是那一台机器,也就解决不了问题,这个病毒实在是厉害。
routeros
 楼主| 发表于 2006-7-13 16:09:34 | 显示全部楼层
有谁知道,如果IP,MAC都改了,用什么方法可以查到那一台机器。
routeros
回复

使用道具 举报

发表于 2006-7-13 17:08:37 | 显示全部楼层
原帖由 webjump 于 2006-7-13 16:09 发表
有谁知道,如果IP,MAC都改了,用什么方法可以查到那一台机器。

人工智能
routeros
回复

使用道具 举报

发表于 2006-7-13 20:02:12 | 显示全部楼层
呵呵,用无线网可以查,用一个无线ap和一个tp的WA200无线ap让wa200工作在ap client的模式下,当无线网卡使用。它有个特点,会把所有经过他的上行的数据包mac改成它的mac这样就不会出现假的,可以用来测试。还有无线ap如果启用mac过滤,就算用无线网卡发假的数据包,ap也不会转发。还有无线网卡的驱动和平时的网卡有些不一样,qq第六感用普通的网卡发的包是假mac,但是我用tp的321G无线网卡它发出来的就是真的mac,所以用来测试还是可以的
routeros
回复

使用道具 举报

发表于 2006-7-13 21:55:41 | 显示全部楼层
原帖由 webjump 于 2006-7-13 16:09 发表
有谁知道,如果IP,MAC都改了,用什么方法可以查到那一台机器。


所有机器的mac做好记录。
routeros
回复

使用道具 举报

 楼主| 发表于 2006-7-14 14:53:49 | 显示全部楼层
机器MAC地址都做好记录的,关键是它把MAC地址都改成11-22-33-44-55-66了,怎么才能从网络中找到这台机器。
routeros
回复

使用道具 举报

发表于 2006-7-14 20:38:37 | 显示全部楼层
想知道怎么查 顶上去
routeros
回复

使用道具 举报

发表于 2006-7-15 11:46:52 | 显示全部楼层

如果交换机是网管交换机可以查看各个接口的MAC地址表

如果交换机是网管交换机可以查看各个接口的MAC地址表
routeros
回复

使用道具 举报

发表于 2006-7-15 12:53:30 | 显示全部楼层
改成PPPOE拨号!
routeros
回复

使用道具 举报

 楼主| 发表于 2006-7-15 16:38:15 | 显示全部楼层
原帖由 专卖精品 于 2006-7-15 12:53 发表
改成PPPOE拨号!


PPPOE拨号是解决网关ARP欺骗的方法,这个病毒把内网的几台服务器的MAC都欺骗了。
除非你没有内网网段,所有的连接都通过PPPOE拨号连接,你是这样做的吗?
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-11-5 21:53 , Processed in 0.075221 second(s), 4 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表