|
|
 |
|
|
| 1. 悬赏500Gil:分析最近出现的一种ARP攻击网络病毒 |
  |
|
 |
|
HP : 250 / 1254
MP : 1625 / 21993
EXP : 16%
|
|
迟则生变
成员等级: 51
发表总数: 4877
金币总数: 308
所属组别: 管理员
注册日期: 2003/01/9
|
已经至少有3个不同的客户出现了这样的现象:某台机器的IP地址与网关冲突,可能导致网络间歇短暂中断。这种现象并非是由于错误配置造成的,而像是PC中了某种病毒/木马。在此悬赏500Gil请各位高手请留意捕捉,分析一下原因、找出最佳处理方法。
没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我,也为你
No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee.
|
|
|
|
| 2. Re: 悬赏500Gil:分析最近出现的一种网络病毒 |
|
|
 |
|
HP : 0 / 153
MP : 22 / 2541
EXP : 15%
|
|
江湖游侠
成员等级: 7
发表总数: 68
金币总数: 130
所属组别: 普通成员
注册日期: 2003/05/16
|
遇到过类似问题,当时是客户学校宿舍网段里有人用“局域网ip冲突攻击器”的黑软,也影响到了路由器网关,此软件利用ARP欺骗原理,可以伪造IP、MAC地址,进行IP冲突干扰。 当时解决方法是查到了攻击机器的IP、MAC、机器名与所在交换机端口等,在相应接入交换机上针对此机作了MAC与端口绑定,解决了问题。现在黑软里有种类似软件叫做“网络执法官”的好像更为历害,也属于此类ARP欺骗工具,但更为易用与强大。
我是一只站在岸上的鱼,不可能忘记曾经活在海里,曾经我活在你的生命里…… |
|
|
|
| 3. Re:悬赏500Gil:分析最近出现的一种网络病毒 |
|
|
 |
|
HP : 103 / 1033
MP : 956 / 16153
EXP : 33%
|
|
名动江湖
成员等级: 42
发表总数: 2868
金币总数: 1,178
所属组别: 核心成员
注册日期: 2003/09/4
|
我上周碰到了这种情况,一台C3750-48TS-E做的dhcp server,show log重复出现这样的报错:
1d20h: %IP-4-DUPADDR: Duplicate address xx.xx.xx.xx on Vlan113, sourced by 0010.5ce8.8e19
我通过mac查找到这台机器所在端口,更换了vlan仍然报与所在vlan网关地址冲突。
由于是在县公司出现这样的问题,不会做RSPAN所以没有用sniffer捕获数据包,所以要求那边维护人员将中毒机器
断网杀毒,使用Symantec AntiVirus无法查杀,换卡巴之后杀毒有效,接入网络后交换机没有再出现类似报错。
手头只有那边维护人员传过来的卡巴查杀的病毒历史记录抓图,没有sniffer的cap文件。
另外,当时搜索了一下,好象是说这种病毒只会影响4500以下的交换机,4500及以上的交换机有保护机制,怀疑
本部网络内也很可能有这种病毒,但是在6509上没有出现报错。
附上卡巴查出的病毒名称:
Trojan.Win32.Delf.kd
Trojan.Win32.Lmir.ars
Trojan.Win32.Agent.ue
Backdoor.Win32.Delf.adj
Trojan-Downloader.BAT.Ftp.ab
Trojan-Downloader.Win32.Delf.aet
Trojan-Dropper.Win32.Agent.acy
Trojan-Downloader.NSIS.Agent.r
由于是病毒原因造成的网络故障,偶觉得只能针对病毒本身下手,第一步还是要杀毒。
至于如何修改交换机配置提高抗病毒攻击能力,请朋友们提出方案,继续关注。 |
|
|
|
| 4. Re:悬赏500Gil:分析最近出现的一种网络病毒 |
|
|
 |
|
HP : 0 / 436
MP : 130 / 7624
EXP : 44%
|
|
名动江湖
成员等级: 18
发表总数: 392
金币总数: 894
所属组别: 中级成员
注册日期: 2003/01/14
|
用趋势的杀毒软件,是一种病毒,下载下面两个文件,解压缩拷贝到同一个目录中,在安全模式下杀毒
http://www.trendmicro.com/ftp/products/tsc...sc/sysclean.com
http://officescan-p.activeupdate.trendmicr...ttern/vsapi.zip (病毒库,解压缩)
现象:某一个VLAN出现部分机器无法上网
发现:1.用SHOW LOGGING查看,会看到某个MAC地址与三层网关冲突,假如没有LOG记录,可以现用IP APR ... LOG捆绑INTERNET出口网关地址,然后再看LOG。
2.用SHOW INT VLAN XX查看出现问题的VLAN网关MAC地址,然后在用SHOW IP ARP核对网关地址是否是这个MAC。
处理:当你获得了MAC地址,可以用SHOW MAC ......查找该MAC地址是在哪个端口,然后SHUT,最后杀毒,再NO SHUT,最好再用IP ACCESS-LIST屏蔽掉TCP1214端口
建议:最好建立LOG SERVER和NETFLOW SERVER,这将会很好的帮助管理人员提前知道问题所在。
防范:
CISCO需要中心交换机支持 Dynamic ARP inspection
http://www.cisco.com/en/US/products/hw/swi...008062cede.html
防火墙需要支持基于ARP攻击的防范,和原地址效验功能 |
|
|
|
| 5. Re:悬赏500Gil:分析最近出现的一种网络病毒 |
|
|
 |
|
HP : 0 / 516
MP : 184 / 9032
EXP : 64%
|
|
名动江湖
成员等级: 21
发表总数: 554
金币总数: 413
所属组别: 核心成员
注册日期: 2003/01/13
|
我单位最近也出现这个问题了,导致三层交换机间歇停顿!
 |
|
|
|
| 6. RE: 悬赏500Gil:分析最近出现的一种网络病毒 |
|
|
|
|
|
HP : 250 / 1254
MP : 1625 / 21993
EXP : 16%
|
|
迟则生变
成员等级: 51
发表总数: 4877
金币总数: 308
所属组别: 管理员
注册日期: 2003/01/9
|
能给出这种病毒的名称/资料吗?
没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我,也为你
No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee.
|
|
|
|
| 7. RE: 悬赏500Gil:分析最近出现的一种网络病毒 |
|
|
|
|
|
HP : 0 / 412
MP : 117 / 6483
EXP : 51%
|
|
名动江湖
成员等级: 17
发表总数: 352
金币总数: 714
所属组别: 中级成员
注册日期: 2003/08/25
|
| QUOTE | 我上周碰到了这种情况,一台C3750-48TS-E做的dhcp server,show log重复出现这样的报错:
1d20h: %IP-4-DUPADDR: Duplicate address xx.xx.xx.xx on Vlan113, sourced by 0010.5ce8.8e19
我通过mac查找到这台机器所在端口,更换了vlan仍然报与所在vlan网关地址冲突。
由于是在县公司出现这样的问题,不会做RSPAN所以没有用sniffer捕获数据包,所以要求那边维护人员将中毒机器
断网杀毒,使用Symantec AntiVirus无法查杀,换卡巴之后杀毒有效,接入网络后交换机没有再出现类似报错。
手头只有那边维护人员传过来的卡巴查杀的病毒历史记录抓图,没有sniffer的cap文件。
另外,当时搜索了一下,好象是说这种病毒只会影响4500以下的交换机,4500及以上的交换机有保护机制,怀疑
本部网络内也很可能有这种病毒,但是在6509上没有出现报错。
附上卡巴查出的病毒名称:
Trojan.Win32.Delf.kd
Trojan.Win32.Lmir.ars
Trojan.Win32.Agent.ue
Backdoor.Win32.Delf.adj
Trojan-Downloader.BAT.Ftp.ab
Trojan-Downloader.Win32.Delf.aet
Trojan-Dropper.Win32.Agent.acy
Trojan-Downloader.NSIS.Agent.r
由于是病毒原因造成的网络故障,偶觉得只能针对病毒本身下手,第一步还是要杀毒。
至于如何修改交换机配置提高抗病毒攻击能力,请朋友们提出方案,继续关注。 |
在我单位查出来确实如此,其实2006年2月8日的电信的通告预告过这种《传奇》盗号器的问题。
symantec 可以用全盘扫描发山和删除,但是即时文件保护没有作用。
附件是全盘扫描时候发现的:
附带图片
|
|
|
|
| 8. Re: 悬赏500Gil:分析最近出现的一种网络病毒 |
|
|
|
|
|
HP : 0 / 412
MP : 117 / 6483
EXP : 51%
|
|
名动江湖
成员等级: 17
发表总数: 352
金币总数: 714
所属组别: 中级成员
注册日期: 2003/08/25
|
当时针对这个写了报告,写得太滥就不贴了。电信的公告解决方案很彻底,用arp 静态指定网关静态mac 解决。在我公司 65 上进行了各个主机 arp -arpa 绑定,所以影响只是一个没有管理的三产网段(这个中毒机器本身正好也在这个网段)。
主要工作,就是把中病毒的机器隔离开来,架了一个试验网段进行测试。抓包图如下:
附带图片
附带图片
|
|
|
|
| 9. Re:悬赏500Gil:分析最近出现的一种网络病毒 |
|
|
|
|
|
HP : 0 / 436
MP : 130 / 7624
EXP : 44%
|
|
名动江湖
成员等级: 18
发表总数: 392
金币总数: 894
所属组别: 中级成员
注册日期: 2003/01/14
|
趋势把这个病毒称做BKDR_NPFECT.A
具体介绍
http://www.trendmicro.com/vinfo/zh-cn/viru...e=BKDR_NPFECT.A |
|
|
|
| 10. Re:悬赏500Gil:分析最近出现的一种网络病毒 |
|
|
|
|
|
HP : 250 / 1254
MP : 1625 / 21993
EXP : 16%
|
|
迟则生变
成员等级: 51
发表总数: 4877
金币总数: 308
所属组别: 管理员
注册日期: 2003/01/9
|
虽然我碰到的现象不能确定是以上所说的哪一个病毒,但是我想几位给出的答案已经足够处理好这个问题了。
判断arp攻击的办法:
show arp ...是否有多个IP对应同一个MAC地址。
show log ... 是否有较多的1d20h: %IP-4-DUPADDR: Duplicate address xx.xx.xx.xx on Vlan113, sourced by 0010.5ce8.8e19信息。
处理思路:检查这个mac地址所对应的机器。
感谢各位。
奖金瓜分:
jianghb 300
abracadabra 300
happydj 200
没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我,也为你
No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee.
|
|
|
|
| 11. Re:悬赏500Gil:分析最近出现的一种ARP攻击网络病毒 |
|
|
 |
|
HP : 0 / 129
MP : 18 / 1582
EXP : 19%
|
|
拜师学艺
成员等级: 6
发表总数: 54
金币总数: 66
所属组别: 普通成员
注册日期: 2004/11/8
|
麦子大大,你的客户是公安客户吗?如果是的话,就有可能是里面的“防一机两用”的系统在作怪了。
去年我也遇到过这种情况,现象跟你描述得相似,都是ARP欺骗攻击,导致无法进行网络访问的。在PC上看ARP表
IP地址都是指向同一个MAC地址的,跟中ARP攻击的病毒现象很类似的,这个就是跟那套系统的阻断功能有关的。
不过不知道是否这问题导致的,如果病毒的就很大可能是上面说的那种传奇盗号的病毒产生的。 
Lekong Wen!
I HOPE EVERYTHING GOES WELL!!! 努力!努力! |
|
|
|
| 12. Re:悬赏500Gil:分析最近出现的一种ARP攻击网络病毒 |
|
|
|
|
|
HP : 0 / 412
MP : 117 / 6483
EXP : 51%
|
|
名动江湖
成员等级: 17
发表总数: 352
金币总数: 714
所属组别: 中级成员
注册日期: 2003/08/25
|
1d20h: %IP-4-DUPADDR: Duplicate address xx.xx.xx.xx on Vlan113, sourced by 0010.5ce8.8e19
这个地址往往对应一个网关。 |
|
|
|
| 13. Re:悬赏500Gil:分析最近出现的一种ARP攻击网络病毒 |
|
|
 |
|
HP : 242 / 1210
MP : 1471 / 21206
EXP : 41%
|
|
Administrator
成员等级: 49
发表总数: 4413
金币总数: 616
所属组别: 管理员
注册日期: 2003/01/10
|
刚才跟freefire讨论了一下,刚才的测试情况如下:
如果只更改主机本地的arp缓存表,不影响访问。比如更改了网关的mac地址,,更改了打印服务器的mac地址,访问照常。
改动前的arp缓存表见表一:其中192.168.1.1的地址为网关。
改动后的arp缓存表见表二:
表一:
C:\Documents and Settings\admin>arp -a
Interface: 192.168.1.5 --- 0x10003
Internet Address Physical Address Type
网关地址 192.168.1.1 00-05-5d-0f-d6-51 dynamic
192.168.1.60 00-80-c8-eb-96-57 dynamic
打印服务器地址 192.168.1.200 00-e0-18-23-49-61 dynamic
表二:
C:\Documents and Settings\admin>arp -a
Interface: 192.168.1.5 --- 0x10003
Internet Address Physical Address Type
192.168.1.1 00-e0-18-23-49-61 static
192.168.1.60 00-e0-18-23-49-61 static
192.168.1.200 00-e0-18-23-49-61 dynamic
结论似乎是:进行arp欺骗应该是对交换机进行欺骗。通过从主机发送伪造的mac/ip地址信息,让交换机进行学习,达到欺骗的目的。
 努力传递美好和希望--NBO
One ought, every day at least, to hear a little song, read a good poem, see a fine picture, and if it were possible, to speak a few reasonable words. –Goethe |
|
|
|
| 14. Re:悬赏500Gil:分析最近出现的一种ARP攻击网络病毒 |
|
|
|
|
|
HP : 250 / 1254
MP : 1625 / 21993
EXP : 16%
|
|
迟则生变
成员等级: 51
发表总数: 4877
金币总数: 308
所属组别: 管理员
注册日期: 2003/01/9
|
不是公安客户。
我认为病毒可能试图实施“man-in-middle”攻击,即通过伪造的ARP将用户流量引导到感染了病毒的主机以便它可以从中嗅探到敏感信息。
没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我,也为你
No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee.
|
|
|
|
| 15. Re:悬赏500Gil:分析最近出现的一种ARP攻击网络病毒 |
|
|
 |
|
HP : 88 / 885
MP : 641 / 13135
EXP : 42%
|
|
流浪的小孩
成员等级: 36
发表总数: 1924
金币总数: 101
所属组别: 核心成员
注册日期: 2003/12/12
|
我和晨星做的实验结果不太一样。
一个简单的以太交换环境,3台机器A:192.168.0.152 B:192.168.0.2 C:192.168.0.3
在主机A上Ping两台机器均正常,ARP表如下
C:\Documents and Settings\Administrator>arp -a
Interface: 192.168.0.152 --- 0x2 Internet Address Physical Address Type
192.168.0.2 00-13-72-0e-44-38 dynamic
192.168.0.3 00-13-72-0d-95-b8 dynamic
192.168.0.254 00-0a-eb-b8-dd-04 dynamic
修改ARP表
arp -s 192.168.0.2 00-13-72-0d-95-b8
C:\Documents and Settings\Administrator>arp -a
Interface: 192.168.0.152 --- 0x2 Internet Address Physical Address Type
192.168.0.2 00-13-72-0d-95-b8 static
192.168.0.3 00-13-72-0d-95-b8 dynamic
192.168.0.254 00-0a-eb-b8-dd-04 dynamic
B和C的MAC地址一致了,分别在B和C上设置好捕捉来自 A数据包;在A上PingB机器,无法Ping通,观察数据包的情况。
在B上没有来自A的ICMP的数据包,但在C上有来自A的ICMP包4个。包的原地址来自A目的地址是B,由此现象可以证明修改ARP表是有作用的.
为人民服务! |
|
|
|
| 16. Re:悬赏500Gil:分析最近出现的一种ARP攻击网络病毒 |
|
