| 前言:今年算是ARP和LOGO1病毒對網吧的危害最大,在前期我們一般採用雙向梆定的方法即可解決 但是ARP變種 出現日期大概在10月份,大家也許還在為網關掉線還以為是電信的問題還煩惱吧,其實不然 變種過程ARP病毒-變種OK病毒-變種TrojanDropper.Win32.Juntador.f或TrojanDropper.Win32.Juntador.C 現在的這個ARP變種病毒更是厲害,我把自己遇到過的情況說給大家聽聽,如果大家有這些情況,不好意思“恭喜你” 你中大獎了,呵呵~~ 病毒發作情況:現在的ARP變種 不是攻擊客戶機的MAC地址攻擊路由內網網關,改變了它的原理,這點實在佩服 直接攻擊您的路由的什麼地址你知道嗎?哈哈~~猜猜吧~~不賣關了~~新的變種ARP直接攻擊您路由的MAC地址和外網網關 而且直接就把綁定IP與MAC的批次檔禁用了。一會兒全掉線,一會兒是幾台幾台的掉線。而且 中了ARP的電腦會把那台電腦轉變成內網的Proxy 伺服器進行盜號和發動攻擊。如果大家發現中了ARP沒有掉線,那說明你 中了最新的變種,你只要重啟了那台中了ARP病毒的電腦,那麼受到ARP攻擊的機子就會全部掉線 內網的網關不掉包,而外網的IP和DNS狂掉,這點也是ARP變種的出現的情況,請大家留意。 我在最後會公布解決的案例和相關補丁,請大家看完全文可能對你有協助哦,不要急著下~呵呵~ 該病毒發作時候的特徵為,中毒的機器會偽造某台電腦的MAC地址,如該偽造地址為閘道伺服器的地址,那麼對整個網吧均會造成影響,使用者表現為上網經常瞬斷。
一、在任意客戶機上進入命令提示字元(或MS-DOS方式),用arp –a命令查看:
C:\WINNT\system32>arp -a
Interface: 192.168.0.193 on Interface 0x1000003
Internet Address Physical Address Type
192.168.0.1 00-50-da-8a-62-2c dynamic
192.168.0.23 00-11-2f-43-81-8b dynamic
192.168.0.24 00-50-da-8a-62-2c dynamic
192.168.0.25 00-05-5d-ff-a8-87 dynamic
192.168.0.200 00-50-ba-fa-59-fe dynamic
可以看到有兩個機器的MAC地址相同,那麼實際檢查結果為 00-50-da-8a-62-2c為192.168.0.24的MAC地址,192.168.0.1的實際MAC地址為00-02-ba-0b-04-32,我們可以判定192.168.0.24實際上為有病毒的機器,它偽造了192.168.0.1的MAC地址。
二、在192.168.0.24上進入命令提示字元(或MS-DOS方式),用arp –a命令查看:
C:\WINNT\system32>arp -a
Interface: 192.168.0.24 on Interface 0x1000003
Internet Address Physical Address Type
192.168.0.1 00-02-ba-0b-04-32 dynamic
192.168.0.23 00-11-2f-43-81-8b dynamic
192.168.0.25 00-05-5d-ff-a8-87 dynamic
192.168.0.193 00-11-2f-b2-9d-17 dynamic
192.168.0.200 00-50-ba-fa-59-fe dynamic
可以看到帶病毒的機器上顯示的MAC地址是正確的,而且該機運行速度緩慢,應該為所有流量在二層通過該機進行轉寄而導致,該機重啟後網吧內所有電腦都不能上網,只有等arp重新整理MAC地址後才正常,一般在2、3分鐘左右。
三、如果主機可以進入dos視窗,用arp –a命令可以看到類似下面的現象:
C:\WINNT\system32>arp -a
Interface: 192.168.0.1 on Interface 0x1000004
Internet Address Physical Address Type
192.168.0.23 00-50-da-8a-62-2c dynamic
192.168.0.24 00-50-da-8a-62-2c dynamic
192.168.0.25 00-50-da-8a-62-2c dynamic
192.168.0.193 00-50-da-8a-62-2c dynamic
192.168.0.200 00-50-da-8a-62-2c dynamic
該病毒不發作的時候,在Proxy 伺服器上看到的地址情況如下:
C:\WINNT\system32>arp -a
Interface: 192.168.0.1 on Interface 0x1000004
Internet Address Physical Address Type
192.168.0.23 00-11-2f-43-81-8b dynamic
192.168.0.24 00-50-da-8a-62-2c dynamic
192.168.0.25 00-05-5d-ff-a8-87 dynamic
192.168.0.193 00-11-2f-b2-9d-17 dynamic
192.168.0.200 00-50-ba-fa-59-fe dynamic
病毒發作的時候,可以看到所有的ip地址的mac地址被修改為00-50-da-8a-62-2c,正常的時候可以看到MAC地址均不會相同。
成功就是潛意識的等待-學無止境!至弱即為至強 一步一步按步驟操作 解決辦法一:
一、採用客戶機及閘道伺服器上進行靜態ARP綁定的辦法來解決。
1. 在所有的用戶端機器上做閘道伺服器的ARP靜態繫結。
首先在閘道伺服器(代理主機)的電腦上查看本機MAC地址
C:\WINNT\system32>ipconfig /all
Ethernet adapter 本地串連 2:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel? PRO/100B PCI Adapter (TX)
Physical Address. . . . . . . . . : 00-02-ba-0b-04-32
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.1
Subnet Mask . . . . . . . . . . . : 255.255.255.0
然後在客戶機器的DOS命令下做ARP的靜態繫結
C:\WINNT\system32>arp –s 192.168.0.1 00-02-ba-0b-04-32
注:如有條件,建議在客戶機上做所有其他客戶機的IP和MAC地址綁定。
2. 在閘道伺服器(代理主機)的電腦上做客戶機器的ARP靜態繫結
首先在所有的用戶端機器上查看IP和MAC地址,命令如上。
然後在代理主機上做所有用戶端伺服器的ARP靜態繫結。如:
C:\winnt\system32> arp –s 192.168.0.23 00-11-2f-43-81-8b
C:\winnt\system32> arp –s 192.168.0.24 00-50-da-8a-62-2c
C:\winnt\system32> arp –s 192.168.0.25 00-05-5d-ff-a8-87
。。。。。。。。。
3. 以上ARP的靜態繫結最後做成一個windows自開機檔案,讓電腦一啟動就執行以上操作,保證配置不丟失。
二、有條件的網吧可以在交換器內進行IP地址與MAC地址綁定
三、IP和MAC進行綁定後,更換網卡需要重新綁定,因此建議在客戶機安裝殺毒軟體來解決此類問題:該網吧發現的病毒是變速齒輪2.04B中帶的,病毒程式在 http://www.wgwang.com/list/3007.html 可下載到: 解決方案二:
1:在網關路由上對客戶機使用靜態MAC綁定。ROUTE OS軟路由的使用者可以參照相關教程,或是在IP--->ARP列表中一一選中對應項目單擊右鍵選擇“MAKE STATIC”命令,建立靜態對應項。
用防火牆封堵常見病毒連接埠:134-139,445,500,6677,5800,5900,593,1025,1026,2745,3127,6129 以及P2P下載
2:在客戶機上進行網關IP及其MAC靜態繫結,並修改匯入如下註冊表:
(A)禁止ICMP重新導向報文
ICMP的重新導向報文控制著Windows是否會改變路由表從而響應網路裝置發送給它的ICMP重新導向訊息,這樣雖然方便了使用者,但是有時也會被他人利用來進行網路攻擊,這對於一個電腦網路系統管理員來說是一件非常麻煩的事情。通過修改註冊表可禁止響應ICMP的重新導向報文,從而使網路更為安全。
修改的方法是:開啟登錄編輯程式,找到或建立“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters”分支,在右側視窗中將子鍵“EnableICMPRedirects”(REG_DWORD型)的值修改為0(0為禁止ICMP的重新導向報文)即可。
(B)禁止響應ICMP路由通告報文
“ICMP路由公告”功能可以使他人的電腦的網路連接異常、資料被竊聽、電腦被用於流量攻擊等,因此建議關閉響應ICMP路由通告報文。
修改的方法是:開啟登錄編輯程式,找到或建立“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters\Interfaces”分支,在右側視窗中將子鍵“PerformRouterDiscovery” REG_DWORD型的值修改為0(0為禁止響應ICMP路由通告報文,2為允許響應ICMP路由通告報文)。修改完成後退出登錄編輯程式,重新啟動電腦即可。
(C)設定arp快取老化時間設定
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒數,預設值為120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒數,預設值為600)
說明:如果ArpCacheLife大於或等於ArpCacheMinReferencedLife,則引用或未引用的ARP
快取項目在ArpCacheLife秒後到期.如果ArpCacheLife小於ArpCacheMinReferencedLife,
未引用項在ArpCacheLife秒後到期,而引用項在ArpCacheMinReferencedLife秒後到期.
每次將出站資料包發送到項的IP地址時,就會引用ARP緩衝中的項。
曾經看見有人說過,只要保持IP-MAC緩衝不被更新,就可以保持正確的ARP協議運行。關於此點,我想可不可以通過,修改註冊表相關索引值達到:
預設情況下ARP緩衝的逾時時限是兩分鐘,你可以在註冊表中進行修改。可以修改的索引值有兩個,都位於
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
修改的索引值:
索引值1:ArpCacheLife,類型為Dword,單位為秒,預設值為120
索引值2:ArpCacheMinReferencedLife,類型為Dword,單位為秒,預設值為600
注意:這些索引值預設是不存在的,如果你想修改,必須自行建立;修改後重啟電腦後生效。
如果ArpCacheLife的值比ArpCacheMinReferencedLife的值大,那麼ARP緩衝的逾時時間設定為ArpCacheLife的值;如果ArpCacheLife的值不存在或者比ArpCacheMinReferencedLife的值小,那麼對於未使用的ARP緩衝,逾時時間設定為120秒;對於正在使用的ARP緩衝,逾時時間則設定為ArpCacheMinReferencedLife的值。
我們也許可以將上述索引值設定為非常大,不被強制更新ARP緩衝。為了防止病毒自己修改註冊表,可以對註冊表加以限制。
對於小網吧,只要事先在沒遇到ARP攻擊前,通過任意一個IP-MAC地址查看工具,紀錄所有機器的正確IP-MAC地址。等到受到攻擊可以查看哪台機器出現問題,然後通常是暴力解決,問題也許不是很嚴重。但是對於內網電腦數量過大,每台機器都幫定所有IP-MAC地址,工作量非常巨大,必須通過專門軟體執行。 解決辦法三: 刪除system32\npptools.dll,我維護的網吧那裡刪除了一個月了,從來沒中過ARP病毒,也無任何不良反映,ARP病毒缺少了npptools.dll這個檔案根本不能運行,目前所發現的ARP病毒通通提示npptools.dll出錯,無法運行 暫時還沒發現可以自動產生npptools.dll的病毒,npptools.dll本身就40多K,病毒如果還要產生自己的運行庫的話,不是幾十K的大小就可以辦到的,再大一些的就不是病毒了 當然,還是要做ARP -S綁定,只綁定本機自身跟路由即可,可以在“一定程度上”減少ARP程式的破壞 刪除不了同志,麻煩您先關閉檔案保護,最簡單的方法就是用XPLITE來關閉,網上一搜一大把的 另外再次聲明,這個方法只對ARP病毒生效,對惡意軟體只是小部分有效 特別提醒一點:不要忘記了梆定外網網關和MAC,下面我舉個例子吧 IP:10.10.10.10 子網路遮罩:255.255.255.255 網關:10.10.10.9[一定要綁定這個網關地址和MAC] DNS:222.222.222.222 備用DNS:222.222.221.221 個人推薦安全工具及補丁: 個人認為這點TP-LINK480T的路由做的非常好,具體請看本站的對於TP-LINK480T的路由介紹 小網吧使用TP-LINK480T的請升級最新版本,本站有下載 使用思科和華為的請綁定網關地址和MAC |
