熱點推薦:
您現在的位置: 電腦學習網 >> 網絡技術 >> 正文

如何查找ARP根源

2013-09-12 15:54:03  來源: 網絡技術 
  局域網內的所有主機上網時斷時續,十有八九是ARP病毒在作祟,例如前段時間猖狂作案的“熊貓燒香”病毒就是一個ARP病毒。我們處理這樣的情況時,第一步首先要找出感染病毒的主機,然后將其從網絡中斷開,消除對網內其他機器的影響后,然后再慢慢收拾病毒。www.sq120.com推薦文章

第一招:使用Sniffer抓包

  在網絡內任意一臺主機上運行抓包軟件,捕獲所有到達本機的數據包。如果發現有某個IP不斷發送ARP Request請求包,那么這臺電腦一般就是病毒源。
  原理:無論何種ARP病毒變種,行為方式有兩種,一是欺騙網關,二是欺騙網內的所有主機。最終的結果是,在網關的ARP緩存表中,網內所有活動主機的MAC地址均為中毒主機的MAC地址;網內所有主機的ARP緩存表中,網關的MAC地址也成為中毒主機的MAC地址。前者保證了從網關到網內主機的數據包被發到中毒主機,后者相反,使得主機發往網關的數據包均被發送到中毒主機。
第二招:使用arp –a命令
  任意選兩臺不能上網的主機,在DOS命令窗口下運行arp –a命令。例如在結果中,兩臺電腦除了網關的IP、MAC地址對應項,都包含了192.168.0.186的這個IP,則可以斷定192.168.0.186這臺主機就是病毒源。
  原理:一般情況下,網內的主機只和網關通信。www.hbhskj.tw正常情況下,一臺主機的ARP緩存中應該只有網關的MAC地址。如果有其他主機的MAC地址,說明本地主機和這臺主機最近有過數據通信發生。如果某臺主機(例如上面的192.168.0.186)既不是網關也不是服務器,但和網內的其他主機都有通信活動,且此時又是ARP病毒發作時期,那么,病毒源也就是它了。
第三招:使用 tracert命令
  在任意一臺受影響的主機上,在DOS命令窗口下運行如圖所示命令。
  假定設置的缺省網關為10.8.6.1,在跟蹤一個外網地址時,第一跳卻是10.8.6.186,那么,10.8.6.186就是病毒源。
  原理:中毒主機在受影響主機和網關之間,扮演了“中間人”的角色。所有本應該到達網關的數據包,由于錯誤的MAC地址,均被發到了中毒主機。此時,中毒主機越俎代庖,起了缺省網關的作用。  
TinyRAT木馬如何清除

  如今,無論用于網頁木馬還是遠程溢出,黑客都會選擇一款小巧的木馬程序。隨著殺毒軟件和防火墻功能的逐步提高,木馬程序的隱蔽性也是越來越強。比如今天介紹的這款木馬程序,無論是隨機啟動還是穿越防火墻都是使用的系統程序,這樣就為我們的檢測帶來非常大的困難。那么怎樣才能順利清除這款木馬程序呢?www.sq120.com推薦文章

  今天一網友說說自己剛剛完成不久的一張設計圖被其他的設計師剽竊,問是怎么回事?聽了講述,已經隱約懷疑是木馬程序作祟,但是哪一款木馬程序呢?在隨后的檢測中發現:這個惡意程序非常奇怪,既沒有相關的進程又沒有啟動項,就好像在系統中透明的一樣,難道這就是江湖中傳聞的“踏雪無痕”?這時,周醫生立刻明白了,這個木馬程序就是TinyRAT。
木馬的技術特點
  TinyRAT是一款全新的遠程控制軟件,它最大的特點之一就是服務端程序“短小精悍”,通過FSG壓縮后只有12KB大小,所以非常適合用于網頁木馬、文件捆綁等操作。
  另外,由于木馬調用SvcHost.exe服務,同時使用了一些程序替換技術,所以程序可以在卡巴斯基默認的設置下,隨機自動啟動并輕松穿透防火墻的攔截。
木馬隱藏得太深
  周醫生打算從木馬的啟動項和進程開始下手,接著就可以順藤摸瓜然后將病毒一網打盡。首先運行System Repair Engineer,點擊“智能掃描”按鈕后選擇“所有的啟動項目”和“正在運行的進程”選項,接著對系統進行一個全方位的掃描。
  當程序掃描完成后,周醫生從提交的報告中并沒有看出任何的可疑之處(圖1)。周醫生心里想:這個木馬程序果然隱藏得夠深啊!

  既然通過傳統的方法不能找出木馬的相關內容,那么這個木馬程序該如何查找分析呢?這時周醫生看到系統欄中的網絡狀態窗口,想到我們可以通過查看進程再進行數據傳輸,這樣就可以查找到木馬程序的進程。
  于是關閉系統中所有運行的程序,接著運行木馬輔助查找器。再點擊“端口信息”標簽列表,果然發現有一項Svchost進程在進行數據傳輸,這里我們記下該進程PID值(圖2)。

  PID值:是進程標志符。PID列代表了各進程的ID,也就是說PID就是各進程的身份標志。打開系統的“任務管理器”并點擊“進程”標簽,接著點擊“查看”菜單中的“選擇列”命令,然后在彈出的窗口中選擇“PID”一項。這時你就能看到進程列表中的PID值了,PID值越小越好。
發現木馬真身
  點擊“進程監控”標簽,從列表中選中前面那個PID值的Svchost進程后,在下面的模塊列表中果然發現了一個既沒有“公司”說明,也沒有“描述”信息的可疑DLL文件。
  根據文件的路徑信息找到SysAdsnwt.dll文件,根據它的生成時間可以確認這個文件就是木馬的服務端文件(圖3)。

  然后周醫生開始尋找木馬程序的啟動項。既然已經知道木馬程序利用了Svchost進程,我們還是通過它來進行查找。我們知道Svchost進程其實就是“Service Host”(服務宿主)的縮寫,它本身并不能給用戶提供任何服務,而是專門為系統啟動各種服務的。
  由于系統服務在注冊表中都設置了相關參數,因此Svchost通過讀取某服務在注冊表中的信息,即可知道應該調用哪個動態鏈接庫。這樣只要查找到調用SysAdsnwt.dll文件的系統服務,就可以查找到木馬的啟動項。
清除木馬很簡單
  現在看看如何對TinyRAT木馬進行卸載清除。首先運行注冊表編輯器,接著點擊“編輯”菜單中的“查找”命令,在彈出的窗口中輸入查找內容為“SysAdsnwt.dll”。
  由于在注冊表中服務下邊有一個Parameters的子鍵,其中的ServiceDll表明該服務由動態鏈接庫負責,所以凡是查找到名為ServiceDll的項目的統統刪除。
  接著在“木馬輔助查找器”中選擇“進程監控”標簽,選擇木馬利用的Svchost進程后點擊窗口的“終止選中進程”按鈕即可。最后進入系統的System32目錄中,將該DLL文件刪除就完成了木馬的清除工作。

 
如何加密無線網絡

  近年來,無線網卡、無線ADSL路由器等無線網絡產品迅速普及,越來越多的人采用無線上網的方式。特別是通過有線接入Internet,局域網采用無線方式組建的方式,由于它低廉的價格和較高的網速,受到使用者的普遍歡迎。但是,如果設置不當,那么我們就可能為別人上網買單!www.sq120.com推薦文章

無線上網面臨入侵威脅
  當我們在享受無線網絡帶來便捷的同時,無線路由(或無線AP)發射的信號越過門縫,穿過墻壁,覆蓋了我們的左鄰右舍。如果你鄰居的電腦也裝有無線網卡,那么,無線網被非法接入,鄰居“搭便車”上網的風險就不期而至。
  有人說,不用擔心,我的無線網有安全防護措施,比如不廣播SSID,起用WEP加密安全機制等等。然而,這些安全手段,在網上隨處可得的黑客工具面前,根本就不堪一擊。
  例如著名的NetStumbler軟件,運行后可以捕捉到覆蓋本區域的所有無線信號,并列出SSID、使用頻道、是否加密等重要參數。

  而WinAirCrackPack工具包,就是專門用來破解WEP密碼的。在收集了足夠數量的數據幀后,以下的事情只要操作者簡單地點幾下鼠標,就能很輕松地得到你費盡心機設置的WEP密碼。
巧設IP 防搭“順風車”
  那么,是不是就沒有辦法了呢?也不是。想一想平時配置有線網絡時,連好網線后要做的事情?對,就是設置正確的IP地址。只有連接好網線,同時為路由器、主機都設置了正確的IP,才能正常上網。
  別人破解了你的WEP密碼,連接到你的無線路由,也僅僅是相當于連接好了網線,如果不能設置正確IP,同樣不能上網。這樣的話,即使破解了你的WEP密碼,也是毫無意義的。
  然而,很多人并沒有意識到這一點,只是絞盡腦汁在密碼設置上下功夫,無線路由的IP地址十有八九是192.168.1.1,子網掩碼255.255.255.0,主機則設置為該網段的任一地址。有的更干脆,直接在無線路由上啟用DHCP服務,為接入主機動態分配一個IP。動態分配方式就不用說了,而192.168.1.0往往是“不速之客”猜測的第一個網段。這樣的設置,對侵入者來說,無疑是城門大開。
  安全的IP設置方式,首先一定要禁用無線路由的DHCP服務,改用手工為主機設置IP。其次,根據上網主機數量,利用子網劃分技術,在適合主機數量的網段中隨意選擇一個使用。不僅可以使用 192.168.1.0網段,其他的私有IP地址網段都可以用來劃分子網。
  例如,家庭上網只有1臺主機,以192.168.1.0(255.255.255.0)網段為例劃分子網,使用掩碼255.255.255.252,得到可用的子網有62個,每個子網可用IP有2個。如使用第一個子網,那么,無線路由局域網口設置如下(圖2)。
  IP地址:192.168.1.5
  子網掩碼:255.255.255.252
  主機局域網口設置如下:
  IP地址:192.168.1.6
  子網掩碼:255.255.255.252
  缺省網關:192.168.1.5

  那么,這種情況的安全性可以說是“固若金湯”。即使對方通過其他途徑知道你的IP設置也沒用,因為整個網段可用IP地址只有2個,無線路由、主機各占一個,沒有其他IP可用了。
  如有2~5臺主機上網,仍以192.168. 1.0(255.255.255.0)網段為例劃分子網,使用掩碼255.255.255.248,得到可用的子網有30個,每個子網可用IP有6個。如使用第一個子網(實際中可以隨機挑選一個子網,以增加安全性),那么,無線路由局域網口設置如下:
  IP地址:192.168.1.9
  子網掩碼:255.255.255.248
  主機局域網口設置如下:
  IP地址:192.168.1.10~14
  子網掩碼:255.255.255.248
  缺省網關:192.168.1.9
  這種情況下,如果對方破解了WEP密碼(靈敏數據保密傳輸安全系統,為無線網絡提供傳輸加密),還要同時猜測出你使用的網段掩碼,無線路由地址等參數,同時網段內還要有剩余IP可用,才能成功連接。
  得到這些參數僅靠猜測幾乎是“不可完成任務”,但如果對方使用了其他包捕獲工具,加上足夠的耐心,有可能得到你使用的網段以及網段內的IP,此時如果有剩余IP,怎么辦呢?
  很簡單,大部分的無線路由都有簡單的防火墻功能,通過配置,可以禁止特定的IP訪問。因此,可以通過配置訪問控制列表,將網段內剩余的IP禁用,你鄰居本事再大,總不至于跑到你家來更改你的路由配置吧^_^
總結
  上面的方法,實際上避開物理層的接入問題,轉而在網絡層加強安全控制,不讓非法接入者得到正確的IP地址,從而使得接入者即使成功接入,也變得毫無意義,除了枉費心機外,得不到任何好處也不能造成任何危害。

 
From:http://www.hbhskj.tw/Article/Network/201309/462.html
  • 上一篇文章:

  • 下一篇文章:
  • Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.   
    体彩内蒙古十一选五82