阳光论坛软件商务网设为首页收藏本站
如何获得阳光币切换到宽版

阳光网驿-企业信息化交流平台【DTC零售连锁全渠道解决方案】

 找回密码
 注册

QQ登录

只需一步,快速开始

扫描二维码登录本站

手机号码,快捷登录

手机号码,快捷登录

阳光网驿-企业信息化交流平台【DTC零售连锁全渠道解决方案】»论坛 源码及资源【服务器区】 系统集成与工程 网络技术与安全 共享我在arp攻击排错的一些经验,以供大家学习指点交流
老司机
返回列表 发新帖
查看: 1005|回复: 0

[转帖] 共享我在arp攻击排错的一些经验,以供大家学习指点交流

[复制链接]
addison_lin
  • TA的每日心情
    开心
    2012-3-7 10:15

    • 签到天数: 11 天

    [LV.3]偶尔看看II
    发表于 2012-1-9 10:49:49 | 显示全部楼层 |阅读模式

    这段时间以来,我们都遭受着arp 欺骗之苦,根据个人在实际中的经验,特此把本人排
    除此类网络故障的一些心得体会,供大家互相学习,有不对的地方请大家指正。
    网络故障现象:网速变得很慢,部分机能正常上网,但也会偶尔出现连续几个掉包现象,
    大部分机器不能正常上网,出现了严重的连续的掉包现象,过一段时间又能自动连上,ping
    网关,time 在波动比较大。
    故障排除过程:
    运行Arp –a 命令,发现网关指向不正确。(注本网络网关是3d0a),初步判断是31b6
    机器在进行arp 欺骗,如下图
    1161003588177.JPG

    把分析故障主机连在镜像口上,运行sniffer pro 4.7。打开dashboard 面版,发现
    broadcasts/s,因为本人抓的是其中一个网段,此网段也不过是100多台主机,每秒钟26
    个广播包很不正常, 但也不应该能引起广播风暴, 应该是arp 欺骗包
    1161003712179.JPG
    正常的情况broadcasts/s 维持在比较低的水平, 如下图。如果发现某个时间段以来broadcasts/s
    居高不下,就应该引起足够的中重视.
    切换到Hosttable 面版,发现其中一台主机的广播量远远大于其他主机(正常情况下维
    持比较低的广播量,具体要看监控时间长短但分布比较均匀,不会出现某一台主机的广播量
    远远大于其他正常主机的现象), 因为没有截取31b6 机器当时hosttable 的图,用这张图片
    做示例,如下图:
    1161003850355.JPG
    切换到Protocol distribudion ,发现Arp 协议使用率占很大比例(一般在正常网络运行,
    ip 占99%以上),如下图:

    1161003995400.JPG
    对广播量最大的主机31b6 进行抓包解码分析,发现31b6 主机不断欺骗网关,宣称它是
    192.168.2.0/24 网段的主机(够狠毒,让其他的主机不能和网关正常通讯),如下图:
    1161004055442.JPG

    31B6 对网关3d0a 宣称它是192.168.2.15 的主机 1161004123162.JPG
    到此,造成这次的网络故障原因就已经很清楚了,是31b6 机器在进行arp 欺骗活动,
    所以造成其他主机不能正常上网,很遗憾因为抓包时间不够长,所以不能看到31b6 欺骗其
    他主机,宣称它是网关的数据包,因此,对31b6 进行隔离,杀毒,发现了是一个可疑进程npf,
    用超级魔法兔子清除此进程,用反间谍专家清除木马文件,用kav6 杀毒(就差点没有低格
    了,哈哈)整个网络又回复了正常。

    =========================================================
    这是案例1,下面是案例2


    网吧最近老掉线,而且掉的超夸张,开始逐层检查,最后估计可能是广播或着ARP,用科来分析系统查一查先,网吧switch做不了端口镜像,所以用HUB连起来进行抓包分析,结果发现,我坐的那个机器有大量的ARP无请求应答,也就是我的主机在不断的主动应答,问题是没有请求的ARP应答
    1161004394495.gif

    查看节点流量,本机的IP是192.168.1.100,每秒2M位,也就是说速度是250KB/秒,这么快的速度,平时上网也很难达到呀。
    其它可疑的值还有请求数,我已经关掉了上网应用程序,不应该还有这么多的请求,而且流量也有170M。
    1161004441502.gif

    再看一下偶比较喜欢用的矩阵功能,主机运行慢的问题已经是非常明显了,如果网络内还有其它机器,上网肯定会受到影响。

    在这里,能明显看到有两条亮绿色的粗线,说明一直在连接,并且流量很大;

    几乎所有的连接都是由 192.168.1.100 连接,发散型,很容易定位有问题的主机;

    192.168.1.100 主机有大量的暗绿色连接,这些都是单向连接,如果不是被DDos攻击,就应该是自身在扫描或主动请求。
    1161004474536.gif

    最后返回诊断视图,这里提供了发现到的所有网络问题,每个问题系统都有相应的解释,我帖出来,主要是给大家看一下,感染木马,造成的一个网络现象。

    那到底中的是什么病毒呢,用常用的查找注册表的方法,开机看启动了什么进程,方法: 开始 > 运行 > regedit,打开注册表后,查找 run,发现可疑的应用程序:winsmd.exe
    1161004511632.gif

    1161004521597.gif

    winsmd.exe 木马病毒的解决方法


    怎么来判断这是不是病毒呢,在google上搜索一下,潮湿关键词:“winsmd.exe 病毒”。
    下面是收集的解决办法:
    机器症状:
    1.进程中多一个vktserv.exe的进程,可能也有winsmd.exe。
    2.C:WINDOWSsystem32下有winsmd.exe,vktserv.exe
    3.启动项中有winsmd.exe(msconfig)
    4.系统服务中多了个vktserv
    建议解决办法:
    1.结束winsmd.exe,删除C:WINDOWSsystem32下winsmd.exe
    2.结束vktserv.exe,删除C:WINDOWSsystem32下vktserv.exe
    3.去掉启动项的勾
    4.停止vktserv服务。

    到此已经查出问题主机 ,剩下的就是自己去google该病毒如何处理,各位看到本帖的网管,这是我个人的一点经验,其他比如arp协议到底是怎么回事,以及其他病毒之类的处理办法,请自己google,自己解决,有不足之处,请多多指教
    韩国美女, 主机, 网络, 心得体会, 时间段
    现金打赏
    楼主热帖

    相关帖子

    启用邀请码注册,提高发帖质量,建设交流社区
    回复

    举报

    返回列表 发新帖
    高级模式
    B Color Image Link Quote Code Smilies
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    快速回复 返回顶部 返回列表