[转帖] 专家解读APR病毒(一．二．三)

<strong>一、ARP病毒 </strong><p>　　ARP地址欺骗类病毒（以下简称ARP病毒）是一类特殊的病毒，该病毒一般属于木马(Trojan)病毒，不具备主动传播的特性，不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包，干扰全网的运行，因此它的危害比一些蠕虫还要严重得多。 </p><p><strong>二、ARP病毒发作时的现象</strong><br/>&nbsp;</p><p>　　网络掉线，但网络连接正常，内网的部分PC机不能上网，或者所有电脑不能上网，无法打开网页或打开网页慢，局域网时断时续并且网速较慢等。 </p><p>　　<strong>三、ARP病毒原理</strong><br/>&nbsp;</p><p>　　<strong>3.1 网络模型简介</strong><br/>&nbsp;</p><p>　　众所周知，按照OSI (Open Systems Interconnection Reference Model 开放系统互联参考模型) 的观点，可将网络系统划分为7层结构，每一个层次上运行着不同的协议和服务，并且上下层之间互相配合，完成网络数据交换的功能，如图1： </p><p align="center"><img height="278" alt="" src="http://pfw.sky.net.cn/upimg/allimg/070622/1642320.jpg" width="236" style="BORDER-RIGHT: black 1px solid; BORDER-TOP: black 1px solid; BORDER-LEFT: black 1px solid; WIDTH: 236px; BORDER-BOTTOM: black 1px solid; HEIGHT: 278px;"/><br/>图1 OSI网络体系模型</p><p align="left"><br/>　　然而，OSI的模型仅仅是一个参考模型，并不是实际网络中应用的模型。实际上应用最广泛的商用网络模型即TCP/IP体系模型，将网络划分为四层，每一个层次上也运行着不同的协议和服务，如图2。 </p><p align="center"><img height="283" alt="" src="http://pfw.sky.net.cn/upimg/allimg/070622/1642321.jpg" width="227" style="BORDER-RIGHT: black 1px solid; BORDER-TOP: black 1px solid; BORDER-LEFT: black 1px solid; WIDTH: 227px; BORDER-BOTTOM: black 1px solid; HEIGHT: 283px;"/><br/>图2 TCP/IP四层体系模型及其配套协议</p><p align="left"><br/>　　上图中，蓝色字体表示该层的名称，绿色字表示运行在该层上的协议。由图2可见，我们即将要讨论的ARP协议，就是工作在网际层上的协议。 </p><p>　　<strong>3.2 ARP协议简介</strong><br/>&nbsp;</p><p>　　我们大家都知道，在局域网中，一台主机要和另一台主机进行通信，必须要知道目标主机的IP地址，但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP地址的，只能识别其硬件地址即MAC地址。MAC地址是48位的，通常表示为12个16进制数，每2个16进制数之间用“-”或者冒号隔开，如：00-0B-2F-13-1A-11就是一个MAC地址。每一块网卡都有其全球唯一的MAC地址，网卡之间发送数据，只能根据对方网卡的MAC地址进行发送，这时就需要一个将高层数据包中的IP地址转换成低层MAC地址的协议，而这个重要的任务将由ARP协议完成。 </p>
0 H6 E' [. W5 B: K; W

[此贴子已经被作者于2007-6-23 16:35:12编辑过]

ARP全称为Address Resolution Protocol，地址解析协议。所谓“地址解析”就是主机在发送数据包前将目标主机IP地址转换成目标主机MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 这时就涉及到一个问题，一个局域网中的电脑少则几台，多则上百台，这么多的电脑之间，如何能准确的记住对方电脑网卡的MAC地址，以便数据的发送呢？这就涉及到了另外一个概念，ARP缓存表。在局域网的任何一台主机中，都有一个ARP缓存表，该表中保存这网络中各个电脑的IP地址和MAC地址的对照关系。当这台主机向同局域网中另外的主机发送数据的时候，会根据ARP缓存表里的对应关系进行发送。 <p></p><p>　　下面，我们用一个模拟的局域网环境，来说明ARP欺骗的过程。 </p><p><strong>3.3 ARP欺骗过程</strong>
5 y# Q; }. @7 x, x% ]2 J6 i% v8 ]        </p><p>　　假设一个只有三台电脑组成的局域网，该局域网由交换机(Switch)连接。其中一个电脑名叫A，代表攻击方；一台电脑叫S，代表源主机，即发送数据的电脑；令一台电脑名叫D，代表目的主机，即接收数据的电脑。这三台电脑的IP地址分别为192.168.0.2，192.168.0.3，192.168.0.4。MAC地址分别为MAC_A，MAC_S，MAC_D。其网络拓扑环境如图3。 </p><p align="center"><img alt="" src="http://pfw.sky.net.cn/upimg/allimg/070622/1642322.jpg" style="BORDER-RIGHT: black 1px solid; BORDER-TOP: black 1px solid; BORDER-LEFT: black 1px solid; BORDER-BOTTOM: black 1px solid;"/><br/>图3 网络拓扑</p><p align="left">　　现在，S电脑要给D电脑发送数据了，在S电脑内部，上层的TCP和UDP的数据包已经传送到了最底层的网络接口层，数据包即将要发送出去，但这时还不知道目的主机D电脑的MAC地址MAC_D。这时候，S电脑要先查询自身的ARP缓存表，查看里面是否有192.168.0.4这台电脑的MAC地址，如果有，那很好办，就将 封装在数据包的外面。直接发送出去即可。如果没有，这时S电脑要向全网络发送一个ARP广播包，大声询问：“我的IP是192.168.0.3，硬件地址是MAC_S，我想知道IP地址为192.168.0.4的主机的硬件地址是多少？” 这时，全网络的电脑都收到该ARP广播包了，包括A电脑和D电脑。A电脑一看其要查询的IP地址不是自己的，就将该数据包丢弃不予理会。而D电脑一看IP地址是自己的，则回答S电脑：“我的IP地址是192.168.0.4，我的硬件地址是MAC_D”需要注意的是，这条信息是单独回答的，即D电脑单独向S电脑发送的，并非刚才的广播。现在S电脑已经知道目的电脑D的MAC地址了，它可以将要发送的数据包上贴上目的地址MAC_D，发送出去了。同时它还会动态更新自身的ARP缓存表，将192.168.0.4－MAC_D这一条记录添加进去，这样，等S电脑下次再给D电脑发送数据的时候，就不用大声询问发送ARP广播包了。这就是正常情况下的数据包发送过程。 </p><p>　　这样的机制看上去很完美，似乎整个局域网也天下太平，相安无事。但是，上述数据发送机制有一个致命的缺陷，即它是建立在对局域网中电脑全部信任的基础上的，也就是说它的假设前提是：无论局域网中那台电脑，其发送的ARP数据包都是正确的。那么这样就很危险了！因为局域网中并非所有的电脑都安分守己，往往有非法者的存在。比如在上述数据发送中，当S电脑向全网询问“我想知道IP地址为192.168.0.4的主机的硬件地址是多少？”后，D电脑也回应了自己的正确MAC地址。但是当此时，一向沉默寡言的A电脑也回话了：“我的IP地址是192.168.0.4，我的硬件地址是MAC_A” ，注意，此时它竟然冒充自己是D电脑的IP地址，而MAC地址竟然写成自己的！由于A电脑不停地发送这样的应答数据包，本来S电脑的ARP缓存表中已经保存了正确的记录：192.168.0.4－MAC_D，但是由于A电脑的不停应答，这时S电脑并不知道A电脑发送的数据包是伪造的，导致S电脑又重新动态更新自身的ARP缓存表，这回记录成：192.168.0.4－MAC_A，很显然，这是一个错误的记录（这步也叫ARP缓存表中毒），这样就导致以后凡是S电脑要发送给D电脑，也就是IP地址为192.168.0.4这台主机的数据，都将会发送给MAC地址为MAC_A的主机，这样，在光天化日之下，A电脑竟然劫持了由S电脑发送给D电脑的数据！这就是ARP欺骗的过程。 </p><p>　　如果A这台电脑再做的“过分”一些，它不冒充D电脑，而是冒充网关，那后果会怎么样呢？我们大家都知道，如果一个局域网中的电脑要连接外网，也就是登陆互联网的时候，都要经过局域网中的网关转发一下，所有收发的数据都要先经过网关，再由网关发向互联网。在局域网中，网关的IP地址一般为192.168.0.1。如果A这台电脑向全网不停的发送ARP欺骗广播，大声说：“我的IP地址是192.168.0.1，我的硬件地址是MAC_A”这时局域网中的其它电脑并没有察觉到什么，因为局域网通信的前提条件是信任任何电脑发送的ARP广播包。这样局域网中的其它电脑都会更新自身的ARP缓存表，记录下192.168.0.1－MAC_A这样的记录，这样，当它们发送给网关，也就是IP地址为192.168.0.1这台电脑的数据，结果都会发送到MAC_A这台电脑中！这样，A电脑就将会监听整个局域网发送给互联网的数据包！ </p><p>　　实际上，这种病毒早就出现过，这就是ARP地址欺骗类病毒。一些传奇木马（Trojan/PSW.LMir）具有这样的特性，该木马一般通过传奇外挂、网页木马等方式使局域网中的某台电脑中毒，这样中毒电脑便可嗅探到整个局域网发送的所有数据包，该木马破解了《传奇》游戏的数据包加密算法，通过截获局域网中的数据包，分析数据包中的用户隐私信息，盗取用户的游戏帐号和密码。在解析这些封包之后，再将它们发送到真正的网关。这样的病毒有一个令网吧游戏玩家闻之色变的名字：“传奇网吧杀手” ！</p>

<strong>一、ARP病毒 </strong><p>　　ARP地址欺骗类病毒（以下简称ARP病毒）是一类特殊的病毒，该病毒一般属于木马(Trojan)病毒，不具备主动传播的特性，不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包，干扰全网的运行，因此它的危害比一些蠕虫还要严重得多。 </p><p><strong>二、ARP病毒发作时的现象</strong><br/>&nbsp;</p><p>　　网络掉线，但网络连接正常，内网的部分PC机不能上网，或者所有电脑不能上网，无法打开网页或打开网页慢，局域网时断时续并且网速较慢等。 </p><p>　　<strong>三、ARP病毒原理</strong><br/>&nbsp;</p><p>　　<strong>3.1 网络模型简介</strong><br/>&nbsp;</p><p>　　众所周知，按照OSI (Open Systems Interconnection Reference Model 开放系统互联参考模型) 的观点，可将网络系统划分为7层结构，每一个层次上运行着不同的协议和服务，并且上下层之间互相配合，完成网络数据交换的功能，如图1： </p><p align="center"><img height="278" alt="" src="http://pfw.sky.net.cn/upimg/allimg/070622/1642320.jpg" width="236" style="BORDER-RIGHT: black 1px solid; BORDER-TOP: black 1px solid; BORDER-LEFT: black 1px solid; WIDTH: 236px; BORDER-BOTTOM: black 1px solid; HEIGHT: 278px;"/><br/>图1 OSI网络体系模型</p><p align="left"><br/>　　然而，OSI的模型仅仅是一个参考模型，并不是实际网络中应用的模型。实际上应用最广泛的商用网络模型即TCP/IP体系模型，将网络划分为四层，每一个层次上也运行着不同的协议和服务，如图2。 </p><p align="center"><img height="283" alt="" src="http://pfw.sky.net.cn/upimg/allimg/070622/1642321.jpg" width="227" style="BORDER-RIGHT: black 1px solid; BORDER-TOP: black 1px solid; BORDER-LEFT: black 1px solid; WIDTH: 227px; BORDER-BOTTOM: black 1px solid; HEIGHT: 283px;"/><br/>图2 TCP/IP四层体系模型及其配套协议</p><p align="left"><br/>　　上图中，蓝色字体表示该层的名称，绿色字表示运行在该层上的协议。由图2可见，我们即将要讨论的ARP协议，就是工作在网际层上的协议。 </p><p>　　<strong>3.2 ARP协议简介</strong><br/>&nbsp;</p><p>　　我们大家都知道，在局域网中，一台主机要和另一台主机进行通信，必须要知道目标主机的IP地址，但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP地址的，只能识别其硬件地址即MAC地址。MAC地址是48位的，通常表示为12个16进制数，每2个16进制数之间用“-”或者冒号隔开，如：00-0B-2F-13-1A-11就是一个MAC地址。每一块网卡都有其全球唯一的MAC地址，网卡之间发送数据，只能根据对方网卡的MAC地址进行发送，这时就需要一个将高层数据包中的IP地址转换成低层MAC地址的协议，而这个重要的任务将由ARP协议完成。 </p><p>在又新出现了一种ARP病毒，与以前的一样的是，该类ARP病毒也是向全网发送伪造的ARP欺骗广播，自身伪装成网关。但区别是，它着重的不是对网络游戏数据包的解密，而是对于HTTP请求访问的修改。 </p><p>HTTP是应用层的协议，主要是用于WEB网页访问。还是以上面的局域网环境举例，如果局域网中一台电脑S要请求某个网站页面，如想请求www.sina.com.cn这个网页，这台电脑会先向网关发送HTTP请求，说：“我想登陆www.sina.com.cn网页，请你将这个网页下载下来，并发送给我。”这样，网关就会将www.sina.com.cn页面下载下来，并发送给S电脑。这时，如果A这台电脑通过向全网发送伪造的ARP欺骗广播，自身伪装成网关，成为一台ARP中毒电脑的话，这样当S电脑请求WEB网页时，A电脑先是“好心好意”地将这个页面下载下来，然后发送给S电脑，但是它在返回给S电脑时，会向其中插入恶意网址连接！该恶意网址连接会利用MS06-014和MS07-017等多种系统漏洞，向S电脑种植木马病毒！同样，如果D电脑也是请求WEB页面访问，A电脑同样也会给D电脑返回带毒的网页，这样，如果一个局域网中存在这样的ARP病毒电脑的话，顷刻间，整个网段的电脑将会全部中毒！沦为黑客手中的僵尸电脑！ </p><p>　　案例：某企业用户反映，其内部局域网用户无论访问那个网站，KV杀毒软件均报病毒：Exploit.ANIfile.o 。 </p><p>　　在经过对该局域网分析之后，发现该局域网中有ARP病毒电脑导致其它电脑访问网页时，返回的网页带毒，并且该带毒网页通过MS06-014和MS07-017漏洞给电脑植入一个木马下载器，而该木马下载器又会下载10多个恶性网游木马，可以盗取包括魔兽世界，传奇世界，征途，梦幻西游，边锋游戏在内的多款网络游戏的帐号和密码，对网络游戏玩家的游戏装备造成了极大的损失。被ARP病毒电脑篡改的网页如图4。 </p><p align="center"><img height="300" alt="" src="http://pfw.sky.net.cn/upimg/allimg/070622/1429310.jpg" width="490" border="0" style="WIDTH: 490px; HEIGHT: 300px;"/><br/>图4 被ARP病毒插入的恶意网址连接</p><p>　　从图4中可以看出，局域网中存在这样的ARP病毒电脑之后，其它客户机无论访问什么网页，当返回该网页时，都会被插入一条恶意网址连接，如果用户没有打过相应的系统补丁，就会感染木马病毒。</p>

【编者按：前文，我们讲述了ARP病毒新的表现形式及相关案例，这里我们向大家介绍对中了ARP病毒电脑的定位方法。】 <br/><br/>　　<strong>五、ARP病毒电脑的定位方法 </strong><p>　　下面，又有了一个新的课题摆在我们面前：如何能够快速检测定位出局域网中的ARP病毒电脑？</p><p>面对着局域网中成百台电脑，一个一个地检测显然不是好办法。其实我们只要利用ARP病毒的基本原理：发送伪造的ARP欺骗广播，中毒电脑自身伪装成网关的特性，就可以快速锁定中毒电脑。可以设想用程序来实现以下功能：在网络正常的时候，牢牢记住正确网关的IP地址和MAC地址，并且实时监控着来自全网的ARP数据包，当发现有某个ARP数据包广播，其IP地址是正确网关的IP地址，但是其MAC地址竟然是其它电脑的MAC地址的时候，这时，无疑是发生了ARP欺骗。对此可疑MAC地址报警，在根据网络正常时候的IP－MAC地址对照表查询该电脑，定位出其IP地址，这样就定位出中毒电脑了。下面详细说一下几种不同的检测ARP中毒电脑的方法。 </p><p>　　<strong>5.1 命令行法</strong>
5 q9 q5 t4 b" O3 D        </p><p>　　这种方法比较简便，不利用第三方工具，利用系统自带的ARP命令即可完成。上文已经说过，当局域网中发生ARP欺骗的时候，ARP病毒电脑会向全网不停地发送ARP欺骗广播，这时局域网中的其它电脑就会动态更新自身的ARP缓存表，将网关的MAC地址记录成ARP病毒电脑的MAC地址，这时候我们只要在其它受影响的电脑中查询一下当前网关的MAC地址，就知道中毒电脑的MAC地址了，查询命令为 ARP －a，需要在cmd命令提示行下输入。输入后的返回信息如下： <br/><table cellspacing="0" cellpadding="6" width="362" align="center" border="0" style="BORDER-RIGHT: #cccccc 1px dotted; TABLE-LAYOUT: fixed; BORDER-TOP: #cccccc 1px dotted; BORDER-LEFT: #cccccc 1px dotted; WIDTH: 362px; BORDER-BOTTOM: #cccccc 1px dotted; HEIGHT: 48px;"><tbody><tr><td bgcolor="#fdfddf" style="WORD-WRAP: break-word;">　　Internet Address&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Physical Address&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Type<br/>　　192.168.0.1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 00-50-56-e6-49-56&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; dynamic</td></tr></tbody></table></p><p>　　这时，由于这个电脑的ARP表是错误的记录，因此，该MAC地址不是真正网关的MAC地址，而是中毒电脑的MAC地址！这时，再根据网络正常时，全网的IP—MAC地址对照表，查找中毒电脑的IP地址就可以了。由此可见，在网络正常的时候，保存一个全网电脑的IP—MAC地址对照表是多么的重要。可以使用nbtscan 工具扫描全网段的IP地址和MAC地址，保存下来，以备后用。 </p><p>　　<strong>5.2 工具软件法</strong>
        </p><p>　　现在网上有很多ARP病毒定位工具，其中做得较好的是Anti ARP Sniffer（现在已更名为ARP防火墙），下面我就演示一下使用Anti ARP Sniffer这个工具软件来定位ARP中毒电脑。 </p><p>　　首先打开Anti ARP Sniffer 软件，输入网关的IP地址之后，再点击红色框内的“枚举MAC”按钮，即可获得正确网关的MAC地址，如图5。 </p><p align="center"><img height="309" alt="" src="http://pfw.sky.net.cn/upimg/allimg/070622/1456000.jpg" width="516" style="BORDER-RIGHT: black 1px solid; BORDER-TOP: black 1px solid; BORDER-LEFT: black 1px solid; WIDTH: 516px; BORDER-BOTTOM: black 1px solid; HEIGHT: 309px;"/><br/>图5 输入网关IP地址后，枚举MAC</p><p>　　接着点击“自动保护”按钮，即可保护当前网卡与网关的正常通信。如图6。 </p><p align="center"><img height="309" alt="" src="http://pfw.sky.net.cn/upimg/allimg/070622/1456001.jpg" width="518" border="0" style="WIDTH: 518px; HEIGHT: 309px;"/><br/>图6 点击自动保护按钮</p><p>　　当局域网中存在ARP欺骗时，该数据包会被Anti ARP Sniffer记录，该软件会以气泡的形式报警。如图7。 </p><p align="center"><img height="229" alt="" src="http://pfw.sky.net.cn/upimg/allimg/070622/1456002.jpg" width="490" border="0" style="WIDTH: 490px; HEIGHT: 229px;"/><br/>图7 Anti ARP Sniffer 的拦截记录</p><p>　　这时，我们再根据欺骗机的MAC地址，对比查找全网的IP－MAC地址对照表，即可快速定位出中毒电脑。 </p><p>　　<strong>5.3 Sniffer 抓包嗅探法 </strong></p><p>　　当局域网中有ARP病毒欺骗时，往往伴随着大量的ARP欺骗广播数据包，这时，流量检测机制应该能够很好的检测出网络的异常举动，此时Ethereal 这样的抓包工具就能派上用场。如图8。 </p><p align="center"><img height="300" alt="" src="http://pfw.sky.net.cn/upimg/allimg/070622/1456003.jpg" width="500" border="0" style="WIDTH: 500px; HEIGHT: 300px;"/><br/>图8 用Ethereal抓包工具定位出ARP中毒电脑</p><p>　　从图8中的红色框内的信息可以看出，192.168.0.109 这台电脑正向全网发送大量的ARP广播包，一般的讲，局域网中有电脑发送ARP广播包的情况是存在的，但是如果不停的大量发送，就很可疑了。而这台192.168.0.109 电脑正是一个ARP中毒电脑。 </p><p>　　以上三种方法有时需要结合使用，互相印证，这样可以快速准确的将ARP中毒电脑定位出来。</p>

<p>大老啊！！你都看下版规限制啦！</p><p></p>

<p>睇咗都唔明～～～</p><p>哀哉·······</p>

<div class="msgheader">QUOTE:</div><div class="msgborder"><b>以下是引用<i>yjb338</i>在2007-6-23 17:17:18的发言：</b><br/><p>大老啊！！你都看下版规限制啦！</p><p></p></div><p>哦哦！！ </p><p>我会注意点噶拉！！ </p><p>以后吾会噶拉！！ </p><p>吾好拉我啊！！</p>

ARP攻击= =......我系学校经常遇到,有D人为左自己上网快D,就用"ARP裁决者""网络判官"依D软件离欺骗人地既主机,搞到人地上吴岛网...其实只要用系统命令,将网关同自己既IP地址同埋MAC地址绑定就可以~

<p>学校论坛好多呢D贴子。。。。。。。。。。</p><p>用紧ARP防火墙，叫过得去啦</p>

这东西麻烦啊，最好别搞