中了ARP-Cheat的典型症状
时间:05-12
来源:IT专家网
点击:
问题机器中木马,开始arp欺骗,其他机器收到arp广播,认为问题机器是网关,于是走这条路,问题机器将http请求开头加上那个iframe……
一上班,就有报告说email没办法用的,过去一看,是台通过Wi-Fi上网的笔记本,现象是打开web登录界面速度奇慢无比,因为手头还有别的事情,所以直接打开OE添加了个帐号,说先这样用吧,我那边去找找原因。
接下来就开始有三三两两的说网络不正常的,包括web浏览、股票行情、视频直播,都出现问题,这下麻烦大了。在自己机器上开ping,外部网站、DNS,都不正常,从30ms到丢包,不规律重复出现。
查看已经打开的页面源文件,第一行有一个iframe,访问一个直接数字ip开头的vip.htm页面,但是那个页面打不开,这个应该就是所有网站打开缓慢的原因之一。
打电话给isp,让他们反向ping回来,过了几分钟,反馈说一切ok,维持在1-2ms之间,isp嫌疑排除,继续。
询问isp是否做广告推送(因为3),确认没有。
带笔记本到机房,直接接到ForitGate上,一切ok,故障定位在下层交换机。
怀疑arp欺骗(已经碰到过n次了),笔记本看一下网关,到别的地方看一下,果然不同,确定故障。
到FortiGate的dhcp log里面查找那个问题mac,居然没有,想不通。
先群发bqq消息,通知有问题的人下载antiARP安装,继续查。
找一台有问题的机器,做全c段ip scan,然后arp –a,看到那个问题机器的mac对应的ip。
\问题ipd$,出现登录窗口,看到问题机器名,找到。
将问题机器断网,杀毒,杀木马(有空的话再写个文章说,也比较有代表性),搞定。
整个流程是这样:问题机器中木马,开始arp欺骗,其他机器收到arp广播,认为问题机器是网关,于是走这条路,问题机器将http请求开头加上那个iframe,目的是为了流量或者广告或者再传播。
总结一下:
现在基础网络,稳定性还是可以的,出现大面积问题,首先怀疑arp欺骗。
有条件的,做双向ip-mac绑定,可以解决大部分此类问题。
无条件的,建立机器-mac对应表,出现问题之后可以非常迅速的找到问题机器。
尽量在每台机器上装杀毒软件(推荐kav和nod32)和杀木马软件(推荐avg和360safe),可以减少不少麻烦。
一上班,就有报告说email没办法用的,过去一看,是台通过Wi-Fi上网的笔记本,现象是打开web登录界面速度奇慢无比,因为手头还有别的事情,所以直接打开OE添加了个帐号,说先这样用吧,我那边去找找原因。
接下来就开始有三三两两的说网络不正常的,包括web浏览、股票行情、视频直播,都出现问题,这下麻烦大了。在自己机器上开ping,外部网站、DNS,都不正常,从30ms到丢包,不规律重复出现。
查看已经打开的页面源文件,第一行有一个iframe,访问一个直接数字ip开头的vip.htm页面,但是那个页面打不开,这个应该就是所有网站打开缓慢的原因之一。
打电话给isp,让他们反向ping回来,过了几分钟,反馈说一切ok,维持在1-2ms之间,isp嫌疑排除,继续。
询问isp是否做广告推送(因为3),确认没有。
带笔记本到机房,直接接到ForitGate上,一切ok,故障定位在下层交换机。
怀疑arp欺骗(已经碰到过n次了),笔记本看一下网关,到别的地方看一下,果然不同,确定故障。
到FortiGate的dhcp log里面查找那个问题mac,居然没有,想不通。
先群发bqq消息,通知有问题的人下载antiARP安装,继续查。
找一台有问题的机器,做全c段ip scan,然后arp –a,看到那个问题机器的mac对应的ip。
\问题ipd$,出现登录窗口,看到问题机器名,找到。
将问题机器断网,杀毒,杀木马(有空的话再写个文章说,也比较有代表性),搞定。
整个流程是这样:问题机器中木马,开始arp欺骗,其他机器收到arp广播,认为问题机器是网关,于是走这条路,问题机器将http请求开头加上那个iframe,目的是为了流量或者广告或者再传播。
总结一下:
现在基础网络,稳定性还是可以的,出现大面积问题,首先怀疑arp欺骗。
有条件的,做双向ip-mac绑定,可以解决大部分此类问题。
无条件的,建立机器-mac对应表,出现问题之后可以非常迅速的找到问题机器。
尽量在每台机器上装杀毒软件(推荐kav和nod32)和杀木马软件(推荐avg和360safe),可以减少不少麻烦。
- 盗号能手“密斯客”再出新变种(05-22)
- 灰鸽子携手小木马 偷袭你的电脑(05-22)
- 新版灰鸽子再现江湖(05-26)
- 警惕“疾行者”私下多款木马(05-26)
- 金山发布2007上半年中国互联网安全报告(06-05)
- 天龙神偷入室行窃 盗取网游账号(06-09)