专家解读ARP病毒(二)

【编者按:前文,我们讲述了ARP病毒的原理,这里我们向大家介绍ARP病毒新的表现形式及相关案例。】

四、ARP病毒新的表现形式

由于现在的网络游戏数据包在发送过程中,均已采用了强悍的加密算法,因此这类ARP病毒在解密数据包的时候遇到了很大的难度。现在又新出现了一种ARP病毒,与以前的一样的是,该类ARP病毒也是向全网发送伪造的ARP欺骗广播,自身伪装成网关。但区别是,它着重的不是对网络游戏数据包的解密,而是对于HTTP请求访问的修改。

HTTP是应用层的协议,主要是用于WEB网页访问。还是以上面的局域网环境举例,如果局域网中一台电脑S要请求某个网站页面,如想请求www.sina.com.cn这个网页,这台电脑会先向网关发送HTTP请求,说:“我想登陆www.sina.com.cn网页,请你将这个网页下载下来,并发送给我。”这样,网关就会将www.sina.com.cn页面下载下来,并发送给S电脑。这时,如果A这台电脑通过向全网发送伪造的ARP欺骗广播,自身伪装成网关,成为一台ARP中毒电脑的话,这样当S电脑请求WEB网页时,A电脑先是“好心好意”地将这个页面下载下来,然后发送给S电脑,但是它在返回给S电脑时,会向其中插入恶意网址连接!该恶意网址连接会利用MS06-014和MS07-017等多种系统漏洞,向S电脑种植木马病毒!同样,如果D电脑也是请求WEB页面访问,A电脑同样也会给D电脑返回带毒的网页,这样,如果一个局域网中存在这样的ARP病毒电脑的话,顷刻间,整个网段的电脑将会全部中毒!沦为黑客手中的僵尸电脑!

案例:

某企业用户反映,其内部局域网用户无论访问那个网站,KV杀毒软件均报病毒:Exploit.ANIfile.o 。

在经过对该局域网分析之后,发现该局域网中有ARP病毒电脑导致其它电脑访问网页时,返回的网页带毒,并且该带毒网页通过MS06-014和MS07-017漏洞给电脑植入一个木马下载器,而该木马下载器又会下载10多个恶性网游木马,可以盗取包括魔兽世界,传奇世界,征途,梦幻西游,边锋游戏在内的多款网络游戏的帐号和密码,对网络游戏玩家的游戏装备造成了极大的损失。被ARP病毒电脑篡改的网页如图4。

图4 被ARP病毒插入的恶意网址连接

从图4中可以看出,局域网中存在这样的ARP病毒电脑之后,其它客户机无论访问什么网页,当返回该网页时,都会被插入一条恶意网址连接,如果用户没有打过相应的系统补丁,就会感染木马病毒。

时间: 2024-12-01 18:40:15

专家解读ARP病毒(二)的相关文章

专家解读ARP病毒(一)

一.ARP病毒 ARP地址欺骗类病毒(以下简称ARP病毒)是一类特殊的病毒,该病毒一般属于木马(Trojan)病毒,不具备主动传播的特性,不会自我复制.但是由于其发作的时候会向全网发送伪造的ARP数据包,干扰全网的运行,因此它的危害比一些蠕虫还要严重得多. 二.ARP病毒发作时的现象 网络掉线,但网络连接正常,内网的部分PC机不能上网,或者所有电脑不能上网,无法打开网页或打开网页慢,局域网时断时续并且网速较慢等. 三.ARP病毒原理 3.1 网络模型简介 众所周知,按照OSI (Open Sys

专家解读ARP病毒(完)

[编者按:前文,我们讲述了对ARP病毒电脑的查杀方法,这里是本系列文章的最后一篇,将告诉大家如何采取措施对ARP病毒免疫.] 七.ARP病毒的网络免疫措施 由于ARP病毒的种种网络特性,可以采用一些技术手段进行网络中ARP病毒欺骗数据包免疫.即便网络中有ARP中毒电脑,在发送欺骗的ARP数据包,其它电脑也不会修改自身的ARP缓存表,数据包始终发送给正确的网关,用的比较多的办法是"双向绑定法" . 双向绑定法,顾名思义,就是要在两端绑定IP-MAC地址,其中一端是在路由器中,把所有PC的

专家解读ARP病毒(四)

[编者按:前文,我们讲述了对中了ARP病毒电脑的定位方法,这里我们向大家介绍对ARP病毒电脑的查杀方法.] 六.ARP病毒电脑的查杀方法 通过上述的方法,已经找到了ARP中毒电脑,那么接下来的操作就是如何杀毒了.有一点需要注意的是:当找到中毒电脑后,应该立即拔掉中毒电脑的网线,以免其继续发包干扰全网的运行. 对于ARP病毒电脑的查杀办法,首先可以利用杀毒软件杀毒,但是由于现在病毒变种极其繁多,有可能遇到杀毒软件查不出来的情况,这时候就需要借助手工杀毒的办法了,下面介绍一些经验. 根据一些经验,较

专家解读ARP病毒(三)

[编者按:前文,我们讲述了ARP病毒新的表现形式及相关案例,这里我们向大家介绍对中了ARP病毒电脑的定位方法.] 五.ARP病毒电脑的定位方法 下面,又有了一个新的课题摆在我们面前:如何能够快速检测定位出局域网中的ARP病毒电脑? 面对着局域网中成百台电脑,一个一个地检测显然不是好办法.其实我们只要利用ARP病毒的基本原理:发送伪造的ARP欺骗广播,中毒电脑自身伪装成网关的特性,就可以快速锁定中毒电脑.可以设想用程序来实现以下功能:在网络正常的时候,牢牢记住正确网关的IP地址和MAC地址,并且实

ARP病毒反复发作 反病毒专家支六招彻底防范

[搜狐IT消息]7月23日,"我曾经中了ARP病毒,为什么第一次中了后就会反复发作,即使清除干净后过一段时间后又出现了?有没有什么有效的清除方法?"近日,很多电脑用户提出类似问题,由于清除此类病毒异常困难,用户迫切希望能够了解怎样才能彻底防范此类病毒. 据江民反病毒专家介绍,ARP病毒发作时,通常会造成网络掉线,但网络连接正常,内网的部分电脑不能上网,或者所有电脑均不能上网,无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象,严重影响到企业网络.网吧.校园网络等局域网的正

如何清除局域网中的ARP病毒

现在局域网中感染ARP病毒的情况比较多,清理和防范都比较困难,给不少的网络管理员造成了很多的困扰.下面就是个人在处理这个问题的一些经验,同时也在网上翻阅了不少的参考资料. ARP病毒的症状 有时候无法正常上网,有时候有好了,包括访问网上邻居也是如此,拷贝文件无法完成,出现错误:局域网内的ARP包爆增,使用ARP查询的时候会发现不正常的MAC地址,或者是错误的MAC地址对应,还有就是一个MAC地址对应多个IP的情况也会有出现. ARP攻击的原理 ARP欺骗攻击的包一般有以下两个特点,满足之一可视为

如何清除arp病毒

有关ARP病毒问题的处理说明: 故障现象 :机器以前可正常上网的,突然出现可认证,不能上网的现象(无法ping通网关),重启机器或在MSDOS窗口下运行命令ARP -d后,又可恢复上网一段时间. 故障原因:这是APR病毒欺骗攻击造成的. 引起问题的原因一般是由传奇外挂携带的ARP木马攻击.当在局域网内使用上述外挂时,外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上,向局域网内大量发送ARP包,从而致使同一网段地址内的其它机器误将其作为网关,这就是为什么掉线时内网是互通的,计算机却不能上

进阶防御来自ARP病毒的欺骗攻击

要了解ARP欺骗攻击, 我们首先要了解ARP协议以及它的工作原理,以更好的来防范和排除ARP攻击的带来的危害.本文为大家带来进阶的ARP攻击防制方法. 基本ARP介绍 ARP "Address Resolution Protocol"(地址解析协议),局域网中,网络中实际传输的是"帧",帧里面是有目标主机的MAC地址的.所谓"地址解析"就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程.ARP协议的基本功能就是通过目标设备的IP地址,查询

巧妙清除并防范局域网中的ARP病毒

现在局域网中感染ARP病毒的情况比较多,清理和防范都比较困难,给不少的网络管理员造成了很多的困扰.下面就是个人在处理这个问题的一些经验,同时也在网上翻阅了不少的参考资料. ARP 病毒的症状 有时候无法正常上网,有时候有好了,包括访问网上邻居也是如此,拷贝文件无法完成,出现错误:局域网内的ARP包爆增,使用ARP查询的时候会发现不正常的MAC地址,或者是错误的MAC地址对应,还有就是一个MAC地址对应多个IP的情况也会有出现. ARP攻击的原理 ARP欺骗攻击的包一般有以下两个特点,满足之一可视