從sniffer下手揪出ARP病毒的幾種方法

字號:

一,ARP欺騙病毒發(fā)作跡象
    一般來說ARP欺騙病毒發(fā)作主要有以下幾個(gè)特點(diǎn),首先網(wǎng)絡(luò)速度變得非常緩慢,部分計(jì)算機(jī)能夠正常上網(wǎng),但是會出現(xiàn)偶爾丟包的現(xiàn)象。例如ping網(wǎng)關(guān)丟包。而其他大部分計(jì)算機(jī)是不能夠正常上網(wǎng)的,掉包現(xiàn)象嚴(yán)重。但是這些不能上網(wǎng)的計(jì)算機(jī)過一段時(shí)間又能夠自動連上。ping網(wǎng)關(guān)地址會發(fā)現(xiàn)延遲波動比較大。另外即使可以正常上網(wǎng),象諸如郵箱,論壇等功能的使用依然出現(xiàn)無法正常登錄的問題。
    二,確認(rèn)ARP欺騙病毒發(fā)作
    當(dāng)我們企業(yè)網(wǎng)絡(luò)中出現(xiàn)了和上面描述類似的現(xiàn)象時(shí)就需要我們在本機(jī)通過arp顯示指令來確認(rèn)病毒的發(fā)作了。
    第一步:通過“開始->運(yùn)行”,輸入CMD指令后回車。這樣我們將進(jìn)入命令提示窗口。
    第二步:在命令提示窗口中我們輸入ARP -A命令來查詢本地計(jì)算機(jī)的ARP緩存信息。在顯示列表中的physical address列就是某IP對應(yīng)的MAC地址了??荚嚧筇崾救绻髽I(yè)沒有進(jìn)行任何MAC與IP地址綁定工作的話,ARP模式列顯示的都是dynamic動態(tài)獲得。當(dāng)我們發(fā)現(xiàn)arp -a指令執(zhí)行后顯示信息網(wǎng)關(guān)地址對應(yīng)的MAC地址和正確的不同時(shí)就可以的確定ARP欺騙病毒已經(jīng)在網(wǎng)絡(luò)內(nèi)發(fā)作了。例如正常情況下筆者網(wǎng)絡(luò)內(nèi)網(wǎng)關(guān)地址192.168.2.1對應(yīng)的MAC地址是00-10-5C-AC-3D-0A,然而執(zhí)行后卻發(fā)現(xiàn)192.168.2.1對應(yīng)的MAC地址為00-10-5c-ac-31-b6。網(wǎng)關(guān)地址MAC信息錯(cuò)誤或變化確認(rèn)是ARP病毒造成的。
    第三步:我們用筆將錯(cuò)誤的MAC地址記錄下來,為日后通過sniffer排查做準(zhǔn)備。
    接下來我們就應(yīng)該利用sniffer這個(gè)強(qiáng)大的工具來找出病毒根源了。
    三,從sniffer下手揪出ARP病毒
    一般來說的辦法是找一臺沒有感染病毒的計(jì)算機(jī)連接到企業(yè)核心路由交換設(shè)備的鏡像端口來抓取數(shù)據(jù)包??荚嚧筇崾救绻麤]有鏡像端口直接連接到網(wǎng)絡(luò)中抓取也可以,只是所抓數(shù)據(jù)會不全,分析問題的周期比較長。
    第一步:我們按照實(shí)際需要將用來分析故障的筆記本連接到交換機(jī)的鏡像端口上。運(yùn)行sniffer,在sniffer軟件中打開dashboard面板,這個(gè)面板主要是掃描當(dāng)前網(wǎng)絡(luò)中數(shù)據(jù)包的宏觀信息,即什么樣的數(shù)據(jù)包有多少個(gè)。一般來說病毒都是以廣播數(shù)據(jù)包來傳播的,所以只需要查看每秒網(wǎng)絡(luò)內(nèi)的廣播數(shù)據(jù)包數(shù)量就可以判斷病毒危害的嚴(yán)重與否。在dashboard面板中我們可以看到broadcasts/s處顯示的信息為26個(gè),也就是說對當(dāng)前網(wǎng)絡(luò)抓取結(jié)果是一秒鐘有26個(gè)廣播數(shù)據(jù)包。和平常比要多一些。
    第二步:接下來我們在sniffer軟件中切換到hosttable主機(jī)列表中,具體查看到底哪個(gè)計(jì)算機(jī)發(fā)送的廣播數(shù)據(jù)包最多。一般來說如果網(wǎng)絡(luò)內(nèi)有蠕蟲病毒,那么這臺主機(jī)的廣播量要遠(yuǎn)遠(yuǎn)大于其他主機(jī)。例如本例中就會看到有一臺計(jì)算機(jī)的廣播數(shù)據(jù)包為14344個(gè),是其他正常計(jì)算機(jī)發(fā)送包的1000倍還多。這樣就可以判斷該計(jì)算機(jī)有問題。
    第三步:我們在sniffer軟件中切換到協(xié)議分析標(biāo)簽(protocol distribution,看到網(wǎng)絡(luò)內(nèi)ARP數(shù)據(jù)包占用的比例比較大,達(dá)到了12%以上,這也是不正常的。一般來說一個(gè)正常的網(wǎng)絡(luò)應(yīng)該99%以上數(shù)據(jù)包都是IP數(shù)據(jù)包,ARP數(shù)據(jù)包小于1%。
    第四步:接下來就該對嫌疑犯進(jìn)行監(jiān)控了,這在以前的文章中也介紹過,針對發(fā)送廣播量的主機(jī)進(jìn)行抓包分析,能夠發(fā)現(xiàn)他不斷的欺騙網(wǎng)關(guān),向外發(fā)送的數(shù)據(jù)包目的地址都是連續(xù)的,聲稱他是192.168.2.0/24網(wǎng)段的主機(jī),從而造成其他主機(jī)無法和正確網(wǎng)關(guān)進(jìn)行正常通訊,都被他欺騙了。
    第五步:了解到出現(xiàn)問題計(jì)算機(jī)的MAC地址后我們通過查詢sniffer監(jiān)控的數(shù)據(jù),特別是查看該MAC和真正網(wǎng)關(guān)地址通訊時(shí)數(shù)據(jù)包的內(nèi)容就可以找到他的IP地址了。當(dāng)然如果企業(yè)有DHCP服務(wù)器的話,也可以到DHCP服務(wù)器的地址租約池中查看該MAC地址對應(yīng)的IP地址信息??傊覀兛梢酝ㄟ^多種方法來通過MAC找到IP地址,從而最終確定病毒的根源。
    第六步:找到了這個(gè)有問題的MAC地址和IP地址后我們就可以針對該計(jì)算機(jī)進(jìn)行斷網(wǎng)隔離殺毒了。殺毒完畢連接到網(wǎng)絡(luò)中問題全部解決,網(wǎng)絡(luò)恢復(fù)正常。