为了正常的体验网站,请在浏览器设置里面开启Javascript功能!

网络连接但上不了网

2017-09-15 6页 doc 18KB 41阅读

用户头像

is_153723

暂无简介

举报
网络连接但上不了网网络连接但上不了网 朋友,你们那里中了ARP病毒了 可以在三层交换里配置关于ARP协议的防范,或者你下一个Aarp病毒防犯工具AntiArp.exe 这是我们这里对这个病毒的报告,你看看 ARP病毒导致不能上网 维护中心网络安全部 2006年6月8日 【故障原因】 近一段时间以来政务网部分用户受到一种名为ARP欺骗木马程序(病毒)的攻击(ARP是“Address Resolution Protocol”“地址解析协议”的缩写),病毒发作时其症状表现为计算机网络连接正常,却无法打开网页无法ping通网关及DNS;或...
网络连接但上不了网
网络连接但上不了网 朋友,你们那里中了ARP病毒了 可以在三层交换里配置关于ARP的防范,或者你下一个Aarp病毒防犯工具AntiArp.exe 这是我们这里对这个病毒的,你看看 ARP病毒导致不能上网 维护中心网络安全部 2006年6月8日 【故障原因】 近一段时间以来政务网部分用户受到一种名为ARP欺骗木马程序(病毒)的攻击(ARP是“Address Resolution Protocol”“地址解析协议”的缩写),病毒发作时其症状表现为计算机网络连接正常,却无法打开网页无法ping通网关及DNS;或由于ARP欺骗的木马程序(病毒)发作时发出大量的数据包,导致局域网用户上网不稳定,极大地影响了政务网用户的正常使用。目前,在政务网的个别网段内(政法委、法制办、计生委及安源区)受到该病毒攻击较为严重,给整个政务的安全带来严重的隐患。为此,特提醒政务网用户务必采取以下措施。 局域网内有人使用ARP欺骗的木马程序(比如:传奇盗号的软件,某些传奇外挂中也被恶意加载了此程序)。通过 IE浏览器漏洞、QQ/MSN等通讯软件、下载等途径传播 【故障原理】 要了解故障原理,我们先来了解一下ARP协议。 在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。 ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢,它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。 每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如下表所示。 主机 IP地址 MAC地址 A 192.168.16.1 aa-aa-aa-aa-aa-aa B 192.168.16.2 bb-bb-bb-bb-bb-bb C 192.168.16.3 cc-cc-cc-cc-cc-cc D 192.168.16.4 dd-dd-dd-dd-dd-dd 我们以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.16.2的MAC地址是什么,”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。 从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗,A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候,把C的MAC地址骗为DD-DD-DD-DD-DD-DD,于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么,嗅探成功。 A对这个变化一点都没有意识到,但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。 做“man in the middle”,进行ARP重定向。打开D的IP转发功能,A发送过来的数据包,转发给C,好比一个路由器一样。不过,假如D发送ICMP重定向的话就中断了整个计划。 D直接进行整个包的修改转发,捕获到A发送给C的数据包,全部进行修改后再转发给C,而C接收到的数据包完全认为是从A发送来的。不过,C发送的数据包又直接传递给A,倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了,对于A和C之间的通讯就可以了如指掌了。 【故障现象】 当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。 arp木马病毒的欺骗原理(),以1栋的一台中毒电脑为例子: 1。中毒电脑在1栋的网络里不断告诉(欺骗)其他电脑:“我是网关,你们要上网要先通过我这里”。这时所有电脑都会被它欺骗了,信息都不通过正确的网关,而是先通过病毒电脑。这样它就可以窃取你的各种帐号密码。这时如果第二步不发生的话,你就完全上不了网(具体看第二步) 2。中毒电脑不断地告诉(欺骗)1栋的网关:“我是某电脑、所有发送给这台电脑的信息请发给我”。这一步可发生也可能不发生(看病毒制造者的良心)。“某电脑”是不断变化的,代 表1栋里面的所有电脑。 这时的网络情况是这样的: 只发生第一步而没有第二步: 正常电脑,>病毒电脑,>断网 第一步和第二步都发生: 正常电脑,>病毒电脑,>网关,>正常上网(速度奇慢) 由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从交换机或路由器上网,切换过程中用户会再断一次线。 【在局域网内查找病毒主机】 方法一: 步骤一. 在能上网时,进入MS-DOS窗口,输入命令:arp –a 查看网关IP对应的正确MAC地址,将其记录下来。 注:如果已经不能上网,则先运行一次命令arp –d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp –a。 步骤二. 如果已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令: arp –s 网关IP 网关MAC 例如:假算机所处网段的网关为218.196.64.254,本机地址为218.196.64.1在计算机上运行arp –a后输出如下: C:\>arp -a Interface: 218.196.64.1 --- 0x1002 Internet Address Physical Address Type 218.196.64.254 00-14-a9-9a-7b-01 dynamic 其中00-14-a9-9a-7b-01就是网关218.196.64.254对应的MAC地址,类型是动态(dynamic)的,因此是可被改变。 被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC,如果大家希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找做准备。 手工绑定的命令为: arp –s 218.196.64.254 00-14-a9-9a-7b-01 绑定完,可再用arp –a查看arp缓存, C:\>arp -a Interface: 218.196.64.1 --- 0x1002 Internet Address Physical Address Type 218.196.64.254 00-14-a9-9a-7b-01 static 这时,类型变为静态(static),就不会再受攻击影响了。 特别注意的是——手工绑定在计算机关机重开机后就会失效,需要再绑定,所以只能暂时解决问题。 要彻底根除攻击,只有找出网段内被病毒感染的计算机,将其断网,安装杀毒软件及防火墙,仔细检查系统进程、服务、注册表等,及时清理方可解决。另一方面其他正常的电脑,也需要加强安全防护,及时安装系统补丁,这需要网管和大家齐心协助解决。 方法二: 三、在受到ARP欺骗木马程序(病毒)攻击时,用户按下列操作:“开始”-“所有程序”-“附件”-“c:\提示符”状态下输入“arp -d”恢复正常上网,并及时下载Anti ARP Sniffer软件保护本地计算机正常运行(点击下载,安装配置前,请先查看帮助)。 附件: 1、Anti ARP Sniffer软件下载
/
本文档为【网络连接但上不了网】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑, 图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。 本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。 网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。

历史搜索

    清空历史搜索