为了正常的体验网站,请在浏览器设置里面开启Javascript功能!

网络连接但上不了网

2017-09-18 4页 doc 16KB 16阅读

用户头像

is_842972

暂无简介

举报
网络连接但上不了网网络连接但上不了网 朋友你们那里中了ARP病毒了 可以在三层交换里配置关于ARP协议的防范或者你下一个Aarp病毒防犯工具AntiArp.exe 这是我们这里对这个病毒的报告你看看 ARP病毒导致不能上网 维护中心网络安全部 2006年6月8日 【故障原因】 近一段时间以来政务网部分用户受到一种名为ARP欺骗木马程序病毒的攻击ARP是―Address Resolution Protocol‖―地址解析协议‖的缩写病毒发作时其症状表现为计算机网络连接正常却无法打开网页无法ping通网关及DNS或由于ARP欺骗的木马程序病毒发作...
网络连接但上不了网
网络连接但上不了网 朋友你们那里中了ARP病毒了 可以在三层交换里配置关于ARP协议的防范或者你下一个Aarp病毒防犯工具AntiArp.exe 这是我们这里对这个病毒的报告你看看 ARP病毒导致不能上网 维护中心网络安全部 2006年6月8日 【故障原因】 近一段时间以来政务网部分用户受到一种名为ARP欺骗木马程序病毒的攻击ARP是―Address Resolution Protocol‖―地址解析协议‖的缩写病毒发作时其症状表现为计算机网络连接正常却无法打开网页无法ping通网关及DNS或由于ARP欺骗的木马程序病毒发作时发出大量的数据包导致局域网用户上网不稳定极大地影响了政务网用户的正常使用。目前在政务网的个别网段内政法委、法制办、计生委及安源区受到该病毒攻击较为严重给整个政务的安全带来严重的隐患。为此特提醒政务网用户务必采取以下措施。 局域网内有人使用ARP欺骗的木马程序比如传奇盗号的软件某些传奇外挂中也被恶意加载了此程序。通过 IE浏览器漏洞、QQ/MSN等通讯软件、下载等途径传播 【故障原理】 要了解故障原理我们先来了解一下ARP协议。 在局域网中通过ARP协议来完成IP地址转换为第二层物理地址即MAC地址的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗能够在网络中产生大量的ARP通信量使网络阻塞。 ARP协议是―Address Resolution Protocol‖地址解析协议的缩写。在局域网中网络中实际传输的是―帧‖帧里面是有目标主机的MAC地址的。在以太网中一个主机要和另一个主机进行直接通信必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢它就是通过地址解析协议获得的。所谓―地址解析‖就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址查询目标设备的MAC地址以保证通信的顺利进行。 每台安装有TCP/IP协议的电脑里都有一个ARP缓存表表里的IP地址与MAC地址是一一对应的如下表所示。 主机 IP地址 MAC地址 A 192.168.16.1 aa-aa-aa-aa-aa-aa B 192.168.16.2 bb-bb-bb-bb-bb-bb C 192.168.16.3 cc-cc-cc-cc-cc-cc D 192.168.16.4 dd-dd-dd-dd-dd-dd 我们以主机A192.168.16.1向主机B192.168.16.2发送数据为例。当发送数据时主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了也就知道了目标MAC地址直接把目标MAC地址写入帧里面发送就可以了如果在ARP缓存表中没有找到相对应的IP地址主机A就会在网络上发送一个广播目标MAC地址是―FF.FF.FF.FF.FF.FF‖这表示向同一网段内的所有主机发出这样的询问―192.168.16.2的MAC地址是什么‖网络上其他主机并不响应ARP询问只有主机B接收到这个帧时才向主机A做出这样的回应―192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb‖。这样主机A就知道了主机B的MAC地址它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表下次再向主机B发送信息时直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制在一段时间内如果表中的某一行没有使用就会被删除这样可以大大减少ARP缓存表的长度加快查询速度。 从上面可以看出ARP协议的基础就是信任局域网内所有的人那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候把C的MAC地址骗为DD-DD-DD-DD-DD-DD于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么嗅探成功。 A对这个变化一点都没有意识到但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。 做―man in the middle‖进行ARP重定向。打开D的IP转发功能A发送过来的数据包转发给C好比 一个路由器一样。不过假如D发送ICMP重定向的话就中断了整个。 D直接进行整个包的修改转发捕获到A发送给C的数据包全部进行修改后再转发给C而C接收到的数据包完全认为是从A发送来的。不过C发送的数据包又直接传递给A倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了对于A和C之间的通讯就可以了如指掌了。 【故障现象】 当局域网内某台主机运行ARP欺骗的木马程序时会欺骗局域网内所有主机和路由器让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网切换的时候用户会断一次线。 arp木马病毒的欺骗原理以1栋的一台中毒电脑为例子 1。中毒电脑在1栋的网络里不断告诉欺骗其他电脑―我是网关你们要上网要先通过我这里‖。这时所有电脑都会被它欺骗了信息都不通过正确的网关而是先通过病毒电脑。这样它就可以窃取你的各种帐号密码。这时如果第二步不发生的话你就完全上不了网具体看第二步 2。中毒电脑不断地告诉欺骗1栋的网关―我是某电脑、所有发送给这台电脑的信息请发给我‖。这一步可发生也可能不发生看病毒制造者的良心。―某电脑‖是不断变化的代表1栋里面的所有电脑。 这时的网络情况是这样的 只发生第一步而没有第二步 正常电脑病毒电脑断网 第一步和第二步都发生 正常电脑病毒电脑网关正常上网速度奇慢 由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时用户会恢复从交换机或路由器上网切换过程中用户会再断一次线。 【在局域网内查找病毒主机】 方法一 步骤一. 在能上网时进入MS-DOS窗口输入命令arp –a 查看网关IP对应的正确MAC地址将其记录下来。 注如果已经不能上网则先运行一次命令arp –d将arp缓存中的内容删空计算机可暂时恢复上网攻击如果不停止的话一旦能上网就立即将网络断掉禁用网卡或拔掉网线再运行arp –a。 步骤二. 如果已经有网关的正确MAC地址在不能上网时手工将网关IP和正确MAC绑定可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令 arp –s 网关IP 网关MAC 例如假算机所处网段的网关为218.196.64.254本机地址为218.196.64.1在计算机上运行arp –a后输出如下 C:arp -a Interface: 218.196.64.1 --- 0x1002 Internet Address Physical Address Type 218.196.64.254 00-14-a9-9a-7b-01 dynamic 其中00-14-a9-9a-7b-01就是网关218.196.64.254对应的MAC地址类型是动态dynamic的因此是可被改变。 被攻击后再用该命令查看就会发现该MAC已经被替换成攻击机器的MAC如果大家希望能找出攻击机器彻底根除攻击可以在此时将该MAC记录下来为以后查找做准备。 手工绑定的命令为 arp –s 218.196.64.254 00-14-a9-9a-7b-01 绑定完可再用arp –a查看arp缓存 C:arp -a Interface: 218.196.64.1 --- 0x1002 Internet Address Physical Address Type 218.196.64.254 00-14-a9-9a-7b-01 static 这时类型变为静态static就不会再受攻击影响了。 特别注意的是——手工绑定在计算机关机重开机后就会失效需要再绑定所以只能暂时解决问。 要彻底根除攻击只有找出网段内被病毒感染的计算机将其断网安装杀毒软件及防火墙仔细检查系统进程、服务、注册表等及时清理方可解决。另一方面其他正常的电脑也需要加强安全防护及时安装系统补丁这需要网管和大家齐心协助解决。 方法二 三、在受到ARP欺骗木马程序病毒攻击时用户按下列操作―开始‖-―所有程序‖-―附件‖-―c:提示符‖状态下输入―arp -d‖恢复正常上网并及时下载Anti ARP Sniffer软件保护本地计算机正常运行点击下载安装配置前请先查看帮助。 附件: 1、Anti ARP Sniffer软件下 载
/
本文档为【网络连接但上不了网】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑, 图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。 本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。 网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。

历史搜索

    清空历史搜索