Nbtt 호스트
지난주부터 출근할 때 일어난 이상한 일이 계속 나를 괴롭히고 있다. 처음에는 사이버 불안정이 간헐적인 현상으로 이어진 줄 알았고, 나의 높은 중시를 불러일으키지 않았다. 하지만 이틀 후, 현상이 점점 더 심각해지고, 발생 빈도도 점점 높아지고 있다. 동시에 다른 동료의 컴퓨터도 정상적으로 인터넷을 할 수 없었고, 고장은 나와 똑같았기 때문에 나의 주의를 끌었고, 그래서 이 문제를 조사하기로 결정했다.
최초의 판단은 주로 내 자신의 컴퓨터를 둘러싸고 있었다. 약물을 검사하고 시스템을 재설치한 후에도 문제가 계속 발생합니다. 문제는 내 컴퓨터에 있지 않나요? 의문을 가지고 나는 바이두의 검색 페이지를 열어 인터넷의 간헐적인 관련 정보를 확인했다. 역시 이런 현상은 최근의 핫스팟이다. 그 이유는 ARP 트로이 바이러스입니다. 그 원리는 게이트웨이의 MAC 주소를 다시 쓰는 것입니다. 게이트웨이에 액세스하는 컴퓨터가 게이트웨이 장치를 제대로 찾지 못하여 네트워크가 제대로 연결되지 않아 네트워크가 마비될 수 있습니다. 추가 조사에 따르면 이 트로이는 LAN 내 누군가가 ARP 를 이용해 속인 트로이의 형태로 나타났다 (예: 일부 레전드 플러그인에서 해적호를 악의적으로 로딩한 레전드 소프트웨어). 그러나 네트워크의 모든 컴퓨터가 게이트웨이에 제대로 액세스할 수 없어 인터넷에 접속할 수 없게 되는 현상이다. 그래서 자신의 컴퓨터에서 조사해 보면 반드시 결실을 맺지 못할 것이다. 자신의 컴퓨터는 피해자 중 하나일 뿐이기 때문이다.
다음과 같은 두 가지 솔루션이 있습니다.
하나는 바이러스를 완전히 제거하는 대신 인터넷을 사용할 수 없는 문제를 일시적으로 해결할 수 있는 임시 응급형이다. Windows 시스템과 함께 제공되는 ARP 명령을 사용하면 된다. 방법은 다음과 같습니다. 시작, 실행,' ARP -s 게이트웨이 주소 게이트웨이 MAC 주소' 를 입력하면 게이트웨이 주소가 실제 게이트웨이 MAC 주소를 바인딩할 수 있고 LAN 내 바이러스 호스트는 더 이상 방해하지 않습니다! 그러나 문제는 이 방법이 컴퓨터 재부팅 후 자동으로 효력을 상실한다는 점이다. 다시 사용하려면 이 작업을 반복해야 한다는 것이다.
둘째, 철저한 탈락법이다. 이 방법은 반드시 인터넷에서 감염된 바이러스 숙주 를 찾아내야 한다. 몇 대의 컴퓨터만 LAN 에 연결되어 있다면, 그것들을 찾는 것은 매우 어렵다. 바이러스 숙주 찾기와 소독만 하면 문제가 해결된다. 하지만 LAN 에 수십 대, 심지어 수백 대의 컴퓨터 호스트가 있다면 찾기가 훨씬 어려워질 것이다. ...
이제 문제가 발견되었습니다. 다음은 바이러스 숙주 검색입니다. 회사가 인터넷을 하는 작은 LAN 에는 5 ~ 6 대 정도의 컴퓨터밖에 없기 때문에 찾기에 많은 어려움이 따른다. 하지만 순조로운 것도 아니다. 바이러스 호스트가 위장한 MAC 주소는 자신의 카드 MAC 주소를 사용하지 않고 허구의 주소를 꾸며 나를 다시 혼란스럽게 하기 때문이다. 하지만 나중에 ARP -a 명령을 사용할 때 항상 IP 주소 (이 IP 는 내 컴퓨터도 게이트웨이도 아님) 가 있다는 것을 알게 되자, 이 IP 주소가 모든 고장의 시초라고 의심해 허브에서 이 IP 에 해당하는 네트워크 케이블을 찾아 전화를 걸었다. 과연, 이 바이러스 호스트의 간섭 없이, 인터넷은 마침내 정상으로 돌아갔다. 이에 따라 ARP 바이러스로 인한 인터넷 간헐적인 문제가 바이러스 호스트 캡처로 완벽하게 막을 내렸다.
첨부: ARP 관련 정보 및 게이트웨이 MAC 주소 찾기 방법.
APR 바이러스, 주소를 속이는 바이러스입니다.
실패 원인
LAN 내의 누군가가 ARP 스푸핑 트로이 목마 프로그램을 사용한다.
고장 원리
고장 원리를 이해하려면 먼저 ARP 프로토콜을 이해합시다.
LAN 에서 IP 주소는 ARP 프로토콜을 통해 두 번째 계층 물리적 주소 (MAC 주소) 로 변환됩니다. ARP 프로토콜은 네트워크 보안에 큰 의미가 있습니다. IP 주소와 MAC 주소를 위조하여 ARP 스푸핑을 하면 네트워크에서 대량의 ARP 트래픽을 생성하여 네트워크를 차단할 수 있습니다.
ARP 프로토콜은 "주소 확인 프로토콜" 의 약자입니다. LAN 에서 네트워크에서 실제로 전송되는 것은 대상 호스트의 MAC 주소가 포함된 "프레임" 입니다. 이더넷에서 한 호스트가 다른 호스트와 직접 통신하려면 대상 호스트의 MAC 주소를 알아야 합니다. 그런데 이 목표 MAC 주소는 어떻게 얻었나요? 주소 확인 프로토콜을 통해 얻습니다. 주소 확인이란 호스트가 프레임을 보내기 전에 대상 IP 주소를 대상 MAC 주소로 변환하는 프로세스입니다. ARP 프로토콜의 기본 기능은 대상 장치의 IP 주소를 통해 대상 장치의 MAC 주소를 쿼리하여 원활한 통신을 보장하는 것입니다.
TCP/IP 프로토콜이 설치된 각 컴퓨터에는 다음 표와 같이 IP 주소와 MAC 주소가 하나씩 일치하는 ARP 캐시 테이블이 있습니다.
호스트 IP 주소 MAC 주소
A192.168.16.1aa-aa-aa-aa-aa
B192.168.16.2 b-b-b-b-b-b-b
C192.168.16.3
D192.168.16.4
호스트 a (192.168.16.1) 를 호스트 b (1) 에 사용했습니다 호스트 a 는 데이터를 전송할 때 ARP 캐시 테이블에서 대상 IP 주소를 찾습니다. 찾으면 대상 MAC 주소를 알고 대상 MAC 주소를 프레임에 직접 쓰면 됩니다. ARP 캐시 테이블에서 해당 IP 주소를 찾을 수 없는 경우 호스트 a 는 대상 MAC 주소가' FF' 인 네트워크에서 브로드캐스트를 보냅니다. FF.FF.FF.FF.FF' 는 같은 네트워크 세그먼트의 모든 호스트에'192.168.16.2 의 네트워크의 다른 호스트는 ARP 쿼리에 응답하지 않습니다. 호스트 b 만 이 프레임을 수신한 경우에만 호스트 a: "192.168.16.2 의 MAC 주소는 b-b b-b-b; 이렇게 하면 호스트 A 는 호스트 B 의 MAC 주소를 알고 호스트 B 에 정보를 보낼 수 있습니다 ... 또한 자체 ARP 캐시 테이블도 업데이트합니다. 다음에 호스트 B 에 정보를 보낼 때 ARP 캐시 테이블에서 직접 찾으면 됩니다. ARP 캐시 테이블은 노화 메커니즘을 사용합니다. 테이블의 행이 일정 기간 동안 사용되지 않으면 삭제되어 ARP 캐시 테이블의 길이를 크게 줄이고 쿼리 속도를 높일 수 있습니다.
위에서 알 수 있듯이 ARP 프로토콜은 LAN 에 있는 모든 사람을 신뢰하기 때문에 이더넷에서 ARP 스푸핑을 쉽게 수행할 수 있습니다. 타겟 a, A Ping 호스트 c 를 속여 주소 DD-DD-DD-DD-DD 로 보냅니다. 부정행위를 할 때 C 의 MAC 주소를 DD-DD-DD-DD-DD-DD-DD 로 속이면 A 가 C 에 보낸 모든 패킷이 D 로 보내집니다. D 가 A 에서 보낸 패킷을 받을 수 있는 거 아닌가요? 스니핑 성공.
A 는 이 변화를 전혀 의식하지 못했지만, 다음에 일어난 일은 의심을 불러일으켰다. A 와 c 는 연결할 수 없기 때문입니다. D a 에서 보낸 수신 패킷을 c 로 전달하지 않을 수 있습니다 .....
"중매인" 을 하고 ARP 를 리디렉션합니다. D 의 IP 전달 기능을 켜면 A 에서 보낸 패킷이 라우터처럼 C 로 전달됩니다. 그러나 D 가 ICMP 리디렉션을 전송하면 전체 계획이 중단됩니다.
D 전체 패킷을 직접 수정하고 전달하고, A 가 C 로 보낸 패킷을 캡처하고, 모두 수정하여 C 로 전달하고, C 가 받은 패킷은 완전히 A 가 보낸 것으로 간주됩니다. 하지만 C 가 보낸 패킷은 A 로 직접 전달되어 다시 ARP 가 C 를 속이는 것을 방지합니다. 이제 D 는 완전히 A 와 C 사이의 다리가 되었으니 A 와 C 사이의 교류에 대해 잘 알 수 있습니다.
현상
LAN 내 호스트가 ARP 스푸핑 트로이 목마 프로그램을 실행하면 LAN 내 모든 호스트와 라우터가 속여 모든 인터넷 트래픽이 바이러스 호스트를 통과하게 됩니다. 다른 사용자들은 이전에 라우터를 통해 직접 인터넷을 하다가 지금은 바이러스 호스트를 통해 인터넷을 한다. 전환 시 사용자가 한 번 연결 해제됩니다.
바이러스 호스트로 전환하여 인터넷에 접속한 후 사용자가 이미 전설의 서버에 로그인했다면 바이러스 호스트는 종종 단절된 허상을 위조한 다음 사용자는 전설의 서버에 다시 로그인해서 바이러스 호스트가 도적할 수 있도록 해야 한다. (윌리엄 셰익스피어, 윈프리, 독서명언) (윌리엄 셰익스피어, Northern Exposure (미국 TV 드라마), 인터넷명언)
ARP 스푸핑 트로이 목마의 공격으로 인해 대량의 패킷이 전송되어 LAN 통신이 혼잡하고 처리 능력이 제한되어 사용자가 인터넷 접속 속도가 점점 느려지는 것을 느낄 수 있다. ARP 스푸핑 트로이 목마 프로그램이 작동을 멈추면 사용자는 라우터에서 인터넷을 재개하고 전환 중 사용자가 다시 인터넷을 끊는다.
HiPER 사용자는 ARP 스푸핑 트로이 목마를 빨리 발견했습니다.
라우터의' 시스템 내역' 에서 macchged10.128.6438+003./kk 의 많은 정보를 볼 수 있습니다
MAC 이전 버전 00: 01:6c: 36: d1:7f
애플 신상품 00:05:5d:60:c7: 18
이 메시지는 사용자의 MAC 주소가 변경되었음을 나타냅니다. ARP 스푸핑 트로이 목마가 실행되면 LAN 에 있는 모든 호스트의 MAC 주소가 바이러스 호스트의 MAC 주소 (즉, 모든 정보의 MAC 새 주소가 바이러스 호스트의 MAC 주소와 동일함) 로 업데이트되고 라우터의 사용자 통계에 있는 모든 사용자의 MAC 주소 정보가 동일합니다.
많은 수의 MAC 오래된 주소가 라우터의 "시스템 내역" 에서 일치하는 경우 LAN 에서 ARP 스푸핑이 발생한 것입니다 (ARP 스푸핑 트로이 목마 프로그램이 작동을 중지하면 호스트가 라우터에서 실제 MAC 주소를 복구함).
Lan 에서 바이러스 숙주 검색
위에서 우리는 이미 ARP 스푸핑 목마를 사용하는 호스트의 MAC 주소를 알고 있으므로 NBTSCAN (다운로드 주소는 바이두 검색을 통해 찾을 수 있음) 도구를 사용하여 신속하게 찾을 수 있습니다.
NBTSCAN 은 PC 의 실제 IP 주소와 MAC 주소를 얻을 수 있습니다. 전설적인 트로이마가 이상한 일을 하고 있다면 트로이마로 PC 의 IP/ MAC 주소를 찾을 수 있다.
명령: "nbtscan-r192.168.16.0/24" (전체/kloc-검색 또는 "nbtscan192.168.16.25-137" 검색/kloc 출력 결과의 첫 번째 열은 IP 주소이고 마지막 열은 MAC 주소입니다.
NBTSCAN 사용 예:
MAC 주소가 "00-0d-87-0d-58-5f" 인 바이러스 호스트를 찾는다고 가정합니다.
1) 압축 패키지의 nbtscan.exe 및 Cygwin 1.dll 을 c:\windows\system32 (winxp) 에 압축 해제합니다.
2) Windows 시작-실행-열기, cmd 입력 (Windows 98 에는' command' 입력), 나타나는 DOS 창에 NBT scan-r192./를 입력합니다 화면에 다음과 같은 정보가 나타납니다.
경고: -r 옵션은 Windows 에서 지원되지 않습니다. 그것 없이도 달릴 수 있다.
192.168.16.1/24 의 주소에 대한 NBT 이름 검사를 수행합니다
IP 주소 NetBIOS 이름 서버 사용자 MAC 주소
--
192.168.16.0 실패: 요청한 주소를 할당할 수 없습니다
192.168.16.50
192.168.16.11llf 관리자 00-22-
192.168.16.121utt-hiper
192.168.16.175
192.168.16.223 테스트 123 테스트12300-;
3) IP-MAC 매핑 테이블을 쿼리하여' 000d870d585f' 바이러스 호스트의 IP 주소가'192.168.5438+06.223' 인 것으로 나타났습니다 물론 바이러스 호스트를 찾을 수 없을 수도 있습니다. 발부된 MAC 주소는 위조되어 존재하지 않기 때문입니다.
문제를 해결하다
1. 당신의 사이버 보안 신뢰 관계를 IP 또는 MAC (rarp 에도 부정행위 문제가 있음) 에 세우지 말고, 이상적인 관계는 IP+MAC 에 구축되어야 합니다.
2. 정적 MAC 설정->; IP 매핑 테이블, 호스트가 설정한 변환 테이블을 새로 고치지 않도록 합니다.
3. 필요한 경우가 아니면 ARP 사용을 중지하고 ARP 를 해당 테이블에 영구 항목으로 저장합니다.
4. ARP 서버를 사용합니다. 이 서버를 통해 자신의 ARP 변환 테이블을 찾아 다른 시스템의 ARP 방송에 응답합니다. 이 ARP 서버가 해킹되지 않았는지 확인합니다.
5. "에이전트" 를 사용하여 IP 전송을 프록시합니다.
6. 하드웨어로 호스트를 차폐합니다. 경로를 설정하고 IP 주소가 올바른 경로에 도달할 수 있는지 확인합니다. (라우팅 ARP 항목의 정적 구성) 스위칭 허브와 브리지를 사용해도 ARP 스푸핑을 막을 수 없습니다.
7. 관리자는 정기적으로 응답한 IP 패킷에서 rarp 요청을 가져와 ARP 응답의 신뢰성을 확인합니다.
8. 관리자는 정기적으로 폴링하여 호스트의 ARP 캐시를 확인합니다.
9. 방화벽을 사용하여 네트워크를 지속적으로 모니터링합니다. SNMP 를 사용할 때 ARP 스푸핑으로 인해 트랩 패킷이 손실될 수 있습니다.
HiPER 사용자 솔루션
사용자가 양방향 바인딩을 사용하여 ARP 스푸핑을 해결하고 방지하는 것이 좋습니다.
1. PC 에 라우터의 IP 및 MAC 주소 바인딩:
1) 먼저 라우터 인트라넷의 MAC 주소를 가져옵니다 (예: HiPER 게이트웨이 주소192.168.16.254 의 MAC 주소는 00 입니다
2) 다음을 사용하여 배치 파일 rarp.bat 를 작성합니다.
@ 에코 끄기
Arp -d
Arp-s192.168.16.254
파일의 게이트웨이 IP 주소와 MAC 주소를 자신의 주소로 변경하기만 하면 됩니다.
이 배치 소프트웨어를 "windows-시작-프로그램-시작" 으로 드래그하십시오.
필리핀 공화국
ARP (address resolution protocol) 캐시의 항목을 표시하고 수정합니다. ARP 캐시에는 IP 주소 및 구문 분석된 이더넷 또는 토큰 링 물리적 주소를 저장하는 테이블이 하나 이상 포함되어 있습니다. 컴퓨터에 설치된 각 이더넷 또는 토큰 링 어댑터에는 별도의 테이블이 있습니다. 인수 없이 사용하면 ARP 명령은 도움말 정보를 표시합니다.
문법
Arp [-a [inetaddr] [-n iface addr]] [-g [inetaddr] [-n iface addr]] [-d inetaddr [ifar
매개 변수
-a[ InetAddr] [-N IfaceAddr]
모든 인터페이스에 대한 현재 ARP 캐시 테이블을 표시합니다. 특정 IP 주소에 대한 ARP 캐시 항목을 표시하려면 InetAddr 매개 변수와 함께 ARP -a 를 사용합니다. 여기서 InetAddr 은 IP 주소를 나타냅니다. InetAddr 을 지정하지 않으면 첫 번째 적용 가능한 인터페이스가 사용됩니다. 특정 인터페이스에 대한 ARP 캐시 테이블을 표시하려면 -N IfaceAddr 매개 변수와 -a 매개 변수를 사용합니다. 여기서 IfaceAddr 은 인터페이스에 할당된 IP 주소를 나타냅니다. -N 매개변수는 대/소문자를 구분합니다.
-g[ InetAddr] [-N IfaceAddr]
-a 와 같습니다.
-d InetAddr [IfaceAddr]
지정된 IP 주소 항목을 삭제합니다. 여기서 InetAddr 은 IP 주소를 나타냅니다. 테이블에서 지정된 인터페이스에 대한 항목을 제거하려면 IfaceAddr 매개 변수를 사용합니다. 여기서 IfaceAddr 은 인터페이스에 지정된 IP 주소를 나타냅니다. 모든 항목을 제거하려면 InetAddr 대신 별표 (*) 와일드카드를 사용합니다.
-s InetAddr 이더넷 주소
IP 주소 InetAddr 을 물리적 주소 EtherAddr 로 변환하는 정적 항목을 ARP 캐시에 추가합니다. 지정된 인터페이스의 테이블에 정적 ARP 캐시 항목을 추가하려면 IfaceAddr 매개 변수를 사용합니다. 여기서 IfaceAddr 은 인터페이스에 할당된 IP 주소를 나타냅니다.
/?
명령 프롬프트에 도움말을 표시합니다.
주다주석을 달다
InetAddr 및 IfaceAddr 의 IP 주소는 점이 있는 십진수 표기법으로 표시됩니다.
EtherAddr 의 물리적 주소는 6 바이트로 구성되며 16 진수로 하이픈으로 구분됩니다 (예: 00-AA-00-4F-2A-9C).