교내 네트워크가 ARP 스푸핑 바이러스의 공격을 받았습니다. 어떻게 하면 내 컴퓨터가 인터넷에 정상적으로 접속할 수 있나요?

그냥 antiarp를 사용하세요

원칙적으로 바이러스는 Mac 컴퓨터의 Mac 주소를 수정하여 자신을 게이트웨이로 위장합니다. 그런 다음 네트워크의 다른 컴퓨터에서 액세스하려고 합니다. 게이트웨이를 통해 인터넷에 접속하면 바이러스 시스템에 연결됩니다. 바이러스는 몇 분마다 오프라인 상태가 되므로 네트워크의 다른 컴퓨터(예: 온라인 게임을 하는 컴퓨터)가 오프라인 상태가 된 후 로그인하려면 사용자 이름과 비밀번호를 다시 입력해야 합니다. 이때 바이러스는 데이터 패킷을 유출하고 사용자 이름과 비밀번호를 훔칩니다.

사용자들은 'ARP 스푸핑 트로이목마(바이러스)'(ARP는 'Address Resolution Protocol'의 약자)라는 공격을 받아 정부 네트워크 사용자들의 정상적인 운영에 큰 영향을 미쳤다. 전체 정부 네트워크의 보안에 심각한 숨겨진 위험이 있습니다.

1. 장애 현상

일반적으로 인터넷에 접속하는 컴퓨터의 게이트웨이는 192.168.X.254로 설정되어 있습니다. 이 주소는 코어 스위치(레이어 3 스위치)의 IP 주소입니다. ). 게이트웨이를 공유기의 IP 주소 192.168.X.253으로 변경하시면 정상적으로 인터넷에 접속하실 수 있습니다.

바이러스 공격 시 증상은 다음과 같습니다. 컴퓨터 네트워크 연결은 정상이나 웹페이지가 열리지 않거나 ARP 스푸핑 트로이 목마 프로그램(바이러스)이 대량의 데이터를 전송합니다. 패킷을 공격하면 정부 네트워크 사용자의 인터넷 액세스가 불안정해집니다.

중독된 시스템은 APR 스푸핑을 위해 LAN에서 가짜 APR 응답 패킷을 전송하여 다른 클라이언트가 게이트웨이 및 다른 클라이언트의 네트워크 카드의 실제 MAC 주소를 얻을 수 없게 하여 결과적으로 APR을 수행할 수 없게 만듭니다. 인터넷에 접속하세요.

컴퓨터를 다시 시작한 후 잠시 후 인터넷에 접속할 수 있지만 네트워크 연결만 가능하고 웹페이지를 열 수 없습니다.

2. ARP 스푸핑 바이러스 원리 분석

근거리통신망에서 호스트가 다른 호스트와 직접 통신하려는 경우, 호스트의 IP 주소를 아는 것 외에도 대상 호스트인 경우 대상 호스트의 MAC 주소도 알아야 합니다. 그런데 이 대상 MAC 주소는 어떻게 얻나요? 이는 주소 확인 프로토콜을 통해 획득됩니다. 소위 "주소 확인"은 호스트가 데이터를 보내기 전에 대상 IP 주소를 대상 MAC 주소로 변환하는 프로세스입니다. ARP 프로토콜의 기본 기능은 원활한 통신을 위해 대상 장치의 IP 주소를 통해 대상 장치의 MAC 주소를 쿼리하는 것입니다. 즉, ARP 프로토콜은 IP 주소를 MAC 주소(즉, 두 번째 계층 물리적 주소)로 변환하는 데 사용됩니다. LAN에서 실제로 네트워크에 전송되는 것은 "프레임"이며, 프레임에는 대상 호스트의 MAC 주소가 포함됩니다.

TCP/IP 프로토콜이 설치된 모든 컴퓨터에는 ARP 캐시 테이블이 있습니다. 테이블의 IP 주소는 MAC 주소와 일대일로 대응됩니다. 기본적으로 ARP는 캐시에서 IP 주소를 읽습니다. -MAC 항목, 캐시의 IP-MAC 항목은 ARP 응답 패킷에 따라 동적으로 변경됩니다. 따라서 ARP 응답 패킷이 네트워크의 시스템으로 전송되는 한 ARP 캐시의 IP-MAC 항목이 업데이트됩니다. DOS 창에서 arp -a 명령을 입력하면 아래와 같이 해당 관계를 확인할 수 있습니다.

C:\Documents and Settings\Administrator>arp -a

인터넷 주소 실제 주소 유형

192.168.1.1 aa-aa-aa-aa-aa -aa 동적 호스트 A

192.168.1.2 bb-bb-bb-bb-bb-bb 동적 호스트 B

192.168.1.3 cc-cc-cc-cc-cc-cc 동적 호스트 C

192.168.1.4 dd-dd-dd-dd-dd-dd 동적 호스트 D

인터넷 주소는 IP 주소를 의미하고, 물리적 주소는 물리적 주소를 의미하며, type은 유형을 나타냅니다.

위의 예에서 IP 주소 192.16.16.1에 해당하는 물리적 주소(즉, MAC 주소)는 aa-aa-aa-aa-aa-aa이고 그 유형은 동적임을 알 수 있습니다. .

호스트 A(192.168.1.1)가 호스트 B(192.168.1.2)로 데이터를 보내는 경우를 예로 들어보겠습니다. 데이터를 보낼 때 호스트 A는 ARP 캐시 테이블에서 대상 IP 주소를 찾습니다.

그것이 발견되면 대상 MAC 주소도 알고 있으며 대상 MAC 주소를 프레임에 써서 보낼 수 있습니다. 해당 IP 주소가 ARP 캐시 테이블에서 발견되지 않으면 호스트 A는 브로드캐스트를 보냅니다. 네트워크에서 대상 MAC 주소는 "FF.FF.FF.FF.FF.FF"입니다. 이는 동일한 네트워크 세그먼트에 있는 모든 호스트에 다음과 같은 쿼리를 보내는 것을 의미합니다. "192.168.1.2의 MAC 주소는 무엇입니까?" 네트워크에서도 ARP 쿼리에 대한 응답이 없습니다. 호스트 B가 이 프레임을 수신한 경우에만 호스트 A에 "192.168.1.2의 MAC 주소는 bb-bb-bb-bb-bb-bb"와 같이 응답합니다. 이런 방식으로 호스트 A는 호스트 B의 MAC 주소를 알고 호스트 B에 정보를 보낼 수 있습니다. 동시에 자체 ARP 캐시 테이블도 업데이트합니다. 다음에 호스트 B에 정보를 보낼 때 ARP 캐시 테이블에서 직접 검색할 수 있습니다. ARP 캐시 테이블은 에이징 메커니즘을 채택합니다. 테이블의 행이 일정 기간 내에 사용되지 않으면 삭제됩니다. 이렇게 하면 ARP 캐시 테이블의 길이가 크게 줄어들고 쿼리 속도가 향상됩니다.

위에서 볼 수 있듯이 ARP 프로토콜의 기본은 LAN의 모든 사람을 신뢰하는 것이므로 이더넷에서 ARP 스푸핑을 쉽게 달성할 수 있습니다. 스푸핑 대상 A. A가 호스트 C에 핑을 보내면 DD-DD-DD-DD-DD-DD 주소로 메시지를 보냅니다. C의 MAC 주소가 DD-DD-DD-DD-DD-DD로 스푸핑된 경우 A에서 C로 보낸 데이터 패킷은 D로 전송됩니다. 이는 단지 A가 보낸 데이터 패킷을 D가 수신할 수 있기 때문이 아닐까요?

ARP 프로토콜은 네트워크 보안에 매우 중요합니다. ARP 스푸핑은 IP 주소와 MAC 주소를 위조하여 네트워크에 대량의 ARP 트래픽을 발생시켜 네트워크를 차단하는 방식으로 이루어집니다. 위조된 소스 MAC 주소로 ARP 응답 패킷을 보내는 것은 ARP 캐시 메커니즘에 대한 공격입니다.

공격자가 위조된 ARP 응답 패킷을 계속 보내는 한 대상 호스트의 ARP 캐시에 있는 IP-MAC 항목을 변경하여 네트워크 중단이나 중간자 공격을 일으킬 수 있습니다. 공격자가 다수의 거짓 ARP 정보를 LAN으로 전송하면 LAN에 있는 시스템의 ARP 캐시가 붕괴됩니다.

3. ARP 공격 소스 찾기

1. NBTSCAN을 통해 바이러스 호스트를 찾습니다(다운로드 주소: /down/2007-03-09/8067.html)

이때 모든 Layer 2 스위치를 끄고 관리자 컴퓨터를 코어 스위치에 연결합니다. 관리자 컴퓨터는 정상적으로 인터넷에 접속할 수 있습니다. 레이어 3 스위치의 주소를 핑(즉, dos 창에 ping 172.16.X.254 명령 입력)하여 MAC 주소 172.16을 확인합니다. 레이어 스위치의 IP 주소는 실제 MAC 주소를 얻는 데 사용됩니다. 레이어 3 스위치. 동일한 방법을 사용하여 라우터의 실제 MAC 주소를 얻을 수 있습니다. 여기서 X는 각 장치에 할당된 IP 주소 세그먼트입니다.

모든 레이어 2 스위치를 켜십시오. ARP 바이러스 공격이 발생하면 모든 컴퓨터가 네트워크에 연결된 것처럼 보이지만 웹 페이지를 열 수는 없습니다. 이때, dos 창에서 arp -a 명령어를 입력하여 게이트웨이의 IP 주소와 MAC 주소가 일치하는지 확인하고, 지난번에 얻은 실제 MAC 주소와 비교해보세요. 이번에 얻은 것은 바이러스 호스트의 MAC 주소이다.

NBTSCAN을 이용하면 PC의 실제 IP 주소, 컴퓨터 이름, MAC 주소를 알 수 있고, 바이러스 호스트의 IP, 컴퓨터 이름, MAC 주소도 알아낼 수 있습니다. 바이러스 머신의 IP 주소를 알아낸 후, 네트워크 오픈 시 등록한 IP 주소를 통해 바이러스 호스트를 찾아냅니다.

명령: "nbtscan -r 192.168.X.0/24"(전체 192.168.X.0/24 네트워크 세그먼트, 즉 192.168.X.1-192.168.X.254 검색) 출력 결과 번호. 한 열은 IP 주소이고 마지막 열은 MAC 주소입니다. 여기서 X는 각 장치에 할당된 IP 주소 세그먼트입니다.

NBTSCAN 사용 예:

MAC 주소가 "000d870d585f"인 바이러스 호스트를 찾고 있다고 가정합니다.

1) 압축된 패키지에 있는 nbtscan.exe, cygwin1.dll의 압축을 풀어서 c: 드라이브에 넣습니다.

2) 시작 - 실행 - Windows에서 열고 cmd를 입력하고(Windows 98에서는 "command" 입력) 나타나는 DOS 창에 C:\>btscan -r 192.168.X.0/을 입력합니다. 24 (여기서는 사용자의 실제 네트워크 세그먼트에 따라 입력해야 함) Enter를 누릅니다.

3) IP-MAC 대응표를 질의하여 바이러스 호스트 "000d870d585f"의 IP 주소를 찾습니다.

위의 방법을 통해 바이러스의 출처를 빠르게 찾아낼 수 있으며, 해당 바이러스의 컴퓨터 이름과 IP 주소를 확인할 수 있습니다.

2. AntiArpSniffer3.1을 통해 바이러스 호스트를 쿼리합니다.

AntiArpSniffer3.1 소프트웨어를 다운로드하고(다운로드 주소: /down/2007-03-09/8066.html) 압축을 풀고 AntiArpSniffer .exe를 클릭하여 소프트웨어를 실행하고 Get MAC을 클릭한 다음 Hunt Attackers를 클릭합니다.

4. 방어 방법

1. 라우터의 IP와 MAC 주소를 PC에 바인딩합니다.

c:\(C 드라이브의 루트 디렉터리)에서 autoexec.bat 파일을 생성하거나 수정하고 다음 명령을 추가합니다:

arp -d

arp -s 192.168.X.254 00-22-aa-00-22-aa

autoexec.bat는 C 드라이브의 루트 디렉터리에 있으며 컴퓨터를 켤 때마다 자동으로 실행됩니다. . arp -d는 ARP 캐시 테이블의 모든 항목을 삭제하고, arp -s 192.168.X.254 00-22-aa-00-22-aa는 게이트웨이 IP 주소와 MAC 주소를 정적으로 바인딩합니다. 사용 시 게이트웨이 IP 주소와 MAC 주소를 원하는 대로 변경하면 됩니다.

2. AntiArpSniffer3.1을 통한 방어

AntiArpSniffer3.1 소프트웨어를 다운로드하고 압축을 푼 후 AntiArpSniffer.exe를 클릭하여 소프트웨어를 실행하고 Get MAC을 클릭한 다음 자동 보호를 클릭합니다.