papa

ARP攻击应急处理攻略
                   ———以真实案例讲解ARP攻击处理思路

目录：

一：ARP病毒现象与原理 (必修)

二：ARP病毒行为与分析（了解）

三：ARP问题主机的识别（重点）

四：ARP问题主机的处理（难点）

五：ARP问题防护的建议（扩展）


一：ARP病毒现象与原理
ARP欺骗攻击早期被我们熟识的地方主要出现在网吧，经常会导致整个网吧异常掉线。最著名的应用便是所谓的MSN监听。由于msn早期版本通讯并没有做特殊的加密，所以有人就想了一些机制在局域网内进行监听并盗取信息，ARP地址欺骗便是最早使用的攻击技术之一。

原理部分请参考网络搜索以及毒霸论坛相关帖，本文不做详述：
http://bbs.duba.net/thread-21814314-1-1.html
http://bbs.duba.net/thread-21844186-1-1.html


二：ARP病毒行为与分析

近期在局域网中大面积爆发了一款结合ARP欺骗技术传播的“安全杀手下载者53248”病毒，在进程中注入dll监控并删除hosts文件，感染修改exe文件头部并同时进行盗号操作的病毒。以下是该病毒的简单分析：


病毒写入执行挂钩：
『HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks』
%systemroot%\system32\dh3oor1.dll
%systemroot%\system32\wgdoor0.dll
%systemroot%\system32\wddoor0.dll
%systemroot%\system32\mydoor0.dll
%systemroot%\system32\qhdoor0.dll
%systemroot%\system32\fydoor0.dll
%systemroot%\system32\qqdoor0.dll
%ProgramFiles%\Internet Explorer\OnlO0r.dll



加载驱动程序(以一定频率实施ARP欺骗)
『HKLM\SYSTEM\CurrentControlSet\Services』
%systemroot%\system32\drivers\npf.sys



写入浏览器加载项(BHO)
『HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects』
%CommonProgramFiles%\fjOs0r.dll



创建特权进程
%CommonProgramFiles%\SVCHOST.EXE


实时删除hosts文件（该文件相当于早期的DNS，将IP地址与域名建立起对应关系）


监视可移动存储介质，如开启自动播放功能会向磁盘释放：Autorun.inf和windows.scr


释放ws2_32.dll文件夹到反病毒软件安装目录导致杀软无法启动


改写系统内exe文件头部信息（毒霸报毒Win32.DownloadMX.e.15777）

后台下载木马后门程序：a.exe和temp.exe
注：如果之前开启了清理专家的网页防挂马功能的话可以监控拦截此类行为，如图所示：

反挂马.JPG (69.99 KB)

2007-11-13 10:10

三：ARP问题主机的识别


ARP问题主机的识别以往是需要网络管理人员抓包分析网络数据流量以及进行数据包分析才能够判断的。常见的抓包嗅探工具有：Earthreal、 Sniffer、TcpDump等。抓包分析虽然可以解决很多网络排故问题，但是对于很多初级用户来说操作比较困难。于是网上出现了各种简单的小工具，可以直接找到疑似ARP源主机。它们利用的是ARP源主机的网卡必定设置为混杂模式才能进行数据包的双向截取的原理，检测列举出哪台主机的网卡工作模式被设置为混杂即可判定其为疑似的解决思路。（注意：安装过嗅探工具的网管主机网卡也会设置成混杂模式，需要根据具体情况判断。）
其实这个办法也不是很直观，那么怎样才能更加智能地识别发动ARP攻击的源主机呢？
建议安装ARP防护工具，目前主流的ARP防护工具都会有标识发动ARP攻击可能的主机名称以及IP信息。我们以金山ARP防火墙为例，如图所示：

20071108_9060898fae50fd63feb3IPi8LREXQFZw.jpg (52.13 KB)

2007-11-13 10:10

由此截图可见，我们不论是局域网的某个客户端或者是网管都会第一时间知道是哪台主机有异常，可对其进行单独处理。





四：ARP问题主机的处理

ARP病毒源主机通常的处理思路是将其断开网络后进入安全模式使用反病毒软件全盘杀毒。但很可能出现的问题是：将病毒源主机网线拔出后，所有没安装ARP防火墙的主机网络通信相继中断。而之前网络虽然缓慢，部分安装ARP防火墙的客户主机不断有攻击拦截提示，但是也不至于所有没装ARP防火墙的主机集体断网吧。这是为什么呢？原因很简单，还是从ARP原理入手。由于病毒之前反复发广播包告诉其他主机它自己是网关，那么没有安装ARP防火墙的主机会认为它就是网关，一旦它断开网络那么这些主机自然就认为找不到网关，进而造成联网程序判断目标网络不可达。
此现象的解决方法是：
点击『开始』——『运行』输入cmd——确定后输入命令提示符——输入命令arp -d (注：中间有空格) 截图如下：

arpd.JPG (21.04 KB)

2007-11-13 10:10

清空arp表后受攻击主机即可恢复正常联网。

由于ARP防火墙会反复去写入确认IP与MAC的对应关系，所以病毒源主机断网后对安装ARP防火墙的主机没有影响，如图所示：

arp设置.JPG (54.25 KB)

2007-11-13 10:10

对ARP源主机的处理需要进行细致的病毒分析操作，但通常都必须将负责发起ARP欺骗的驱动文件删除掉。最常见也是本文举例的驱动文件是：%systemroot%\system32\drivers\npf.sys
另外针对ARP欺骗必有的操作是清空系统以及IE临时目录的写入的缓存文件。
建议用户在安全模式下使用金山系统清理专家的垃圾文件清理功能简单清理，如图所示：

清理垃圾文件.JPG (64.92 KB)

2007-11-13 10:10

针对本文提到的病毒，首先可以使用金山系统清理专家的全面诊断功能导出检测报告后分析写出类似之前的病毒简单分析。根据情况使用一些强制删除工具批量删除分析后得知的病毒文件，如图所示：

arp文件粉碎器.JPG (61.01 KB)

2007-11-13 10:10

由于病毒感染了exe文件，所以建议关闭系统还原功能后进入带命令行的安全模式下调用杀毒软件进行清除。(注意：关闭系统还原功能是必要的操作)毒霸的命令行杀毒的清除命令是kavdx /ac 如图所示：

kavdx.JPG (80.17 KB)

2007-11-13 10:10

这样操作可以保证开机后的程序文件能够正常使用，如果杀毒软件弹出应用程序初始化失败的提示，可以进入杀软目录下删除ws2_32.dll文件夹即可，命令行的方式是cd命令定位到杀软目录，之后敲入rd /s /q ws2_32.dll即可。

最后将正常的hosts文件放入对应版本系统的etc目录下，并清空缓存文件即可。
（注意：同时存在多台ARP欺骗源主机的话，都需要断网后单独杀毒处理。）





五：ARP问题防护的建议


一：建议网管加强对内网客户端操作人员的安全意识培训，不下载安装未知的应用程序。减少未知网站的浏览。

二：加强对网络流量的监控，提早发现网络中的可疑行为，以便及早处理。

三：对已经发生的局域网ARP欺骗行为，按照本文提供的思路进行适当处理。

四：如有条件可采取软硬件手段对网关和所有客户端进行双向绑定，但是操作成本较大。（注：单向绑定或者所谓的禁止ARP攻击驱动文件创建都无法避免ARP欺骗现象）

五：保持杀毒软件的病毒库更新以及安装开启ARP防护工具。

六：定期对系统分区进行镜像备份，如果没有能力解决病毒源主机的病毒问题，那么可通过镜像还原迅速恢复主机正常可工作的状态。

七：网管保留IP和MAC地址的对应表，对于交换式的网络需要根据不同交换的区段去进行处理。



金山ARP防火墙的公测版下载地址如下：http://bbs.duba.net/thread-21844039-1-1.html
（注：由于尚处测试阶段，不建议局域网内关键主机及服务器安装。如需安装请保留镜像文件备份，以便针对异常现象的即时恢复。）






[ 本帖最后由 papa 于 2007-11-14 17:43 编辑 ]