作者yck0210 (我的心不再流浪)
看板MUSTMIS
标题Re: [问题] 中毒?木马?请大家帮忙找看看
时间Sun Oct 26 01:53:05 2008
其实这个问题我不知道就算了,我一知道也是让我彻夜难眠~
一开始是系上三位老师在处理,後来我也帮忙,晚上学弟也加入帮忙!
老师们分析了好久,一直在猜测发生的原因,然後再用Sniffer及Ethereal慢慢查~
最後研判是有一台电脑中毒,
它可以修改路由器的ARP(Address Resolution Protocol) Table~
我们平常上网的时候,从Client端经Router到Server端的路径是正常的~
但是要从Server端下载资料到Client端的时候就有问题了,因为ARP Table被修改了!
正常应该循原路径,但是被修改的ARP Table将所有的IP全都指向同一个MAC....
也就是说在路由器里面,被修改的ARP Table将所有的IP都指向中毒的电脑网路卡!
然後中毒的电脑将封包夹带病毒网站的讯息,再回传资料给正常的Client端~
使得同一个Collision Domain(碰撞领域)的Host在上网的时候都会有五个g三个t的问题~
这跟网路剪刀手(NetCut)的原理类似,不过这对我来说是很新的手法及想法!
或许哪一天真的有空,可以写一支这种程式来玩玩,也是满有趣的~
其实我是先把知道的结果描述出来,这是在我们找问题的过程中慢慢推测出来的!
我们在追查的过程里,针对病毒讯息来搜索,最先找到出问题的MAC位址~
但是每一次查都会换IP,连使用arp指令也不能修正,
後来我们才发现是有人假冒Gateway!
在这样不确定是哪一个IP的情况下,再加上我们没有Switch的权限,
增加我们追查的困难度~
最後我们用老方法,就是把教室的Switch先关掉或隔开!
剩下最後的Switch,大多是老师、Lab、Server在使用,我们用二分搜寻法去寻找~
找到最後锁定一间Lab,然後在用Ethereal捞它的封包,发现有大量的ARP封包!
最後依照网路线的编号查到该网路孔,发现它还接着一台Switch....><"
每拔一条网路线,就发现ARP的封包量增大,
查到最後时,它每秒送出的ARP封包居然上千个!
打开电脑,发现它累积的封包数还真可怕,
查一下它的网路卡位址,就是我们要找的MAC!
然後我还发现它没装防毒软体,我只好先把它的网路线拔除後等下周再处理....
在忙了一个晚上後,将Router重开机,让它产生新的ARP Table後就正常了!
整个晚上泡在网路机房处理问题,感觉好像又回到军中待在机房解决状况的感觉~
虽然这次不是我管的Lab出的问题,但让我有种建立MAC表的想法,这样查问题才会快!
以上....虽然过程好累,但是经验增加了不少,而且kennedy0521的推文也给了我灵感!
最後,感谢那麽多人帮我测试、给我意见!
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 124.8.115.163
1F:→ r770619a:ARP让我头痛死了........网路网路网路 10/26 02:28
2F:推 Cicata:辛苦了,相信这次经验是大有收获~也突显出资讯安全的重要 10/26 10:03
3F:→ waztw:ethereal不是改叫wireshark了吗?抓封包解析的好软体 10/26 16:25
4F:→ kennedy0521:很羡慕资工可以玩那麽多东西!!学弟加油~XD。 10/26 17:08
5F:推 pinns:mis不都在玩这些. 10/26 17:31
6F:→ kennedy0521:恩...我只能说我对资管印象不好,开的很多课不喜欢。 10/26 21:17
7F:→ kennedy0521:也很多课开不起来!! 10/26 21:17
8F:→ yck0210:我还在用Ethereal~@@", 资管也不错呀! 10/26 21:51
9F:推 bojack:问题是出在网管没做好,基本的IP/MAC都没有对应的资讯 10/26 23:13
10F:推 r770619a:我我我是....资管的 >"""""< 10/26 23:14
11F:推 eric71903:甘乃迪,不是说不开课,是大家都挑软的课吃,其实那些比较 10/27 08:39
12F:→ eric71903:其实那些比较硬的课,很多才是真正需要的,而且我不得不说 10/27 08:40
13F:→ eric71903:学校给资工系的资源真的比较多,唉...同样是资科...我们 10/27 08:41
14F:→ eric71903:资管跟资工比起来好像次等公民一样...话说你还没接到兵 10/27 08:41
15F:→ eric71903:单吗? 10/27 08:41
16F:→ kennedy0521:我还没接到!摧好几次了~班上可以当的几乎都去当了= = 10/27 11:09
17F:→ yck0210:我同意小胖学长说硬的课才是真正需要,但不同意次等公民说! 10/27 22:15
18F:推 r770619a:资管好老师 都跑去资工了 但不可否认的 还是有非常多坚持 10/27 22:49
19F:→ r770619a:的老师留在资管 像许X萍 陈X裕 不过真的都很硬就是 10/27 22:49
20F:推 jkbopy: 俊 以 10/27 23:00
21F:→ kennedy0521:真的满硬的~但是学的比较多比较有用! 10/28 00:15
22F:推 f91jacky:虽然我是资工~但我知道资管也有很多好的老师~例:美支老师 10/28 14:31
23F:推 edisonliu25:推美支姐~教学用心!很关心学生!大推 10/28 15:31
24F:→ wliu:美支是我一年级的导师欸 10/28 17:25
25F:推 cashspace:资管老师唷 我越来越爱他们了 10/28 21:55
26F:→ cashspace:不论运动比赛 或者 和老师聊天 都觉得老师很赞 10/28 21:56
27F:→ cashspace:王老师 陈老师 许老师 邱老师 黄老师 都超赞的啦 10/28 21:57
28F:推 r770619a:美支美支~~~~Java老师 10/28 23:54
29F:推 cashspace:说到开课 就不能怪老师了 只怪学生不争气 10/29 23:52
30F:→ ohya74921:连电子系都有相同的问题...不是不开,而是开不起来 10/29 23:54
31F:→ ohya74921:工业安全与卫生 在"电子系"竟然是抢到破头的课 (叹) 10/29 23:55
32F:→ ohya74921:类比积体电路、射频电路、微波工程、应用电磁学.. 10/29 23:56
33F:→ ohya74921:这些真正对於未来比较有帮助的课几乎都无法开成 10/29 23:57
34F:→ yck0210:学生普遍都挑软不挑硬,这是到底都有的问题!~"~ 10/30 06:21
35F:→ yck0210: 处 10/30 06:22
36F:→ r770619a:每系都这样吧 因为都不想被当 拿不到学分吧 10/30 22:39
37F:推 Nemo0723:如果说成学生普遍对该科的准备没有信心而放弃了选课呢? 10/31 00:36
38F:→ yeeddt:楼上说的情形是官方说法吗 10/31 14:41
39F:→ kennedy0521:恨铁不成钢 11/02 15:52