作者yck0210 (我的心不再流浪)
看板MUSTMIS
標題Re: [問題] 中毒?木馬?請大家幫忙找看看
時間Sun Oct 26 01:53:05 2008
其實這個問題我不知道就算了,我一知道也是讓我徹夜難眠~
一開始是系上三位老師在處理,後來我也幫忙,晚上學弟也加入幫忙!
老師們分析了好久,一直在猜測發生的原因,然後再用Sniffer及Ethereal慢慢查~
最後研判是有一台電腦中毒,
它可以修改路由器的ARP(Address Resolution Protocol) Table~
我們平常上網的時候,從Client端經Router到Server端的路徑是正常的~
但是要從Server端下載資料到Client端的時候就有問題了,因為ARP Table被修改了!
正常應該循原路徑,但是被修改的ARP Table將所有的IP全都指向同一個MAC....
也就是說在路由器裡面,被修改的ARP Table將所有的IP都指向中毒的電腦網路卡!
然後中毒的電腦將封包夾帶病毒網站的訊息,再回傳資料給正常的Client端~
使得同一個Collision Domain(碰撞領域)的Host在上網的時候都會有五個g三個t的問題~
這跟網路剪刀手(NetCut)的原理類似,不過這對我來說是很新的手法及想法!
或許哪一天真的有空,可以寫一支這種程式來玩玩,也是滿有趣的~
其實我是先把知道的結果描述出來,這是在我們找問題的過程中慢慢推測出來的!
我們在追查的過程裡,針對病毒訊息來搜索,最先找到出問題的MAC位址~
但是每一次查都會換IP,連使用arp指令也不能修正,
後來我們才發現是有人假冒Gateway!
在這樣不確定是哪一個IP的情況下,再加上我們沒有Switch的權限,
增加我們追查的困難度~
最後我們用老方法,就是把教室的Switch先關掉或隔開!
剩下最後的Switch,大多是老師、Lab、Server在使用,我們用二分搜尋法去尋找~
找到最後鎖定一間Lab,然後在用Ethereal撈它的封包,發現有大量的ARP封包!
最後依照網路線的編號查到該網路孔,發現它還接著一台Switch....><"
每拔一條網路線,就發現ARP的封包量增大,
查到最後時,它每秒送出的ARP封包居然上千個!
打開電腦,發現它累積的封包數還真可怕,
查一下它的網路卡位址,就是我們要找的MAC!
然後我還發現它沒裝防毒軟體,我只好先把它的網路線拔除後等下週再處理....
在忙了一個晚上後,將Router重開機,讓它產生新的ARP Table後就正常了!
整個晚上泡在網路機房處理問題,感覺好像又回到軍中待在機房解決狀況的感覺~
雖然這次不是我管的Lab出的問題,但讓我有種建立MAC表的想法,這樣查問題才會快!
以上....雖然過程好累,但是經驗增加了不少,而且kennedy0521的推文也給了我靈感!
最後,感謝那麼多人幫我測試、給我意見!
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 124.8.115.163
1F:→ r770619a:ARP讓我頭痛死了........網路網路網路 10/26 02:28
2F:推 Cicata:辛苦了,相信這次經驗是大有收穫~也突顯出資訊安全的重要 10/26 10:03
3F:→ waztw:ethereal不是改叫wireshark了嗎?抓封包解析的好軟體 10/26 16:25
4F:→ kennedy0521:很羨慕資工可以玩那麼多東西!!學弟加油~XD。 10/26 17:08
5F:推 pinns:mis不都在玩這些. 10/26 17:31
6F:→ kennedy0521:恩...我只能說我對資管印象不好,開的很多課不喜歡。 10/26 21:17
7F:→ kennedy0521:也很多課開不起來!! 10/26 21:17
8F:→ yck0210:我還在用Ethereal~@@", 資管也不錯呀! 10/26 21:51
9F:推 bojack:問題是出在網管沒做好,基本的IP/MAC都沒有對應的資訊 10/26 23:13
10F:推 r770619a:我我我是....資管的 >"""""< 10/26 23:14
11F:推 eric71903:甘迺迪,不是說不開課,是大家都挑軟的課吃,其實那些比較 10/27 08:39
12F:→ eric71903:其實那些比較硬的課,很多才是真正需要的,而且我不得不說 10/27 08:40
13F:→ eric71903:學校給資工系的資源真的比較多,唉...同樣是資科...我們 10/27 08:41
14F:→ eric71903:資管跟資工比起來好像次等公民一樣...話說你還沒接到兵 10/27 08:41
15F:→ eric71903:單嗎? 10/27 08:41
16F:→ kennedy0521:我還沒接到!摧好幾次了~班上可以當的幾乎都去當了= = 10/27 11:09
17F:→ yck0210:我同意小胖學長說硬的課才是真正需要,但不同意次等公民說! 10/27 22:15
18F:推 r770619a:資管好老師 都跑去資工了 但不可否認的 還是有非常多堅持 10/27 22:49
19F:→ r770619a:的老師留在資管 像許X萍 陳X裕 不過真的都很硬就是 10/27 22:49
20F:推 jkbopy: 俊 以 10/27 23:00
21F:→ kennedy0521:真的滿硬的~但是學的比較多比較有用! 10/28 00:15
22F:推 f91jacky:雖然我是資工~但我知道資管也有很多好的老師~例:美支老師 10/28 14:31
23F:推 edisonliu25:推美支姐~教學用心!很關心學生!大推 10/28 15:31
24F:→ wliu:美支是我一年級的導師欸 10/28 17:25
25F:推 cashspace:資管老師唷 我越來越愛他們了 10/28 21:55
26F:→ cashspace:不論運動比賽 或者 和老師聊天 都覺得老師很贊 10/28 21:56
27F:→ cashspace:王老師 陳老師 許老師 邱老師 黃老師 都超讚的啦 10/28 21:57
28F:推 r770619a:美支美支~~~~Java老師 10/28 23:54
29F:推 cashspace:說到開課 就不能怪老師了 只怪學生不爭氣 10/29 23:52
30F:→ ohya74921:連電子系都有相同的問題...不是不開,而是開不起來 10/29 23:54
31F:→ ohya74921:工業安全與衛生 在"電子系"竟然是搶到破頭的課 (嘆) 10/29 23:55
32F:→ ohya74921:類比積體電路、射頻電路、微波工程、應用電磁學.. 10/29 23:56
33F:→ ohya74921:這些真正對於未來比較有幫助的課幾乎都無法開成 10/29 23:57
34F:→ yck0210:學生普遍都挑軟不挑硬,這是到底都有的問題!~"~ 10/30 06:21
35F:→ yck0210: 處 10/30 06:22
36F:→ r770619a:每系都這樣吧 因為都不想被當 拿不到學分吧 10/30 22:39
37F:推 Nemo0723:如果說成學生普遍對該科的準備沒有信心而放棄了選課呢? 10/31 00:36
38F:→ yeeddt:樓上說的情形是官方說法嗎 10/31 14:41
39F:→ kennedy0521:恨鐵不成鋼 11/02 15:52