Re: [問題] 中毒？木馬？請大家幫忙找看看

看板NetSecurity (資安資訊安全)作者yck0210 (我的心不再流浪)時間16年前 (2008/10/25 17:54)推噓1(1推 0噓 2→)

留言3則, 1人參與討論串3/4 (看更多)

※ [本文轉錄自 MUSTMIS 看板] 作者: yck0210 (我的心不再流浪) 看板: MUSTMIS 標題: Re: [問題] 中毒？木馬？請大家幫忙找看看時間: Sun Oct 26 01:53:05 2008 其實這個問題我不知道就算了，我一知道也是讓我徹夜難眠～一開始是系上三位老師在處理，後來我也幫忙，晚上學弟也加入幫忙！老師們分析了好久，一直在猜測發生的原因，然後再用Sniffer及Ethereal慢慢查～最後研判是有一台電腦中毒，它可以修改路由器的ARP(Address Resolution Protocol) Table～我們平常上網的時候，從Client端經Router到Server端的路徑是正常的～但是要從Server端下載資料到Client端的時候就有問題了，因為ARP Table被修改了！正常應該循原路徑，但是被修改的ARP Table將所有的IP全都指向同一個MAC.... 也就是說在路由器裡面，被修改的ARP Table將所有的IP都指向中毒的電腦網路卡！然後中毒的電腦將封包夾帶病毒網站的訊息，再回傳資料給正常的Client端～使得同一個Collision Domain(碰撞領域)的Host在上網的時候都會有五個g三個t的問題～這跟網路剪刀手(NetCut)的原理類似，不過這對我來說是很新的手法及想法！或許哪一天真的有空，可以寫一支這種程式來玩玩，也是滿有趣的～其實我是先把知道的結果描述出來，這是在我們找問題的過程中慢慢推測出來的！我們在追查的過程裡，針對病毒訊息來搜索，最先找到出問題的MAC位址～但是每一次查都會換IP，連使用arp指令也不能修正，後來我們才發現是有人假冒Gateway！在這樣不確定是哪一個IP的情況下，再加上我們沒有Switch的權限，增加我們追查的困難度～最後我們用老方法，就是把教室的Switch先關掉或隔開！剩下最後的Switch，大多是老師、Lab、Server在使用，我們用二分搜尋法去尋找～找到最後鎖定一間Lab，然後在用Ethereal撈它的封包，發現有大量的ARP封包！最後依照網路線的編號查到該網路孔，發現它還接著一台Switch....><" 每拔一條網路線，就發現ARP的封包量增大，查到最後時，它每秒送出的ARP封包居然上千個！打開電腦，發現它累積的封包數還真可怕，查一下它的網路卡位址，就是我們要找的MAC！然後我還發現它沒裝防毒軟體，我只好先把它的網路線拔除後等下週再處理.... 在忙了一個晚上後，將Router重開機，讓它產生新的ARP Table後就正常了！整個晚上泡在網路機房處理問題，感覺好像又回到軍中待在機房解決狀況的感覺～雖然這次不是我管的Lab出的問題，但讓我有種建立MAC表的想法，這樣查問題才會快！以上....雖然過程好累，但是經驗增加了不少，而且kennedy0521的推文也給了我靈感！最後，感謝那麼多人幫我測試、給我意見！ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 124.8.115.163 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 124.8.115.163