清华电脑瘫痪的幕后黑手及清除办法

    又见ARP攻击会话劫持挂马的黑客程序（2007-05-10 17:18）

    病毒详细信息

    病毒全名

    Win32.Hack.ArpSpoon.h

    病毒长度

    26112

    威胁级别★★

    病毒类型黑客程序

    病毒简介

    这是一个ARP欺骗病毒,它能向同网段所有计算机发送ARP欺骗数据包,挟持了该网段内的网关,使经过网关的每个数据包都经过受病毒感染的计算机,该计算机会寻找HTTP响应包,在包内加入挂马的代码.

    技术细节

    1:ARP欺骗

    病毒会枚举本计算机所在的网段,并发送经过伪造的ARP(AddressResolutionProtocol)数据包,

    挟持了本网段的网关地址,使本网段的所有的数据包都经过该计算机.

    2:修改特定数据包

    病毒会对所有的数据包进行分析,过滤出HTTP应答包,并在包里面插入一段代码，使用户看到的网页最前面被插入以上代码,该网页会利用ANI漏洞(MS07-017)下载并运行木马程序,建议用户及时补上计算机上已知的漏洞.

    注：

    利用ARP欺骗挂木马并没有真正的修改网页服务器上的页面内容,它是在数据包传输中非法修改里面的数据,强行插入病毒代码,而且影响范围相当的广,若一个空间服务商的一台服务器中毒,就会使得该服务器所在的网段的传输的数据包都被修改,很可能会影响到数以百计的网站空间.而且寻找ARP欺骗的源头并不容易查出,所以这种攻击方式具有极大的危害性.建议网络管理员使用静态的路由表来管理网络的MAC与IP地址.

    其他信息

    ARP攻击详细内容,包含了arpspoon的代码

    http://linux.chinaunix.net/bbs/archiver/tid-887543.html

    受影响系统

    Win9x/ME,Win2000/NT,WinXP,Win2003

    金山毒霸的铁军还给出了相应的解决方案，很有参考价值哈：

    现在局域网中感染ARP病毒的情况，由于此种现象目前非常普遍，清理和防范都比较困难，给不少的网络管理员造成了很多的困扰。下面就是处理这个病毒的一些参考方法，供大家参考：

    ARP病毒的症状：

    有时候无法正常上网，有时候有好了，包括访问网上邻居也是如此，拷贝文件无法完成，出现错误；局域网内的ARP包爆增，使用Arp查询的时候会发现不正常的Mac地址，或者是错误的Mac地址对应，还有就是一个Mac地址对应多个IP的情况也会有出现。

    ARP攻击的原理：

    ARP欺骗攻击的包一般有以下两个特点，满足之一可视为攻击包报警:第一以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配。或者，ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内，或者与自己网络MAC数据库MAC/IP不匹配。这些统统第一时间报警，查这些数据包(以太网数据包)的源地址(也有可能伪造)，就大致知道那台机器在发起攻击了。现在有网络管理工具比如网络执法官、P2P终结者也会使用同样的方式来伪装成网关，欺骗客户端对网关的访问，也就是会获取发到网关的流量，从而实现网络流量管理和网络监控等功能，同时也会对网络管理带来潜在的危害，就是可以很容易的获取用户的密码等相关信息。