[搬家]崩溃…

原 http://maajiaa.ycool.com/post.2950988.html

外网破也就算了，每天19:00至次日凌晨1:00的高峰时段
网速KB/s经常个位数，最变态的时候开一个Google都要30秒以上。
但是这是电信的破硬件摆在那里，人家不开恩给你扩容，你哭长城也没辙。
好吧，我忍！大不了我把生物钟调得和“南蛆”的破网速相一致
况且校园网ftp资源已经够丰富了，大不了我不上外网…

But，现在内网却是这么一个状况：

2008-9-28 23:48:33  接收数据包
发现：Arp 欺骗攻击数据包! 伪造来源MAC：00-16-36-2E-0D-D8  拦截
2008-9-28 23:48:33  接收数据包
发现：Arp 欺骗攻击数据包! 伪造来源MAC：00-16-36-2E-0D-D8  拦截
2008-9-28 23:48:33  接收数据包
发现：Arp 欺骗攻击数据包! 伪造来源MAC：00-1D-72-52-22-02  拦截
2008-9-28 23:48:35  接收数据包
发现：Arp 欺骗攻击数据包! 伪造来源MAC：00-1D-72-52-22-02  拦截
2008-9-28 23:48:35  接收数据包
发现：Arp 欺骗攻击数据包! 伪造来源MAC：00-0F-B0-8B-E5-9C  拦截
2008-9-28 23:48:36  接收数据包
发现：Arp 欺骗攻击数据包! 伪造来源MAC：00-16-36-2E-0D-D8  拦截
2008-9-28 23:48:36  接收数据包
发现：Arp 欺骗攻击数据包! 伪造来源MAC：00-16-36-2E-0D-D8  拦截
2008-9-28 23:48:36  接收数据包
发现：Arp 欺骗攻击数据包! 伪造来源MAC：00-1D-72-52-22-02  拦截
2008-9-28 23:48:38  接收数据包
发现：Arp 欺骗攻击数据包! 伪造来源MAC：00-1D-72-52-22-02  拦截
2008-9-28 23:48:38  接收数据包
发现：Arp 欺骗攻击数据包! 伪造来源MAC：00-0F-B0-8B-E5-9C  拦截
2008-9-28 23:48:39  接收数据包
发现：Arp 欺骗攻击数据包! 伪造来源MAC：00-16-36-2E-0D-D8  拦截
2008-9-28 23:48:39  接收数据包
发现：Arp 欺骗攻击数据包! 伪造来源MAC：00-16-36-2E-0D-D8  拦截
2008-9-28 23:48:39  接收数据包
发现：Arp 欺骗攻击数据包! 伪造来源MAC：00-1D-72-52-22-02  拦截
……

以为是玩三国志呢？！还叫不叫人活了！
所有的攻击均为ARP双向欺骗，所以用arp -s根本无济于事。
欺骗以后给网页挂马，把木马地址Hosts屏蔽倒也容易，
问题是，像这样三台不断的切换，断网/丢包/延迟blablabla…

诸事不顺，这一定是上天的考验，要让我六根清净安心看书学习…

[搬家]ARP攻击扫盲贴

原 http://maajiaa.ycool.com/post.2872870.html

文中关于网关IP以及网关MAC的具体数值仅适用于复旦。

============正文开始的分割线============

　　版权：知识共享署名 – 非商业性使用 – 相同方式共享 2.5 中国大陆
　　转载请保留作者和原文链接。

　　写在前面：ARP攻击只影响内网的通信，和拨号上网无关…
　　关于ARP攻击病毒的更多讨论，欢迎去Virus版~`

ARP欺骗攻击的原理

　　简单的说，就是攻击者骗你说他是网关，然后骗网关说他是你，这样欺骗之后，你发给网关的信息就发到他那里，而网关回给你的信息也会发到他那里。
　　于是攻击者就成了中转信息的桥梁，并且在中转过程中对将要传递的数据包进行拦截、监听、修改…
　　这是双向欺骗模式，另外还有单向欺骗模式，即只转发某一个方向的数据包。

受到ARP攻击后的症状

　1. 不能上内网

　　早期的利用ARP攻击的病毒写得比较滥，不知道我们的网关是254，所以经常造成上不了网。
　　如果你发现你经常无故上不了内网，拔掉网线重插 or 重起之后说不定又有好转，有可能就是受到了ARP攻击

　2. 上内网速度慢

　　后来病毒改进了，学会顺利实现双向欺骗。
　　这种情况下症状很隐蔽，因为此时你能正常上网。但是因为信息的传递要经过一个中转，所以速度会受到影响，并且数据包越多（上网的人多）速度受的影响可能越大。

　3. 打开网页速度无与伦比的慢 & 上学校主页等正常网页杀毒软件也不停的报警

　　病毒当然不会傻到默默无闻的当中转站，它要实现的目的是修改数据包，比较常见的是监听80端口的通信（IE浏览网页用），然后在里面添加木马下载的链接。病毒不会强悍到直接把木马发给你，只是悄悄地给你一个地址让浏览器在后台下载，而且这个地址通常来自外网。
　　这种情况下，对于能同时上内网和外网(setroute/代理)的人，网页打开的速度会稍微变慢，同时不管是10.60.130.4还是复旦邮箱还是别的网页，浏览的时候经常听到卡巴斯基杀猪一般的报警声。
　　对于只能上内网的人，因为浏览器会尝试反复下载链接中的木马，因此浏览内网网页的速度会变得其慢无比（当然木马是下不下来的）。
　　只能上外网的人则完全不受影响。
　　至于其他端口，如ftp、telnet上BBS受到的影响也不大。

应对ARP攻击

　　最根本解决ARP攻击的办法只有一个：抓包找出毒机令其杀毒。

　　暂时的应对方法：

　1. 保证你不被骗

　　也就是保证你发给网关的信息不经过毒机中转。
　　在运行对话框中输入cmd，然后输入以下内容再回车：
　　arp -s 网关ip 网关正确mac
　　其中南区学生宿舍的网关mac全都是00-0a-8b-24-34-0a
　　北区学生宿舍的网关mac全都是00-00-0c-07-ac-00（是这个吧？）
　　另外你也可以用arp -a命令查看，如果发现网关的mac不正确，所看到的那个假网关mac就是来自毒机。
　　P.S. 每次开机都要用arp -s命令重新绑定一遍。

　2. 保证网关不被骗

　　这个没办法，只能和病毒比谁最流氓。病毒会每隔一段时间就骗一次网关，你必须用更高的频率告诉网关你的真实地址。所谓的ARP防火墙干的事情就是这个。
　　因为你也要不停的给网关发信息和病毒PK，所以显然会加重网络负担，这也是现在不推荐使用各种ARP防火墙的原因。

　3. 虽然被骗但不至于受太大影响

　　之前说到，病毒会在你浏览网页时偷偷添加木马下载的链接，而实际上arp攻击病毒所造成的危害也主要来源于此。为此，在一时找不到毒机，又不想开ARP防火墙加重网络负担的情况下，还可以有退而求其次的办法，即通过hosts列表屏蔽木马下载的链接。
　　具体实现步骤：
　　当随便浏览内网的什么网页，杀毒软件都报毒的时候
　　查看网页源文件，最顶上的一行一般会是<script …>，
　　其中通常会有这样的内容：SRC=”http://www.xxx.xxx/xxx.js”
　　随后找到C:\Windows\system32\drivers\etc目录下的hosts文件
　　用记事本打开，然后在
　　127.0.0.1       localhost
　　的底下加入一行
　　127.0.0.1       www.xxx.xxx
　　保存。
　　然后关闭所有浏览器，开始菜单–运行ipconfig /flushdns
　　这样做之后就算受到ARP攻击，也不会再去访问毒机添加的木马了。这种方法的好处在于，既能保证本机不中毒以及网速基本正常，同时又不至于影响整个局域网的通信。

[搬家]关于AntiARP自动获取网关MAC

原 http://maajiaa.ycool.com/post.2910226.html

发信人: MaaJiaa (无与伦比的美丽), 信区: Virus
标  题: 关于antiarp的自动获取网关mac
发信站: 日月光华 (2008年01月05日03:10:30 星期六), 站内信件

写在前面：
antiarp会增加网络通信负担，不到万不得已不推荐使用
最终解决方法还是抓包找出毒机令其杀毒…

=================================
刚测试了一下antiarp获取网关mac的方式
居然是直接用本机的ip和mac给网关发一个request包…瀑布流星汗..
至少Saraphine的ftp里面的那个Anti ARP Sniffer是这样干的
（也有的程序是用广播地址ff-ff-ff-ff-ff-ff发，效果几乎一样）
当局域网内已经存在arp攻击的时候，这样显然只会把假的网关mac当成真的保护起来

Saraphine的ftp里面那个antiarp主程序目录下面有一个config.ini
直接双击打开把”mac address=”后面的mac改成正确的网关mac即可
顺便改之前的那个mac应该就属于毒机

其他的arp防火墙大概也有这个问题，不过一般都提供了手动配置的功能
建议不要自动获取网关mac…
P.S. 360可爱的倒下了。我的风云也可爱的倒下了，且还不能手动配置-, -bb

正确的网关mac应该是：
南区宿舍 00-0a-8b-24-34-0a    北区宿舍 00-00-0c-07-ac-00

再P.S.
我当时用风云防火墙，是先arp -s手动绑定，再点风云的“读取mac”才成功
对没有手动配置功能的arp防火墙，这个方法不妨一试，死马当活马…