※ [本文转录自 MUSTMIS 看板] 作者: yck0210 (我的心不再流浪) 看板: MUSTMIS 标题: Re: [问题] 中毒？木马？请大家帮忙找看看 时间: Sun Oct 26 01:53:05 2008 其实这个问题我不知道就算了，我一知道也是让我彻夜难眠～ 一开始是系上三位老师在处理，後来我也帮忙，晚上学弟也加入帮忙！ 老师们分析了好久，一直在猜测发生的原因，然後再用Sniffer及Ethereal慢慢查～ 最後研判是有一台电脑中毒， 它可以修改路由器的ARP(Address Resolution Protocol) Table～ 我们平常上网的时候，从Client端经Router到Server端的路径是正常的～ 但是要从Server端下载资料到Client端的时候就有问题了，因为ARP Table被修改了！ 正常应该循原路径，但是被修改的ARP Table将所有的IP全都指向同一个MAC.... 也就是说在路由器里面，被修改的ARP Table将所有的IP都指向中毒的电脑网路卡！ 然後中毒的电脑将封包夹带病毒网站的讯息，再回传资料给正常的Client端～ 使得同一个Collision Domain(碰撞领域)的Host在上网的时候都会有五个g三个t的问题～ 这跟网路剪刀手(NetCut)的原理类似，不过这对我来说是很新的手法及想法！ 或许哪一天真的有空，可以写一支这种程式来玩玩，也是满有趣的～ 其实我是先把知道的结果描述出来，这是在我们找问题的过程中慢慢推测出来的！ 我们在追查的过程里，针对病毒讯息来搜索，最先找到出问题的MAC位址～ 但是每一次查都会换IP，连使用arp指令也不能修正， 後来我们才发现是有人假冒Gateway！ 在这样不确定是哪一个IP的情况下，再加上我们没有Switch的权限， 增加我们追查的困难度～ 最後我们用老方法，就是把教室的Switch先关掉或隔开！ 剩下最後的Switch，大多是老师、Lab、Server在使用，我们用二分搜寻法去寻找～ 找到最後锁定一间Lab，然後在用Ethereal捞它的封包，发现有大量的ARP封包！ 最後依照网路线的编号查到该网路孔，发现它还接着一台Switch....><" 每拔一条网路线，就发现ARP的封包量增大， 查到最後时，它每秒送出的ARP封包居然上千个！ 打开电脑，发现它累积的封包数还真可怕， 查一下它的网路卡位址，就是我们要找的MAC！ 然後我还发现它没装防毒软体，我只好先把它的网路线拔除後等下周再处理.... 在忙了一个晚上後，将Router重开机，让它产生新的ARP Table後就正常了！ 整个晚上泡在网路机房处理问题，感觉好像又回到军中待在机房解决状况的感觉～ 虽然这次不是我管的Lab出的问题，但让我有种建立MAC表的想法，这样查问题才会快！ 以上....虽然过程好累，但是经验增加了不少，而且kennedy0521的推文也给了我灵感！ 最後，感谢那麽多人帮我测试、给我意见！ --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 124.8.115.163 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 124.8.115.163