一次ARP病毒排查

2023年xx公司機關網路出現幾次異常情況，並尋求內外部專家對異常情況進行診斷分析，均未找到原因，具體情況如下：

arp攻擊，pc主機中病毒

在s5756-01跟蹤後發現10.0.0.25的arp請求和傳送包較多，列為懷疑物件。

[ct-01]dis arp all

檢視兩次12.29日和1.9日的arp快取表（見文後附件）

1.9日發現mac為9934-a431-9d00的機器最為可疑，快取對應了多達43個ip，但不對應0.25的機器。

pc機arp -d,arp -a測試

1、在客戶機執行路由跟蹤命令如：tracert -d www.baidu.com，正常情況是路由跟蹤執行後的輸出第一條應該是預設閘道器位址，由此判定第一跳的那個非閘道器ip位址的主機就是罪魁禍首。在區域網內隨機找出幾台主機，arp -a發現閘道器是10.0.0.254，而不是mac為9934-a431-9d00的主機。

2、清除快取重新獲取時依然會出現大量指向9934-a431-9d00的記錄，初步判定為arp攻擊。

3.2.4.1. 配置埠映象

3.2.4.2. 包資料

【1月9日17-36】和【1月10日11-00】

分析的時候也沒有發現大量異常的資料報，但是看到了一條嫌疑mac的記錄，決定第二天檢視10.0.0.53的主機情況。

3.2.5.1. 思路和方法

由於ip位址是靜態的，所以很快找到目的主機，但其ip是10.0.0.162，看看是不是「10.0.0.53」的mac9934-a431-9d00如果是，則與抓包資料對應。

先隨機在區域網主機上arp -a 檢視快取表應該還是大量的mac9934-a431-9d00，

斷開問題主機，arp-d，清除快取，五到十分鐘再arp -a下，如果不再大面積出現53的mac證明已隔離完畢。

3.2.5.2. 現場

ipconfig檢視時發現此主機快取了大量的ip，而且根據客戶描述靜態輸入其他ip位址時，主機會自動跳轉到10.0.0.162。

拔掉網線，隔離。

3.2.6. 觀察

1、pc機arp -d,arp -a測試後發現不再出現大量arp快取，也沒有指向9934-a431-9d00的記錄了。

3、將問題主機低格後重新安裝作業系統，連線到區域網內

1、隨機開啟兩台主機科達監控客戶端進行測試

2、ping 10.0.0.240（監控主機）觀察延遲及丟包情況

由於公司人員調整頻繁，無法固定使用ip，為管理方便，故沒有採用核心交換和pc端繫結mac策略。

結束：1、核心交換arp表不再出現大量9934-a431-9d00的快取。

2、局域arp表不再出現大量9934-a431-9d00的快取，且上網正常，無異常現象。

arp （位址解析協議）

位址解析協議，即arp（address resolution protocol），是根據ip位址獲取實體地址的乙個tcp/ip協議。主機傳送資訊時將包含目標ip位址的arp請求廣播到網路上的所有主機，並接收返回訊息，以此確定目標的實體地址；收到返回訊息後將該ip位址和實體地址存入本機arp快取中並保留一定時間，下次請求時直接查詢arp快取以節約資源。位址解析協議是建立在網路中各個主機互相信任的基礎上的，網路上的主機可以自主傳送arp應答訊息，其他主機收到應答報文時不會檢測該報文的真實性就會將其記入本機arp快取；由此攻擊者就可以向某一主機傳送偽arp應答報文，使其傳送的資訊無法到達預期的主機或到達錯誤的主機，這就構成了乙個arp欺騙。arp命令可用於查詢本機arp快取中ip位址和mac位址的對應關係、新增或刪除靜態對應關係等。相關協議有rarp、**arp。ndp用於在ipv6中代替位址解析協議。

一次ARP病毒排查

對一次ARP欺騙分析

對一次ARP欺騙分析

記一次線上問題排查

一次ARP病毒排查

對一次ARP欺騙分析

對一次ARP欺騙分析

記一次線上問題排查

相關推薦