中毒？木馬？請大家幫忙找看看 - 資安

※ [本文轉錄自 MUSTMIS 看板]

作者: yck0210 (我的心不再流浪) 看板: MUSTMIS
標題: Re: [問題] 中毒？木馬？請大家幫忙找看看
時間: Sun Oct 26 01:53:05 2008

其實這個問題我不知道就算了，我一知道也是讓我徹夜難眠～
一開始是系上三位老師在處理，後來我也幫忙，晚上學弟也加入幫忙！
老師們分析了好久，一直在猜測發生的原因，然後再用Sniffer及Ethereal慢慢查～
最後研判是有一台電腦中毒，
它可以修改路由器的ARP(Address Resolution Protocol) Table～
我們平常上網的時候，從Client端經Router到Server端的路徑是正常的～
但是要從Server端下載資料到Client端的時候就有問題了，因為ARP Table被修改了！
正常應該循原路徑，但是被修改的ARP Table將所有的IP全都指向同一個MAC....
也就是說在路由器裡面，被修改的ARP Table將所有的IP都指向中毒的電腦網路卡！
然後中毒的電腦將封包夾帶病毒網站的訊息，再回傳資料給正常的Client端～
使得同一個Collision Domain(碰撞領域)的Host在上網的時候都會有五個g三個t的問題～
這跟網路剪刀手(NetCut)的原理類似，不過這對我來說是很新的手法及想法！
或許哪一天真的有空，可以寫一支這種程式來玩玩，也是滿有趣的～

其實我是先把知道的結果描述出來，這是在我們找問題的過程中慢慢推測出來的！
我們在追查的過程裡，針對病毒訊息來搜索，最先找到出問題的MAC位址～
但是每一次查都會換IP，連使用arp指令也不能修正，
後來我們才發現是有人假冒Gateway！
在這樣不確定是哪一個IP的情況下，再加上我們沒有Switch的權限，
增加我們追查的困難度～
最後我們用老方法，就是把教室的Switch先關掉或隔開！
剩下最後的Switch，大多是老師、Lab、Server在使用，我們用二分搜尋法去尋找～
找到最後鎖定一間Lab，然後在用Ethereal撈它的封包，發現有大量的ARP封包！
最後依照網路線的編號查到該網路孔，發現它還接著一台Switch....><"
每拔一條網路線，就發現ARP的封包量增大，
查到最後時，它每秒送出的ARP封包居然上千個！
打開電腦，發現它累積的封包數還真可怕，
查一下它的網路卡位址，就是我們要找的MAC！
然後我還發現它沒裝防毒軟體，我只好先把它的網路線拔除後等下週再處理....
在忙了一個晚上後，將Router重開機，讓它產生新的ARP Table後就正常了！

整個晚上泡在網路機房處理問題，感覺好像又回到軍中待在機房解決狀況的感覺～
雖然這次不是我管的Lab出的問題，但讓我有種建立MAC表的想法，這樣查問題才會快！

以上....雖然過程好累，但是經驗增加了不少，而且kennedy0521的推文也給了我靈感！
最後，感謝那麼多人幫我測試、給我意見！

--