抓包分析
使用siniffer抓包,分析具体数据包情况。根据分析初步判定是遭受了ARP欺骗攻击,因为原本一个IP地址对应一个MAC地址,但在siniffer的数据报告上面显示的IP地址对应的MAC地址全部都成了一个。
具体解决过程
打开服务器,发现上面竟然安装了server-u5.0,还有代理服务器 ccproxy。前段时间还和朋友探讨这两个软件的溢出和提权,估计是已经被人成功拿下了,在服务器的c盘目录上发现了winpcap,还发现了arp siniffer这两个软件。前面已经讲过如何利用arp siniffer嗅探密码和资料了,这里就不再过多介绍。
现在应该去抓这只鬼了,首先我们要搜索.txt文本文件,考虑到他既然如此大胆的把文件放在c盘根目录下,从黑客行为上分析,这个黑客的水平和技法也不怎么样,也有可能我小看了他。根据在c盘搜索到的txt文件,按时间倒序排列,找出最新生成的txt文档,果然一个名叫admin.txt的文本文档进入了我们的视线。打开一看,n多帐户和密码,经过嫂子的辨认,非常重要的一台办公服务器的用户名和密码都在上面,要知道它可是直接和省增值服务网络直接互通的,假如这个网络被入侵的话,那么损失将是不可估量的。
现在做的只有迅速断开网络连接,更改密码,把server-u升级到6.0最新版本。关闭了ccproxy代理服务器,把这个arp sniffer这个垃圾清扫出去,给其他老师的机器打补丁,做漏洞扫描,这里说句题外话,在清理的过程中发现很多机器上面的用户名和密码都为空,ipc$,3389,远程协助全都是打开状态。
至此,所有的问题都已经解决了,但并不是所有人都可以这样做,其实遭受攻击的原因很多是因为内部员工使用终端不当,抛开内部员工泄密不说,单说基本的安全常识,就有很多企业的员工不知道。这些都给黑客的各种入侵带来了极大的便利。
关于ARP病毒造成断网的处理方法
1.开始->运行->输入cmd回车,在字符窗口中输入arp –a回车。
说明:172.16.37.254是网关地址,后面的00-00-0c-07-0a-01是网关的物理地址。此物理地址默认情况下是不会发生改变的,如果发现物理地址不是此地址说明自己已经受到了arp病毒的攻击。
2.解决办法:
(1)执行arp –a 列出本机缓存的所有arp信息;
(2)执行arp –d IP地址 清除缓存信息。
实例:
(1)执行arp –a 列出了:
172.16.37.25 00-0F-EA-11-00-5E
172.16.37.254 00-0F-EA-11-00-5E
由于之前我们已经知道网关的正确物理地址是00-00-0c-07-0a-01,此时却变成了00-0F-EA-11-00-5E,说明172.16.37.25正在利用arp进行欺骗,冒充网关。
(2)执行arp –d 172.16.37.25 回车,再执行arp –d 172.16.37.254 回车来清除arp的缓存,或者直接执行arp –d 回车清除所有的arp缓存信息。
已被阅读: 次
重庆电脑维修上门电脑维护电脑外包
公司包月维护
【讯闪科技 pc3721电脑维修中心】 正规公司运营
技术实力优秀 服务有保障!
热线电话:
023-62607382 66399947
|
