五常信息网(五常论坛)

 找回密码
 立即注册

扫一扫,访问微社区

QQ登录

只需一步,快速开始

搜索
查看: 946|回复: 2

[转帖]ARP欺骗病毒的最新状况

[复制链接]

114

主题

520

帖子

15万

积分

五常终身荣誉居民

Rank: 12Rank: 12Rank: 12

积分
155693
金钱
134007
威望
13639
经验值
6997
魅力
8
精华
0

论坛元老

发表于 2007-12-16 09:10:30 | 显示全部楼层 |阅读模式
以往的ARP病毒使用ARP欺骗的目的绝大多数都是为了窃取用户的敏感信息,但是我们最近监测到ARP欺骗在病毒中又得到了新的应用,那就是作为传播网页木马病毒的传播手段,当一台主机感染带有这种ARP欺骗功能的病毒后,会在局域网内发动ARP欺骗,它会监听局域网内所有主机的数据包,一旦发现其它主机有访问WEB网页的行为后,就会通过修改相应的数据封包在你访问的网页代码里加入包含有木马程序的网页链接。从而导致局域网内其它主机不管访问什么网站都会被导引到含有木马病毒的网站上去的。当您访问任何网站您的杀毒软件都在报该网页有毒的话,很可能您的局域网内就存在这种攻击。

其他相关
ARP在注册表中的项:
1、关于arp缓存表项的生存期(有效时间)
在默认情况下,Windows" onclick="tagshow(event)" class="t_tag">Windows Server 2003家族和Windows" onclick="tagshow(event)" class="t_tag">Windows XP中,ARP缓存中的表项仅存储2分钟。如果一个ARP缓存表项在2分钟内被用到,则其期限再延长2分钟,直到最大生命期限10分钟为止超过10分钟的最大期限后,ARP缓存表项将被移出,并且通过另外一个ARP请求——ARP回应交换来获得新的对应关系。ARP缓存表项的存放时间可以通过改变ArpCacheLife和ArpCacheMinReferencedLife的注册表值来重新设置。.

ArpCacheLife
Location:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters7
Data  Type:  REG_DWORD
Valid  range:  0-0xFFFFFFFF
Default  value:  120
Present  by  default:  No

ArpCacheLife设置了未被使用的ARP缓存表项可以被保持的时间。如果注册表中没有ArpCacheLife项,!则ArpCacheLife的默认值是120秒(2分钟)。 
ArpCacheMinReferencedLife

Location:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Data  Type:  REG_DWORD
Valid  range:  0-0xFFFFFFFF
Default  value:  600
Present  by  default:  No


ArpCacheMinReferencedLife设置被重复使用的表项可以在ARP缓存中存放的时间。
ArpCacheMinReferencedLife的默认值是600秒(10分钟)。
在注册表中ArpCacheMinReferencedLife和ArpCacheLife的值的使用方法如下:
如果ArpCacheLife比ArpCacheMinReferencedLife的值大或与之相等,则被使用和未被使用的ARP
缓存表项可存储的时间都是ArpCacheLife。如果ArpCacheLife比ArpCacheMinReferencedLife的值小,则未被使用的ARP缓存表项在ArpCacheLife秒的时间后就过期了,被使用的表项的生存期为ArpCacheMinReferencedLife秒。

2、无偿ARP和重复的IP地址检测
ARP可以被用来检测重复的IP地址,这是通过传送一种叫做无偿ARP的ARP请求来完成的。无偿ARP就是一个发往自己IP地址的ARP请求。在无偿ARP中,SPA(发送者协议地址)和TPA(目标协议地址)被设置成同一个IP地址。如果节点发送一个发往自己IP地址的ARP请求,就不应收到任何一个ARP回应帧,这样节点就可以
判断没有其他节点使用跟它相同的IP地址。如果节点发送一个发往自己IP地址的ARP请求,结果收
到ARP回应,这样此节点就可以判断有另外一个节点使用同样的IP地址。注册表中对ArpRetryCount
的设置控制了无偿ARP的发送数量。

ArpRetryCount.
Location:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Data  Type:  REG_DWORD
Valid  range:  0-3:
Default  value:  3
Present  by  default:  No


ArpRetryCount设置了当初始化某个IP地址时,发送的无偿ARP的次数。如果发送了ArpRetryCount个无偿ARP后,都没有收到ARP回应,IP就假定此IP地址在此网络段中是唯一的。 
提示:无偿ARP试图检测在同一个网络段中的IP地址重复。由于路由器并不转发ARP帧,无偿ARP
并不能检测在不同网络段之间的IP地址冲突。个人感觉这种无偿ARP是不是能够用在开发检测ARP
病毒的机制上?

62

主题

656

帖子

14万

积分

版主

Rank: 8Rank: 8

积分
147091
金钱
133491
威望
8395
经验值
3884
魅力
3
精华
2
发表于 2007-12-16 10:31:31 | 显示全部楼层

 

[em10][em10]
茶,为饮,为健,为怡,为神,为道.
回复 支持 反对

使用道具 举报

客人  发表于 2008-7-13 11:28:33

bu cuo 

回复 支持 反对

使用道具

高级模式
B Color Image Link Quote Code Smilies

本版积分规则

QQ|手机版|微社区|小黑屋|Archiver|五常信息网(五常论坛) ( 黑ICP备06006344号

GMT+8, 2020-4-9 12:21 , Processed in 0.253197 second(s), 33 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

黑ICP备06006344号 哈公网监备2301001035号 不良信息举报电话

五常信息网是以宣传五常、服务五常人为宗旨的社区公益网站 法律顾问:孔敏律师

义务顾问:国超 电 话:15590891888 0451—53537878 业务QQ1:670566666;业务QQ2:670577777