0x00 前言

ARP病毒并不是某一种病毒的名称,而是对利用arp协议的漏洞进行传播的一类病毒的总称,目前在局域网中较为常见。发作的时候会向全网发送伪造的ARP数据包,严重干扰全网的正常运行,其危害甚至比一些蠕虫病毒还要严重得多。

0x01 应急场景

某天早上,小伙伴给我发了一个微信,说192.168.64.76 CPU现在负载很高,在日志分析平台查看了一下这台服务器的相关日志,流量在某个时间点暴涨,发现大量137端口的UDP攻击。

0x02 分析过程

登录服务器,首先查看137端口对应的进程,进程ID为4对应的进程是SYSTEM,于是使用杀毒软件进行全盘查杀。

卡巴斯基绿色版:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe

卡巴斯基、360杀毒、McAfee查杀无果,手工将启动项、计划任务、服务项都翻了一遍,并未发现异常。 本地下载了IpTool抓包工具,筛选条件: 协议 UDP 端口 137

可以明显的看出192.168.64.76发送的数据包是异常的,192.168.64.76的数据包目的地址,一直在变,目的MAC是不变的,而这个MAC地址就是网关的MAC。

端口137的udp包是netbios的广播包,猜测:可能是ARP病毒,由本机对外的ARP攻击。

采用措施:通过借助一些安全软件来实现局域网ARP检测及防御功能。

服务器安全狗Windows版下载:http://free.safedog.cn/server_safedog.html

网络防火墙--攻击防护--ARP防火墙:

虽然有拦截了部分ARP请求,但流量出口还是有一些137 UDF的数据包。

看来还是得下狠招,关闭137端口:禁用TCP/IP上的NetBIOS。

1)、禁用Server服务

2)、禁用 TCP/IP 上的 NetBIOS

设置完,不用重启即可生效,137端口关闭,观察了一会,对外发起的请求已消失,CPU和网络带宽恢复正常。

0x04 防护措施

局域网安全防护依然是一项很艰巨的任务,网络的安全策略,个人/服务器的防毒机制,可以在一定程度上防止病毒入侵。另外不管是个人PC还是服务器,总还是需要做一些基本的安全防护:

1、关闭135/137/138/139/445等端口 2、更新系统补丁

局域网arp攻击_Window应急响应(五):ARP病毒相关推荐

  1. 局域网arp攻击_网络安全基础之ARP攻击和防御

    本文转载于 SegmentFault 社区 作者:吴小风 前言 在看这篇文章之前,请大家先看下交换机的工作原理,不知大家有没有想过数据链路层中头部协议数据帧的目的MAC地址是如何获取的呢?这就是今天的 ...

  2. 局域网arp攻击怎么办,如何解决arp内网攻击?

    对于公司内网来说,arp攻击是比较常见的网络攻击了,哪怕是局域网也能遭受arp攻击,而局域网的arp大多是出现在公司的局域网上,那么如果是局域网被arp攻击怎么办?ARP攻击是什么呢? ​ ARP攻击 ...

  3. java arp 攻击_网络安全基础之ARP攻击和防御

    前言 在看这篇文章之前,请大家先看下交换机的工作原理,不知大家有没有想过数据链路层中头部协议数据帧的目的MAC地址是如何获取的呢?这就是今天的主角ARP协议,通过广播来获取IP地址对应的MAC地址. ...

  4. ARP攻击原理和kali实现ARP攻击

    目录 一.ARP协议和ARP攻击 1.ARP协议 2.利用Wireshark分析ARP数据包 3.ARP攻击 二.kali实现ARP攻击和ARP欺骗 1.实验过程 2.问题记录T_T 一.ARP协议和 ...

  5. 应急响应之ARP欺骗

    一:ARP概述 ARP(Address Resolution Protocol)是地址解析协议,是一种将IP地址转化为物理地址的协议.具体来说就是将网络层地址(IP)解析为数据链路层的物理地址(一般为 ...

  6. 一次短信验证码攻击的应急响应

    前言 前段时间客户现场被攻击,客户找到了公司,公司找到了我,于是有了这一次的应急响应,因为第一次搞,所以记录一下整个过程. 一.要做什么 刚开始不知道干啥,非常迷茫,通过老大的教导,事后总结了下面几条 ...

  7. linux arp攻击教程,Linux下防御arp攻击的方法

    Linux下防御arp攻击的方法 发布时间:2008-09-08 17:09:19   作者:佚名   我要评论 1.获取同一网段下所有机器MAC地址的办法 机房有机器中毒,发arp包,通过arpsp ...

  8. 3.Windows应急响应:蠕虫病毒

    0x00 前言 蠕虫病毒是一种十分古老的计算机病毒,它是一种自包含的程序(或是一套程序),通常通过网络途径传播, 每入侵到一台新的计算机,它就在这台计算机上复制自己,并自动执行它自身的程序.常见的蠕虫 ...

  9. python挖矿脚本_windows应急响应 -- powershell挖矿病毒清理办法

    一.关于powershell挖矿病毒 在2019年4月22号,对公司几台服务器进行进行病毒排查,发现有两台windows服务器CPU使用过高,查看进行时发现poweshell进程占用CPU, 通过百度 ...

最新文章

  1. nohup-真正的Shell后台运行
  2. 如何使用免安装的mysql-孤单的小孩儿-搜狐博客
  3. Spring Cloud 微服务架构
  4. vue 动态修改路由参数
  5. 全国计算机一级知识题及答案解析,全国计算机等级考试一级试题库大全完整版附参考答案...
  6. 【软件质量】软件设计要考虑性能
  7. KeyBlaze for mac(专业打字练习软件)激活版
  8. 安装appcan后打开eclipse出错
  9. docker 常用命令 五 容器日志
  10. jquery 获取节点各种方法
  11. OpenV$P$N配置后启动服务发生错误排错
  12. 微信小程序ui框架 graceUI 使用半年评测
  13. android 颜色渐变扩散,Android 颜色渐变(gradient)的实现总结
  14. 字节跳动21届秋招工资单曝光
  15. android qq消息数 拖拽动画,史上最详细仿QQ未读消息拖拽粘性效果的实现
  16. 一个有用的命令jcmd
  17. 实现一台电脑可上公司内网也可以访问外网
  18. 一个简单的CNN model,训练集MNIST
  19. 在qemu中添加swap分区
  20. PyCharm:Font family [‘sans-serif‘] not found. Falling back to DejaVu Sans解决办法(mac亲测有效)

热门文章

  1. VUE 数组性能优化以及踩雷
  2. 读文献——一些专有名词的学习记录
  3. 复旦大学游记(r10笔记第88天)
  4. CodeMirror 基础配置指南
  5. LaTeX 控制表格的每行高度和单元格宽度
  6. (四)python网络爬虫(理论+实战)——发送请求
  7. 阿里P8级架构师怎么处理电商业务中的数值计算的精度/舍入/溢出问题?
  8. 数据分析-最常用4种分析方法
  9. Java实现使用Modbus4j+seroUtils读取Mudbus RTU/ASCII Over TCP/IP连接设备数据
  10. 视频目标跟踪综述【一】