【轉貼】ARP病毒


Recommended Posts

學校說明點我

想必大家都知道今天學校早上9:30~11:30網路停用吧?

(知道吧?應該知道吧=口=?)

就是ARP這個東西惹的禍(指)

不過應該還是有很多人對他不熟(包括我)(被打)

所以試著咕狗他一下

轉自趨勢科技

何謂ARP〈Address Resolution Protocol〉

ARP是負責將IP位址轉換成Mac位址的一種通訊協定,當某一台電腦要傳送資料到某個IP位址時,會先傳送ARP封包詢問網路上哪台電腦的MAC Address對應到這個IP位址,當目的端的電腦接收到這個ARP封包之後便會回應給來源電腦進行資料傳送。

何謂ARP攻擊〈ARP Poisoning、ARP Spoofing〉

發送一個假的ARP封包竄改ARP Cache使得資料無法正確傳輸到目的地,造成網路無法連結,便稱作ARP攻擊。由於一般的ARP Cache是根據經過的ARP封包不斷的變更本身的ARP列表,假設接收到的ARP封包所提供的資料是偽造的,就會讓資料無法傳輸到實際的目的地。甚至可能因為資料導向某特定電腦,駭客可利用病毒竊取封包資料或修改封包內容。

假設Host B中了ARP病毒,它發送一個假的ARP封包給Switch,告訴Swich說192.168.1.1對應的Mac位址是Host B的Mac Address,原本192.168.1.1對應的Mac Address是Router,這時候就會被修改成錯誤的Mac位址。

當Host A要發送HTTP request到192.168.1.1時,經過Swich的時候查看ARP Cache發現192.168.1.1對應到的是Host B的Mac Address,此時資料就會傳送給Host B,而不會傳送到Router,所以Host A就可能無法連上網路。Host B即為所謂的Man In Middle,除了可能造成區域網路內的其他電腦無法上網之外,有的ARP病毒將其他電腦的HTTP封包修改後再送回原用戶端,造成原用戶端在不知情的狀況下連線惡意網站下載惡意程式。

-----------------------------------

喔喔喔總之

學校網路對女中學生很重要阿阿阿

尤其是報告一堆又全都丟網路硬碟的人XD

不過聽本班強大(?)的電腦股長說

學校說整個病毒要清到完全沒有

就得把全部的主機都換掉(!)

Link to post
Share on other sites

我是你們學校的電腦老師兼「資訊組長」,

原本我認為這個地方是你們學生自己的園地,

大人不應該來這邊污染,

不過我看到原PO似乎對這件事有一些不清楚的地方,

所以來做個澄清....

1.你轉貼趨勢科技的那篇ARP的說明,

除非是學資訊的, 不然我想沒幾個人看得懂吧,

如果真的看得懂, 也不會有下面的文字出現了,

我把我星期四開說明會時的資料寫在下面:

ARP病毒原理:

當一部電腦中了ARP病毒之後,會去佔用其他電腦的IP位址,

同時欺騙其他電腦說是自己是對外的閘道器(ARP欺騙),

誘使其他電腦對外的連線都要經過它出去。

乍看之下只是一個簡單的欺騙行為,

背後代表的意義卻是綁架了全校所有的電腦。

(事實上不是全部,因為學校目前切割成七個子網路,

中毒的電腦只會影響該子網路裡的電腦)。

而當區域網路有電腦中了ARP病毒時,將會有以下三種影響:

1.網路不穩或網路不通

2.在網頁資料中插入惡意程式碼,引發其他電腦中毒

3.竊取個人帳號密碼

簡單的說, 如果以前的電腦病毒是接觸傳染,

那麼這次的病毒則是類似SARS、H1N1的飛沫傳染,

(事實上它的感染方式不只一種, 至少有三種以上,

它同時也是USB病毒的變種)

所以只要所處的網路環境有電腦中毒,

其他沒做防護的電腦只要上個網, 也會跟著中毒,

你說嚴不嚴重?

2.針對這個病毒(正確說來是攻擊方式),

有治漂和治本兩種方式,

治本是你最後一行提到的, 不過不是換主機 ,

而是換掉全校所有網路交換器及修改全校網路架構,

(有人不知道「主機」和「網路交換器」的差別嗎?)

學校現有的交換器是無網管功能的,

要換成有網管功能的才行,

而有網管功能的價格是前者的兩倍到三部,

加上全校的網路線路要重拉,

將固定IP和浮動IP的電腦重新標示,

整個做起來要100萬以上, 工程也要一個月以上,

你可以忍受一個多月網路很不穩嗎?

而治標方式就是這次做的,

既然學校沒有錢和時間立即做整個網路的汰換,

我們只能針對學校的電腦做一些防護動作,

至少做完防護之後, 就比較不會再中毒....

(當然新買進來的電腦如果沒做防護,

還是一樣會中毒....)

學校有400台的電腦, 每一台要做30分鐘至二小時,

你覺得全部做完要做多久....

前天有位圖書館的志工媽媽問我,

「怎麼不請其他資訊組的老師來幫忙?」

我回答:「資訊組只有一位老師」

她又問:「就只有你如曾老師嗎?」

我回答:「不是, 整個資訊組的編制就只有一位老師來兼任,

下面沒有其他老師, 也沒有職員或技工, 就是只有我一個人而已....」

如果不找個時間把網路停掉大家一起來做,

有辦法把這次的病毒控制住嗎?

(註:另一位專任的電腦老師在編制上是屬於教務處, 不歸資訊組管,

不過她這次也有幫忙做對高一、二班級的說明會部分就是了,

只是資料和光碟也幾乎都是我一個人弄的....)

給你看另一間學校電腦老師的網誌文章:

http://www.shsh.ylc.edu.tw/~taichis/wp/20071031/544

重點是最後一行:

「我只能說,中了這個病毒的網管,您辛苦了。」

3.我覺得你這篇文章的重點是,

「學校沒事把網路斷掉就是不應該!!」

老實說, 也只不過停三個小時而已,

我星期五早上一個人就處理了20台以上的電腦,

(圖書館公用電腦11台、進德樓七、八樓老師用電腦12台)

而且很準時在11:30之前把網路恢復了,

也趕上了中午12:00~12:35電腦教室的開放時間,

這樣停三個小時有很嚴重嗎?

你知道我這星期做了多少事嗎?

給你看一下我網誌的兩篇文章:

1.可惡的 ARP 病毒 http://www.wretch.cc/blog/sagit/32726587

(星期一當天發現 ARP 病毒時寫的)

2.疲累的一週 http://www.wretch.cc/blog/sagit/32757440

(星期五晚上整個處理完之後寫的)

對你而言, 是三個小時的網路中斷,

你知道我在這個事件的處理上,

前前後後所花的時間和精力,

絕對超過30個小時.....

看完之後, 如果你還覺得是我的錯,

覺得學校應該一年365天每天24小時網路、主機都不能斷,

你可以繼續砲轟沒關係,

正好我可以拿去給校長看,

讓她批淮我的辭呈....

我五月初原本就打算這學期資訊組長做完就不做了,

→ 辭呈(2009.5.18) http://www.wretch.cc/blog/sagit/32567881

這星期三早上校長把我找去慰留,

不過我還是很想辭, 做這種吃力不討好的工作真的很無力....

只能說, 在快要卸任的前夕發生這樣的事件真的很倒霉,

你以為學校網路能通、伺服器能上是天經地義的事嗎?

你不知道我一個人在機房裡面弄多久,

甚至有時候回家也是加班在查一些網管的資料....

看完你的文章, 更加深了我想辭去資訊組長職務的念頭,

還是回去當個專任老師就好,

只要上上課、學期末還會收到很多學生寫的小卡片, (誤)

多麼快樂呀!

Link to post
Share on other sites

老師很抱歉我第一篇的發言不清楚

讓你有誤解的地方

我真的感到很抱歉

關於老師們的努力

我們都知道

也一直很感謝老師們的付出

三天兩頭的問問題以及種種的疲勞轟炸老師們都會不厭其煩的詳細回答我們

每星期上一回電腦課

總會收穫很多

我的原意只是想讓很多不知道學校為什麼要暫時中斷網路的同學了解這件事情而已

造成老師的不舒服真的很對不起!

最後

老師您辛苦了,為了學校網路忙了那麼久還要回覆我沒經過仔細思量就發的文章

真的很對不起!

Link to post
Share on other sites

給3樓:

看到你的這一段:

「喔喔喔總之

學校網路對女中學生很重要阿阿阿

尤其是報告一堆又全都丟網路硬碟的人XD」

我還以為你是在責難,

誤解了你的意思也真的很不好意思,

事情過了就算了....

給4樓:

我都不知道我的名聲有傳到那麼遠~~~~~

Link to post
Share on other sites
給3樓:

看到你的這一段:

「喔喔喔總之

學校網路對女中學生很重要阿阿阿

尤其是報告一堆又全都丟網路硬碟的人XD」

我還以為你是在責難,

誤解了你的意思也真的很不好意思,

事情過了就算了....

給4樓:

我都不知道我的名聲有傳到那麼遠~~~~~

我都不知道老師會上深藍XD

我是已經畢業兩年的學生 以前高一的時候有當過電腦股長

老師辛苦了~

Link to post
Share on other sites
  • 4 weeks later...

Wow, 傳聞的sagit老師接網管?

真的是女中的福氣!

真的應該給老師掌聲,畢竟,這年頭,有實力又願意服務的人不多了!

但是,話說回來,如果sagit老師不接了,

廠商們一定又樂了,八成又推銷一堆有的沒的咚咚叫學校買

錢,就這麼開掉...

Link to post
Share on other sites
  • 2 weeks later...

To 水刃冰音

我記得你高一時應該是111的吧,

我對你還有一點印象....

To Windows

原來我這麼有名?

說不定校外認識我的人比自己校內的學生還多,

這樣說起來好像滿悲哀的....

是說, 其實花錢買設備也沒什麼不好,

畢竟每個人的精力有限,

不可能永遠都那麼活力十足,

而且廠商也是要生存的,

總該讓人家有生意做吧....

Link to post
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing inSign In Now