如何查找ARP根源

  局域网内的所有主机上网时断时续,十有八九是ARP病毒在作祟,例如前段时间猖狂作案的“熊猫烧香”病毒就是一个ARP病毒。我们处理这样的情况时,第一步首先要找出感染病毒的主机,然后将其从网络中断开,消除对网内其他机器的影响后,然后再慢慢收拾病毒。www.sq120.com推荐文章

第一招:使用Sniffer抓包

  在网络内任意一台主机上运行抓包软件,捕获所有到达本机的数据包。如果发现有某个IP不断发送ARP Request请求包,那么这台电脑一般就是病毒源。
  原理:无论何种ARP病毒变种,行为方式有两种,一是欺骗网关,二是欺骗网内的所有主机。最终的结果是,在网关的ARP缓存表中,网内所有活动主机的MAC地址均为中毒主机的MAC地址;网内所有主机的ARP缓存表中,网关的MAC地址也成为中毒主机的MAC地址。前者保证了从网关到网内主机的数据包被发到中毒主机,后者相反,使得主机发往网关的数据包均被发送到中毒主机。
第二招:使用arp –a命令
  任意选两台不能上网的主机,在DOS命令窗口下运行arp –a命令。例如在结果中,两台电脑除了网关的IP、MAC地址对应项,都包含了192.168.0.186的这个IP,则可以断定192.168.0.186这台主机就是病毒源。
  原理:一般情况下,网内的主机只和网关通信。WWW.ITCoMPutEr.CoM.cN正常情况下,一台主机的ARP缓存中应该只有网关的MAC地址。如果有其他主机的MAC地址,说明本地主机和这台主机最近有过数据通信发生。如果某台主机(例如上面的192.168.0.186)既不是网关也不是服务器,但和网内的其他主机都有通信活动,且此时又是ARP病毒发作时期,那么,病毒源也就是它了。
第三招:使用 tracert命令
  在任意一台受影响的主机上,在DOS命令窗口下运行如图所示命令。
  假定设置的缺省网关为10.8.6.1,在跟踪一个外网地址时,第一跳却是10.8.6.186,那么,10.8.6.186就是病毒源。
  原理:中毒主机在受影响主机和网关之间,扮演了“中间人”的角色。所有本应该到达网关的数据包,由于错误的MAC地址,均被发到了中毒主机。此时,中毒主机越俎代庖,起了缺省网关的作用。  
TinyRAT木马如何清除

  如今,无论用于网页木马还是远程溢出,黑客都会选择一款小巧的木马程序。随着杀毒软件和防火墙功能的逐步提高,木马程序的隐蔽性也是越来越强。比如今天介绍的这款木马程序,无论是随机启动还是穿越防火墙都是使用的系统程序,这样就为我们的检测带来非常大的困难。那么怎样才能顺利清除这款木马程序呢?www.sq120.com推荐文章

  今天一网友说说自己刚刚完成不久的一张设计图被其他的设计师剽窃,问是怎么回事?听了讲述,已经隐约怀疑是木马程序作祟,但是哪一款木马程序呢?在随后的检测中发现:这个恶意程序非常奇怪,既没有相关的进程又没有启动项,就好像在系统中透明的一样,难道这就是江湖中传闻的“踏雪无痕”?这时,周医生立刻明白了,这个木马程序就是TinyRAT。
木马的技术特点
  TinyRAT是一款全新的远程控制软件,它最大的特点之一就是服务端程序“短小精悍”,通过FSG压缩后只有12KB大小,所以非常适合用于网页木马、文件捆绑等操作。
  另外,由于木马调用SvcHost.exe服务,同时使用了一些程序替换技术,所以程序可以在卡巴斯基默认的设置下,随机自动启动并轻松穿透防火墙的拦截。
木马隐藏得太深
  周医生打算从木马的启动项和进程开始下手,接着就可以顺藤摸瓜然后将病毒一网打尽。首先运行System Repair Engineer,点击“智能扫描”按钮后选择“所有的启动项目”和“正在运行的进程”选项,接着对系统进行一个全方位的扫描。
  当程序扫描完成后,周医生从提交的报告中并没有看出任何的可疑之处(图1)。周医生心里想:这个木马程序果然隐藏得够深啊!

  既然通过传统的方法不能找出木马的相关内容,那么这个木马程序该如何查找分析呢?这时周医生看到系统栏中的网络状态窗口,想到我们可以通过查看进程再进行数据传输,这样就可以查找到木马程序的进程。
  于是关闭系统中所有运行的程序,接着运行木马辅助查找器。再点击“端口信息”标签列表,果然发现有一项Svchost进程在进行数据传输,这里我们记下该进程PID值(图2)。

  PID值:是进程标志符。PID列代表了各进程的ID,也就是说PID就是各进程的身份标志。打开系统的“任务管理器”并点击“进程”标签,接着点击“查看”菜单中的“选择列”命令,然后在弹出的窗口中选择“PID”一项。这时你就能看到进程列表中的PID值了,PID值越小越好。
发现木马真身
  点击“进程监控”标签,从列表中选中前面那个PID值的Svchost进程后,在下面的模块列表中果然发现了一个既没有“公司”说明,也没有“描述”信息的可疑DLL文件。
  根据文件的路径信息找到SysAdsnwt.dll文件,根据它的生成时间可以确认这个文件就是木马的服务端文件(图3)。

  然后周医生开始寻找木马程序的启动项。既然已经知道木马程序利用了Svchost进程,我们还是通过它来进行查找。我们知道Svchost进程其实就是“Service Host”(服务宿主)的缩写,它本身并不能给用户提供任何服务,而是专门为系统启动各种服务的。
  由于系统服务在注册表中都设置了相关参数,因此Svchost通过读取某服务在注册表中的信息,即可知道应该调用哪个动态链接库。这样只要查找到调用SysAdsnwt.dll文件的系统服务,就可以查找到木马的启动项。
清除木马很简单
  现在看看如何对TinyRAT木马进行卸载清除。首先运行注册表编辑器,接着点击“编辑”菜单中的“查找”命令,在弹出的窗口中输入查找内容为“SysAdsnwt.dll”。
  由于在注册表中服务下边有一个Parameters的子键,其中的ServiceDll表明该服务由动态链接库负责,所以凡是查找到名为ServiceDll的项目的统统删除。
  接着在“木马辅助查找器”中选择“进程监控”标签,选择木马利用的Svchost进程后点击窗口的“终止选中进程”按钮即可。最后进入系统的System32目录中,将该DLL文件删除就完成了木马的清除工作。

 
如何加密无线网络

  近年来,无线网卡、无线ADSL路由器等无线网络产品迅速普及,越来越多的人采用无线上网的方式。特别是通过有线接入Internet,局域网采用无线方式组建的方式,由于它低廉的价格和较高的网速,受到使用者的普遍欢迎。但是,如果设置不当,那么我们就可能为别人上网买单!www.sq120.com推荐文章

无线上网面临入侵威胁
  当我们在享受无线网络带来便捷的同时,无线路由(或无线AP)发射的信号越过门缝,穿过墙壁,覆盖了我们的左邻右舍。如果你邻居的电脑也装有无线网卡,那么,无线网被非法接入,邻居“搭便车”上网的风险就不期而至。
  有人说,不用担心,我的无线网有安全防护措施,比如不广播SSID,起用WEP加密安全机制等等。然而,这些安全手段,在网上随处可得的黑客工具面前,根本就不堪一击。
  例如著名的NetStumbler软件,运行后可以捕捉到覆盖本区域的所有无线信号,并列出SSID、使用频道、是否加密等重要参数。

  而WinAirCrackPack工具包,就是专门用来破解WEP密码的。在收集了足够数量的数据帧后,以下的事情只要操作者简单地点几下鼠标,就能很轻松地得到你费尽心机设置的WEP密码。
巧设IP 防搭“顺风车”
  那么,是不是就没有办法了呢?也不是。想一想平时配置有线网络时,连好网线后要做的事情?对,就是设置正确的IP地址。只有连接好网线,同时为路由器、主机都设置了正确的IP,才能正常上网。
  别人破解了你的WEP密码,连接到你的无线路由,也仅仅是相当于连接好了网线,如果不能设置正确IP,同样不能上网。这样的话,即使破解了你的WEP密码,也是毫无意义的。
  然而,很多人并没有意识到这一点,只是绞尽脑汁在密码设置上下功夫,无线路由的IP地址十有八九是192.168.1.1,子网掩码255.255.255.0,主机则设置为该网段的任一地址。有的更干脆,直接在无线路由上启用DHCP服务,为接入主机动态分配一个IP。动态分配方式就不用说了,而192.168.1.0往往是“不速之客”猜测的第一个网段。这样的设置,对侵入者来说,无疑是城门大开。
  安全的IP设置方式,首先一定要禁用无线路由的DHCP服务,改用手工为主机设置IP。其次,根据上网主机数量,利用子网划分技术,在适合主机数量的网段中随意选择一个使用。不仅可以使用 192.168.1.0网段,其他的私有IP地址网段都可以用来划分子网。
  例如,家庭上网只有1台主机,以192.168.1.0(255.255.255.0)网段为例划分子网,使用掩码255.255.255.252,得到可用的子网有62个,每个子网可用IP有2个。如使用第一个子网,那么,无线路由局域网口设置如下(图2)。
  IP地址:192.168.1.5
  子网掩码:255.255.255.252
  主机局域网口设置如下:
  IP地址:192.168.1.6
  子网掩码:255.255.255.252
  缺省网关:192.168.1.5

  那么,这种情况的安全性可以说是“固若金汤”。即使对方通过其他途径知道你的IP设置也没用,因为整个网段可用IP地址只有2个,无线路由、主机各占一个,没有其他IP可用了。
  如有2~5台主机上网,仍以192.168. 1.0(255.255.255.0)网段为例划分子网,使用掩码255.255.255.248,得到可用的子网有30个,每个子网可用IP有6个。如使用第一个子网(实际中可以随机挑选一个子网,以增加安全性),那么,无线路由局域网口设置如下:
  IP地址:192.168.1.9
  子网掩码:255.255.255.248
  主机局域网口设置如下:
  IP地址:192.168.1.10~14
  子网掩码:255.255.255.248
  缺省网关:192.168.1.9
  这种情况下,如果对方破解了WEP密码(灵敏数据保密传输安全系统,为无线网络提供传输加密),还要同时猜测出你使用的网段掩码,无线路由地址等参数,同时网段内还要有剩余IP可用,才能成功连接。
  得到这些参数仅靠猜测几乎是“不可完成任务”,但如果对方使用了其他包捕获工具,加上足够的耐心,有可能得到你使用的网段以及网段内的IP,此时如果有剩余IP,怎么办呢?
  很简单,大部分的无线路由都有简单的防火墙功能,通过配置,可以禁止特定的IP访问。因此,可以通过配置访问控制列表,将网段内剩余的IP禁用,你邻居本事再大,总不至于跑到你家来更改你的路由配置吧^_^
总结
  上面的方法,实际上避开物理层的接入问题,转而在网络层加强安全控制,不让非法接入者得到正确的IP地址,从而使得接入者即使成功接入,也变得毫无意义,除了枉费心机外,得不到任何好处也不能造成任何危害。