Window應急響應(五):ARP病毒
ARP病毒並非某一種病毒的名稱,而是對利用arp協議的漏洞進行傳播的一類病毒的總稱,目前在局域網中較爲常見。發做的時候會向全網發送僞造的ARP數據包,嚴重干擾全網的正常運行,其危害甚至比一些蠕蟲病毒還要嚴重得多。html
0x01 應急場景
某天早上,小夥伴給我發了一個微信,說192.168.64.76 CPU如今負載很高,在日誌分析平臺查看了一下這臺服務器的相關日誌,流量在某個時間點暴漲,發現大量137端口的UDP攻擊。ios
0x02 分析過程
登陸服務器,首先查看137端口對應的進程,進程ID爲4對應的進程是SYSTEM,因而使用殺毒軟件進行全盤查殺。web
卡巴斯基綠色版:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe安全
卡巴斯基、360殺毒、McAfee查殺無果,手工將啓動項、計劃任務、服務項都翻了一遍,並未發現異常。
本地下載了IpTool抓包工具,篩選條件: 協議 UDP 端口 137服務器
能夠明顯的看出192.168.64.76發送的數據包是異常的,192.168.64.76的數據包目的地址,一直在變,目的MAC是不變的,而這個MAC地址就是網關的MAC。微信
端口137的udp包是netbios的廣播包,猜想:多是ARP病毒,由本機對外的ARP攻擊。網絡
採用措施:經過藉助一些安全軟件來實現局域網ARP檢測及防護功能。工具
服務器安全狗Windows版下載:http://free.safedog.cn/server_safedog.htmlui
網絡防火牆--攻擊防禦--ARP防火牆:spa
雖然有攔截了部分ARP請求,但流量出口仍是有一些137 UDF的數據包。
看來仍是得下狠招,關閉137端口:禁用TCP/IP上的NetBIOS。
1)、禁用Server服務
2)、禁用 TCP/IP 上的 NetBIOS
設置完,不用重啓便可生效,137端口關閉,觀察了一會,對外發起的請求已消失,CPU和網絡帶寬恢復正常。
0x04 防禦措施
局域網安全防禦依然是一項很艱鉅的任務,網絡的安全策略,我的/服務器的防毒機制,能夠在必定程度上防止病毒入侵。
另外無論是我的PC仍是服務器,總仍是須要作一些基本的安全防禦:一、關閉135/137/138/139/445等端口 二、更新系統補丁。
推薦閱讀:
參考文章:
高危漏洞免疫工具
http://www.360.cn/webzhuanti/mianyigongju.html
NSA武器庫免疫工具 http://dl.360safe.com/nsa/nsatool.exe
http://soft.360.cn/static/baoku/info_7_0/softinfo_1900006184.html
- 1. Window應急響應(三):勒索病毒
- 2. Window應急響應(四):挖礦病毒
- 3. Linux應急響應(三):挖礦病毒
- 4. 挖礦病毒應急響應分析
- 5. 【應急響應】勒索病毒
- 6. Window應急響應(六):NesMiner挖礦病毒
- 7. 應急響應--linux病毒查殺工具ClamAV
- 8. 應急響應之ARP欺騙
- 9. 應急響應
- 10. ARP病毒
- 更多相關文章...
- • 如何僞造ARP響應? - TCP/IP教程
- • 週期性發送ARP響應包 - TCP/IP教程
- • TiDB 在摩拜單車在線數據業務的應用和實踐
- • RxJava操作符(五)Error Handling
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. Window應急響應(三):勒索病毒
- 2. Window應急響應(四):挖礦病毒
- 3. Linux應急響應(三):挖礦病毒
- 4. 挖礦病毒應急響應分析
- 5. 【應急響應】勒索病毒
- 6. Window應急響應(六):NesMiner挖礦病毒
- 7. 應急響應--linux病毒查殺工具ClamAV
- 8. 應急響應之ARP欺騙
- 9. 應急響應
- 10. ARP病毒