网吧病毒破解

8　网吧病毒破解

8．1　ARP病毒

长期以来，局域网内经常会受到ARP病毒的攻击，其病毒攻击的原理是通过伪造IP地址和MAC地址实现ARP欺骗，破坏内网中的主机和路由器交换设备ARP高速缓存机制，症状严重时会造成网络流量增大、设备CPU利用率过高、交换机二层生成树环路、短时间内全部断网或部分断网、主机上网不稳定，或者交换机短时瘫痪等状况。

8．1．1　ARP地址解析协议

在局域网中，IP数据包通过以太网进行发送。但以太网设备并不识别32位的IP地址，而是以48位以太网地址，传输以太网数据包(即以“帧”形式发送)。设备驱动程序从不检查IP数据报文中的目的IP地址。这就需要将IP目的地址转换成以太网目的地址。ARP就是用来确定这些映像的协议，既地址解析协议。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询其MAC地址，以保证通信的顺利进行。每台装有TCP/IP协议的主机或服务器内都配有一个ARP缓存表，表内的IP地址与MAC地址一一对应。ARP缓存表采用了老化机制，在同一段时间内如果表中的某一行没有使用，就会被删除，这样可以减少ARP缓存的长度，加快查询速度。

IP地址与MAC地址对应表

假设219．219．108．1(主机A)向219．219．108．2(主机B)传送数据，ARP的工作过程为:首先主机A会在自己的ARP缓存表中寻找目标主机B的IP地址。若找到，也就知道了B的MAC地址，就可直接把目标MAC地址写入帧内发送给B;若未找到，主机A就会在同网段内发送一个以太网广播数据包，目标MAC地址是“FF．FF．FF．FF．FF．FF”，即向同一网段内的所有主机发出这样的请求包，询问219．219．108．2的MAC地址。此时，只有目的主机B在接收到这个帧时，会向A发出表述“219．219．108．2的MAC地址是00－aa－00－64－f5－03”的一个含有IP和以太网地址对的数据应答包。而网络上的其他主机对ARP询问不会给予回应。这样，A就知道了B的MAC地址，也就可以向B传递信息了。同时，A将这个地址存入高速缓存，更新自己的ARP缓存表。下次再向主机B发送信息时，就可直接从ARP缓存表里查找。

8．1．2　ARP攻击原理

通过ARP的工作原理可知，系统的ARP缓存表是可以随时更新的动态转换表，表中的IP和MAC是可以被修改的，这样，在以太网中就很容易实现ARP欺骗。

ARP攻击可分为“中间人”攻击、MAC/CAM攻击、DHCP攻击、地址欺骗等，攻击形式表现为对外网和对内网PC机和网络交换机、DHCP服务的欺骗。

8．1．2．1　对内网IP/MAC的欺骗

局域网内的每个主机都用一个ARP高速缓存，用于存放近期内IP地址到MAC硬件地址之间的映射纪录。缓存中的IP－MAC条目是根据ARP响应包动态变化的，因此只要网络上有ARP响应包发送到本机，就会更新ARP高速缓存中的IP－MAC条目。同时，即使收到的ARP应答并非自己请求得到的，主机也会将其插入到自己的ARP缓存表中，这就造成了“ARP欺骗”的可能。典型的攻击是MITM(man－in－the－middle，中间人攻击)。例如，当攻击者想探听同一网络中两台主机之间的通信(即使是通过交换机相连，也可探听)，就分别向这两台主机发送一个ARP应答机，让两台主机都“误”认为对方的MAC地址是攻击者所在的主机，这样，双方看似“直接”的通讯连接，实际上都是通过“中间人”所在的主机间接进行的，攻击者只需更改数据包中的一些信息，就能做好转发工作，从而嗅探到用户账号密码等机密信息。

目前利用ARP原理编制的工具十分简单易用，这些工具可以直接嗅探和分析FTP、POP3、SMB、SMTP、HTTP/HTTPS、SSH、MSN等超过30种应用的密码传输内容，随时切断指定用户的连接。当攻击者发送大量持续伪造的ARP包时，还会造成局域网中的机器ARP缓存混乱，上网不稳定。

下图中，219．219．108．1的MAC由原来的00－0f－3d－83－76－33被篡改为病毒主机的MAC 00－90－f5－34－5a－23。该网段的网关地址的MAC被篡改，同时局域网内的部分MAC也被篡改为00－00－00－00－00，导致该网段的许多主机无法正常上网。

被病毒主机攻击后的客户机ARP缓存表

8．1．2．2　SWITCH的CAM欺骗

SWITCH(交换机)上同样有着一个动态的MAC缓存。它会主动学习客户端的MAC地址，并建立维护端口和MAC地址的对应表，以此建立交换路径，这就是通常所说的CAM表。也称MAC－PORT缓存。CAM表的大小是固定的，不同交换机的CAM表的大小不同，开始时表内并无内容，交换机从来往数据帧中学习，CAM表也就不断地填充和更新。

对CAM的攻击是指利用木马程序产生欺骗MAC，快速填满CAM表，CAM表被填满后，交换机以广播方式处理通过交换机的报文，以前正常的MAC和PORT对应的关系被破坏，这时攻击者就可利用各种嗅探攻击获取网络信息。CAM表填满后，流量会以洪泛方式发送到所有端口，同时TRUNK接口上的流量也会发给所有接口和邻接交换机，这就会造成交换机负载过大、网络缓慢、丢包，甚至是瘫痪。

在ARP欺骗木马开始运行的时候，局域网有相当数量的主机MAC地址会被更新为病毒主机的MAC地址(即这些主机的MAC地址都一致为病毒主机的MAC地址)，只有当ARP欺骗的木马程序停止运行时，才能恢复到真实的MAC地址。

8．1．2．3　DHCP服务的攻击

采用DHCP Server可以自动为用户设置网络IP地址、掩码、网关、DNS等网络参数，从而简化设置、提高效率。但DHCP的运作通常没有服务器和客户端的认证机制，病毒对其攻击的方式通常会表现为DHCP Server的冒充、DHCP Server的DOS攻击等。所谓冒充，就是耗尽DHCP服务器所能分配的IP地址，然后冒充合法的DHCP服务器，为用户分配一个经过修改的DNS Server，将用户在毫无察觉的情况下引导到预先配好的假网站，骗取其账户密码等机密信息。

8．1．3　ARP病毒分析

ARP病毒多数属于木马程序或蠕虫类病毒，例如pwsteal．lemir或其变种。病毒运作机理大多是通过组件，用病毒文件覆盖掉操作系统中的一些驱动程序，然后用病毒的组件注册(并监视)为内核级驱动设备，同时负责发送指令操作驱动程序，例如发送ARP欺骗包、抓包，过滤包等。这些病毒程序的破坏表现症状为，欺骗局域网内所有主机和交换机，让局域网中总的信息流量必须经过病毒主机。原来直接通过交换机上网的其他用户，转而通过病毒主机上网，切换时会断线一次。由于ARP欺骗的木马程序发作时会发出大量的数据包导致局域网通讯堵塞，加之自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行，用户会恢复为从交换机上网。

木马程嗅探导致内网主机短时间断网过程

8．1．4　防御措施

针对ARP病毒对网主机和交换机、DHCP服务器攻击特点，在防御时亦须对此3环节加强保护。然而，目前对ARP的防御还存在着设备技术有限、专杀工具不完善、实施有一定难度等诸多问题。要完全克服ARP协议缺陷，找到更便捷有效的防御方法，仍然任重道远。

8．1．4．1　应急措施

发现病毒攻击时，首先应从病毒源头直接采取便捷的方法:

(1)在客户机上进入MS－DOS窗口，输入命令“arp－a”，查看网关IP所对应的正确的MAC地址，将其记录下来。若此时已经不能上网，则先运行一次命令“arp－d”将arp缓存中的内容删空，计算机便可暂时恢复上网(攻击如果不停止的话)，一旦能上网就立刻断开网络(禁用网卡或拔掉网线)，然后再运行“arp–a”。

(2)取得网关的正确MAC地址后，不能上网的情况下，手工绑定网关IP和正确的MAC，可确保计算机不再被攻击影响。手工绑定方法是，在MS－DOS窗口下运行命令“Arp－s网关IP网关MAC”。此时类型变为静态(static)，也就不会再受到攻击的影响。但手工绑定在计算机重启后就会失效，需要再次绑定。对于这一问题，可写一个在每次开机时自动绑定的批处理文件:

@ echo off

arp–d

arp s网关IP网关MAC

将文件中的网关IP地址和MAC地址更改为正确的网关IP地址和MAC地址，然后放入“windows－开始－程序－启动”中。

但是，要想真正彻底根除攻击，只有找出网段内被病毒感染的计算机，然后杀毒。

8．1．4．2　定期防御

(1)对于交换设备，可使用可防御ARP攻击的交换机(例如思科等多功能交换机)，综合运用port security feature、DHCP Snooping、Dynamic ARP inspection (DAI)、IP source guard等一些关键技术，来建立动态的IP+MAC+PORT对应表和绑定关系、实时控制ARP流量、建立DHCP嗅探匹配表等。并合理划分VLAN，进行端口隔离，彻底杜绝在交换环境中实施的“中间人”攻击、MAC/CAM攻击、DHCP攻击、地址欺骗等。

(2)对于主机，应及时安装、更新防病毒软件，对内存和硬盘进行全面的防毒、杀毒。并及时下载ANTIARP SNIFFER等专杀工具，保护本地计算机的正常运行。

(3)及时更新操作系统、升级IE、打上各种漏洞补丁。

(4)不要随便共享文件或文件夹，必须共享时，也应先设置好权限，尽量不开放可写或可控制权限。不要随便打开或运行陌生、可疑的文件和程序，例如邮件中的陌生附件，外挂程序等。关闭一些不需要的服务，完全单机的用户可直接关闭SERVER服务。使用移动存储介质进行数据访问时，先对其进行病毒检查。操作系统应设置6位以上的密码。

(5)使用网络防火墙软件。网络防火墙在防病毒过程中的作用至关重要，它能有效阻止来自网络的攻击和病毒入侵。

8．2　木马病毒

木马(Trojan Horse，特洛伊木马)病毒的名称，来自于一个古希腊的特洛伊木马传说，现在专指为计算机入侵者打开方便之门的程序。

在现今的网络上，特洛伊木马和蠕虫病毒、垃圾邮件已经一起构成了影响网络正常秩序的三大公害。自20世纪80年代早期出现第一例木马至今，20多年时间里，木马技术飞速发展。毫无疑问，今后木马技术仍将不断前进，功能会越来越多样、伪装术和入侵手段将会越来越高明。基于木马入侵的攻与防必将是网络安全领域一场旷日持久的对抗。

8．2．1　病毒的原理

木马病毒属于客户/服务器模式，分为客户端和服务器端。服务器端程序骗取用户执行后，便植入计算机作为响应程序;客户端程序在黑客的计算机中执行，用于连接服务器端程序，以监视或控制远程计算机。典型的木马病毒是服务器端程序在服务器上打开一个特定端口进行监听，若有客户机向这台服务器的这一端口提出连接请求，服务器上的相应程序就会自动运行，来应答客户机的请求。服务器端程序与客户端建立连接后，由客户端发出指令，然后服务器执行这些指令后将数据传送至客户端。

8．2．2　入侵步骤

攻击者利用木马入侵他人电脑，一般按照如下步骤进行:

(1)配置木马。为实现木马伪装和信息反馈，在对木马进行传播之前，黑客会对木马进行具体配置。

(2)传播木马。木马传播的方式多种多样。例如，控制端可将巧妙伪装的木马程序以附件形式通过邮件发送出去，收信人只要打开附件，系统就会感染木马。或者也可通过软件下载，利用系统或软件的漏洞等进行木马传播，使木马入侵被控端。

(3)运行木马。服务端用户运行木马或捆绑木马程序后，木马就会自动安装。首先木马会将自身拷贝到Windows的系统文件夹中，然后在注册表、启动组等位置设置好木马触发条件。

(4)实现远程控制。控制端和服务端都在线时，控制端通过木马端口与服务端建立连接，然后就可通过木马程序对服务端进行远程控制。

8．2．3　基本特征

(1)隐蔽性强。普通的木马服务器端运行后都会生成一个独立进程，较高级的木马(例如灰鸽子)则可以注册为系统后台服务，从而在任务管理器中实现进程隐藏。新型的DLL木马则会采用线程插入技术，将代码嵌入正在运行的系统进程中，从而实现高级隐藏。这种木马既无法通过进程管理器来查找，也不能直接终止进程的运行，危害巨大。

(2)启动方式多样化。木马一般会借助修改启动分区的Autoexec．bat批处理文件、自动执行功能文件AutoRun．inf、注册表中的相关启动项、系统配置文件system．ini和win．ini，以及与某类型文件(例如*．TXT、*．EXE等)建立文件关联等手段来实现程序的自动运行，从而达到随系统启动或满足触发条件即自动运行的目的。

(3)伪装方式多样化。为实现长期隐蔽，木马除使用常见文件名或扩展名(例如dll、win)或者仿制一些不易被人区别的文件名(例如svcHost．exe)等伪装手段外，还可能直接借用系统文件中已有文件名(例如internet explorer．exe)。有的还将服务端程序图标修改成HTML、TXT等文件的图标，具有极大的欺骗性。同时木马还可以和其他可执行文件(如FLASH动画、不可信任站点的系统补丁程序等)进行捆绑。木马还具有自我销毁的伪装术，新型木马还能定制端口。

(4)通讯方式多样化。第一、二代木马采用的是传统的C/S模式。即远程主机开放监听端口等待外部连接，客户端主动发出请求，使用TCP建立连接，进行通讯。而第三代木马则采用“反弹端口”连接技术，建立连接不再由客户端主动进行，而是由服务端完成，这种方式可以穿透一定设置的防火墙。

为增强隐蔽性，许多木马程序选择使用UDP而放弃TCP通讯协议，通讯双方只在传送数据的短暂时间里会打开端口。而ICMP木马更是不用连接端口进行通讯，只需将木马服务器端伪装成一个ping．exe的进程，传送ICMP_ECHO封包，修改封包ICMP表头结构，加上木马控制信息传送至木马程序客户端，服务器端则通过接收到的ICMP_ECHOREPLY封包的大小和ICMP_SEQ特征来判断接收并从中获得指令和数据信息。

(5)功能强大。新型木马程序功能齐全。

8．2．4　病毒功能

(1)窃取密码:这是其最常见的功能，通过密码破解，黑客最终将完全控制远程计算机，还可通过记录键盘输入窃取银行账户密码等;

(2)文件操作:控制端可通过木马程序对服务端的文件进行删除、新建、修改、上传、下载等一系列操作;

(3)修改注册表:控制端可任意修改服务端注册表;

(4)系统操作:包括重启或关闭服务端操作系统、断开网络连接、控制服务端鼠标和键盘、监视服务端桌面操作等。

8．2．5　防护策略

要做好安全防护，首先必须了解安全的薄弱环节所在。安全漏洞主要来自以下三方面:

8．2．5．1　软件自身安全性差

(1)操作系统本身的设计问题所带来的漏洞，此类漏洞会被运行在该系统之上的应用程序所继承。

(2)应用软件程序的漏洞。

8．2．5．2　安全策略不当

许多用户仅仅使用个别的安全工具进行防护，而不是有针对性的、各有侧重的采用多种安全工具来保护系统安全;

8．2．5．3　计算机用户缺乏安全意识

许多用户在使用网络资源时，安全意识淡薄木马采用心理欺骗的入侵方法往往极易成功。

这三个方面所产生的安全漏洞都可能被黑客利用，成为木马入侵的突破口，因此必须进行全面的系统安全防护。

8．2．5．4　打造坚实的系统防护

(1)用户管理策略。

黑客可以通过猜测用户弱口令、破解用户密码等手段进行基于认证的入侵，然后植入木马作为后门，对此，必须做好如下用户管理工作:

①停用来宾账户，清除其他不必要的账户;

②设定坚固的安全密码，例如采用复杂的密码、设定密码最小长度并定期更换密码;

③正确设置账户锁定策略，阻止入侵者不断尝试破解登录密码的企图。

(2)文件共享策略。

谨慎设置文件共享，确有需要时才开放文件共享，进行正确的用户设置。养成良好的习惯，共享完毕后及时关闭。

关闭默认共享“IPC$(命名管道)”是系统特有的一项管理功能，主要用来远程管理计算机，IPC入侵是黑客入侵的惯用手段之一，也可能成为木马入侵的突破口。对此应进行如下设置:

①通过修改注册表删除默认共享。个人用户也可通过在控制面板的服务管理器中关闭Server服务来解决;

②通过修改注册表禁止空连接，以此杜绝入侵者的反复试探性连接。

(3)堵住漏洞。

操作系统和应用软件漏洞也是黑客入侵的突破口之一，对于可以登录访问Internet微软官方网站的用户，建议开启Windows的自动更新功能。对于无法进行自动更新的用户，建议采用手动更新，用专用安全工具进行漏洞检查，然后到相关的可信任安全站点下载补丁进行手动安装。对于安装的应用软件，也应随时关注官方网站公布的安全消息，及时升级。

(4)堵住黑客的入口。

端口是计算机与外部网络的连接枢纽，也是木马入侵的第一道屏障，所以端口配置正确与否将直接影响到计算机的安全。因此，应当关闭平时不常使用的协议和端口。例如，关闭135端口避免冲击波病毒攻击;若计算机不提供也不使用文件和打印共享服务时，可在TCP/IP设置项目中禁用NETBIOS服务，即关闭137、138、139端口;关闭445端口避免黑客刺探系统相关信息;关闭3389端口防止黑客通过远程终端服务默认端口进行入侵。对于其他木马或蠕虫病毒的默认端口或不安全端口，可以使用专用安全工具或对注册表进行操作等方法进行关闭。

(5)关闭不必要的服务。

Windows操作系统提供了很多系统服务以方便管理，但开启太多服务在给用户本身带来方便的同时，也给入侵者打开了方便之门，因此可以根据需要在服务管理器中进行设置，在允许的情况下禁止可能为黑客入侵提供方便的服务。设置原则是“最小的权限+最少的服务=最大的安全”。

8．2．5．5　使用安全工具软件保护系统安全

在做好操作系统本身的安全防护工作的基础之上，还应借助安全工具软件来保护系统的安全运行。安装防病毒软件和网络防火墙就是一种比较合适的选择。

(1)防病毒软件，例如金山毒霸、瑞星杀毒软件等都具备强大的防病毒功能，除具有全面的杀毒功能之外，还能对内存、网页、文件、引导区、邮件、注册表等项目和漏洞攻击进行实时监控。安装此类防病毒软件和相应的最新升级包，并做好正确设置后，对系统进行全面扫描便可清除其中存在的绝大多数病毒和木马。

(2)软件防火墙可对计算机和网络之间的信息流进行包过滤，与防病毒软件相互配合，共同保护系统安全。例如“天网”个人防火墙，除提供应用程序规则设置、系统设置、安全级别设置等功能外，该软件还能灵活地进行IP规则设置，防御ICMP攻击、IGMP攻击，对TCP和UDP数据包进行监视。安装完该防火墙软件并按需进行好各项安全设置后，它便会拦截非授权的访问，拒绝来自网络的扫描和恶意攻击。

8．2．5．6　用户安全意识策略

用户在日常使用网络资源的过程中，应强化安全意识，杜绝木马心理欺骗层面的入侵企图:

(1)不随便下载软件，不执行任何来历不明的软件。

(2)不随意在网站上散播个人电子邮箱地址，合理设置邮箱的邮件过滤功能，确保电子邮箱防病毒功能处于开启状态，不打开陌生人发来的邮件及附件。

(3)及时进行IE升级和补丁安装，还可禁用浏览器的“Active控件和插件”以及“Java脚本”功能，以防恶意站点上网页木马的“全自动入侵”。

(4)尽可能采用代理上网，隐藏自己的IP地址，以防不良企图者获取入侵计算机的有关信息。

8．2．5．7　纵深防御保护系统安全

做好以上三方面的系统安全防护工作后，当前系统的安全就基本已在掌控之中，但处于安全防御的一方始终属于被动，病毒会不断利用新技术来突破杀毒软件及防火墙，以实现数据的“合法”传输，现有的安全工具并不能百分之百保证系统的安全运行，现今构筑的安全防线随时都有可能被突破。因此，为进一步保障系统安全，还应采用其他工具进行联合保护。例如，采用安全软件实现的对系统和网络进行监控

(1)一些高级进程管理工具具备进程监视、进程查杀、启动监控等多种功能，可提供详细的进程信息，显示系统隐藏进程，对当前网络进程进行监视并提供协议、端口、远程IP、状态、进程路径等信息。

(2)一些监视软件可对系统、设备、文件、注册表、网络、用户等进行全面监控，提供详细的时间、动作、状态等信息，并能将信息保存为日志以备分析使用。

采用此类工具对系统进行实时监控能及时发现系统中的可疑行为和可能的木马入侵，这样就能及时发现异常情况并采取相应的措施将其消除于萌芽状态。运用此类系统监视工具与杀毒软件及防火墙相结合，能全方位实时保护系统安全。