hôm qua máy của bọn mình cũng gặp con virus này !mình cũng diệt được nó rùi , thật ra cũng ko có gì khó lắm !

đầu tiên vào run gõ cmd tiếp theo gõ arp -a nó sẽ hiện ra máy ip có cùng địa chỉ mac với gateway
tiếp theo download phần mềm Look@lan sau về
http://www.snapfiles.com/get/lanlook.html

đánh địa chỉ kia vào ,nó sẽ tìm ra tên máy chính xác bị nhiễm
bây giờ công việc trở lên dễ dàng , cài win lại là xong
 

Xin hỏi thêm là ngoài khả năng phá hoại như đã nêu trên, con này có khả năng gửi các thông tin mà nó tóm được(như pw,acc..) do giả mạo MAC modem, đến 1 địa chỉ nào đó không?Cái này mới là nguy hiểm đây. 

...
mình cũng đang thử tìm cách disable tạm cái arp protocol trên windows mà chưa ra, không biết mr billgate có cho làm việc này không nữa. 

Chào mọi người!
Tình hình là khi bị tấn công kiểu ARP thì em đã thử dùng arp -d xóa hết các địa chỉ trong đó rồi chỉ add một mình mac của router mà vẫn không được.
 

Cách của anh quanta thì chỉ dùng trên họ server thì phải chứ XP em không thấy có key đó.
 

hi anh quanta!
theo em hiểu thì có một dịch vụ quản lý ARP entries qua giao thức ARP. Ví dụ như gửi broadcast packet để lấy MAC của máy nào đó và nhận ARP reply để update vào ARP table. Virus lợi dụng điều này để đầu độc các máy khác trong mạng. Em thấy trên linux có lệnh ifconfig ethx -ARP để disable ARP protocol trên interface nào đó, ổn. Trên windows thì chưa thấy, cách làm như ở link kia em thử vào Winxp thấy ARP entries của em vẫn bị thay đổi khi vị dội ARP packet giả vào, còn WinNT và 2k thì em chưa có để thử nữa. 

secmask wrote:

hi anh quanta!
theo em hiểu thì có một dịch vụ quản lý ARP entries qua giao thức ARP. Ví dụ như gửi broadcast packet để lấy MAC của máy nào đó và nhận ARP reply để update vào ARP table. Virus lợi dụng điều này để đầu độc các máy khác trong mạng. Em thấy trên linux có lệnh ifconfig ethx -ARP để disable ARP protocol trên interface nào đó, ổn. Trên windows thì chưa thấy, cách làm như ở link kia em thử vào Winxp thấy ARP entries của em vẫn bị thay đổi khi vị dội ARP packet giả vào, còn WinNT và 2k thì em chưa có để thử nữa. 

Trên Windows thì có lệnh arp -d inet- addr
Thí dụ: arp -d 192.168.1.17 00-AA-00-26-09-B5

 

PXMMRF wrote:

secmask wrote:

hi anh quanta!
theo em hiểu thì có một dịch vụ quản lý ARP entries qua giao thức ARP. Ví dụ như gửi broadcast packet để lấy MAC của máy nào đó và nhận ARP reply để update vào ARP table. Virus lợi dụng điều này để đầu độc các máy khác trong mạng. Em thấy trên linux có lệnh ifconfig ethx -ARP để disable ARP protocol trên interface nào đó, ổn. Trên windows thì chưa thấy, cách làm như ở link kia em thử vào Winxp thấy ARP entries của em vẫn bị thay đổi khi vị dội ARP packet giả vào, còn WinNT và 2k thì em chưa có để thử nữa. 

Trên Windows thì có lệnh arp -d inet- addr
Thí dụ: arp -d 192.168.1.17 00-AA-00-26-09-B5

 

cái này chỉ là delete arp entries thôi anh, thường thì virus thực hiện poison theo định kì sau một khoảng thời gian nào đó nên sau đó sẽ bị đầu độc trở lại. Trên linux thì khác, ta có thể disable hoàn toàn giao thức arp trên interface nào đó và đặt arp static cho các máy tin cậy.
@quanta: tìm và diệt nó thì không khó lắm, nhưng em đang muốn đặt giả sử trong trường hợp bị tấn công, ta có thể làm gì để tránh bị "man in the middle". 

"không được" thế nào bạn ơi? Tốt nhất là ngắt máy đó ra khỏi mạng rồi thao tác và cuối cùng là quét virus.
 

@PXMMRF: theo em thì con virus này chỉ là giả gateway. tức là trong hệ thống có 1 máy cài windows mà bị thì những máy trong mạng LAN đó có xài linux thì vẫn bị như thường chứ ạ. ARP static mà em và secmask nói đây tức là bọn em muốn xóa hết các địa chỉ mac rồi chỉ thêm địa chỉ mac của router thì trên windows cấu hình ra sao thôi. để cho máy chỉ giao tiếp với 1 mình router chứ không liên quan đến máy khác. 

theo em thì con virus này chỉ là giả gateway. tức là trong hệ thống có 1 máy cài windows mà bị thì những máy trong mạng LAN đó có xài linux thì vẫn bị như thường chứ ạ 

ARP static mà em và secmask nói đây tức là bọn em muốn xóa hết các địa chỉ mac rồi chỉ thêm địa chỉ mac của router thì trên windows cấu hình ra sao thôi. để cho máy chỉ giao tiếp với 1 mình router chứ không liên quan đến máy khác 

Tại các máy Windows để xóa các ARP entry em chắc phải dùng lệnh arp -d và lần lượt đánh thêm đia chỉ private IP và MAC address tương ứng của từng máy.
 

PXMMRF wrote:

Tại các máy Windows để xóa các ARP entry em chắc phải dùng lệnh arp -d và lần lượt đánh thêm đia chỉ private IP và MAC address tương ứng của từng máy.
 

Em đã làm thế này nhưng khi truy cập 1 trang web khác thì nó lại bị lại . Win tự động cập nhật các ARP entry vào thì phải nên em muốn là ARP table không tự động thêm (hic, không phải là static ARP nữa)
Trong cùng mạng LAN mà vừa có ARP poison của malware vừa có ARP poison của Cain thì theo anh gói tin sẽ đi như thế nào ạ? 

hì, lý do em gọi nó là static là ở đây

 

mình nhớ có đọc ở đâu đó nói rằng các entries set là static có thể bị reset trong trường hợp network connection bị out. Do vậy set static arp cũng không hẳn là đã chắc ăn đâu nha  

secmask wrote:

hì, lý do em gọi nó là static là ở đây

 

Ờ tôi thấy ra rồi. Nhưng "Static" ở đây là "Type" của đia chỉ Private IP mà DHCP của chính modem đã gán cho IP này. Nó là một Private IP tĩnh (static), hay còn gọi là IP đựoc "giữ chỗ". Cơ bản không có mối liên quan gì đến ARP cả.
Em xem thêm bài anh viết về Private static IP đựoc gán bởi DHCP tại đây:
/hvaonline/posts/list/20/1893.html
Ngoài ra:

- ARP là một giao thức (Address Resolution Protocol- Giao thức phân giải, xử lý địa chỉ IP [cho các NIC, thí dụ thế} trong LAN), nên không nên viết là ARP static hay Static ARP, không chính xác, dễ hiểu lầm.

 

PXMMRF wrote:

Tại các máy Windows để xóa các ARP entry em chắc phải dùng lệnh arp -d và lần lượt đánh thêm đia chỉ private IP và MAC address tương ứng của từng máy.
 

Em đã làm thế này nhưng khi truy cập 1 trang web khác thì nó lại bị lại . Win tự động cập nhật các ARP entry vào thì phải nên em muốn là ARP table không tự động thêm (hic, không phải là static ARP nữa)
Trong cùng mạng LAN mà vừa có ARP poison của malware vừa có ARP poison của Cain thì theo anh gói tin sẽ đi như thế nào ạ? 

Trong cùng mạng LAN mà vừa có ARP poison của malware vừa có ARP poison của Cain thì theo anh gói tin sẽ đi như thế nào ạ? 

à, em mới xem lại, trên fedora (và có lẽ trên các distro khác nữa) thì các entry set manual được được nháy thêm cái "PERM"

chắc là tương đương với cái "static" bên windows
 

PXMMRF wrote:

secmask wrote:

hì, lý do em gọi nó là static là ở đây

 

Ờ tôi thấy ra rồi. Nhưng "Static" ở đây là "Type" của đia chỉ Private IP mà DHCP của chính modem đã gán cho IP này. Nó là một Private IP tĩnh (static), hay còn gọi là IP đựoc "giữ chỗ". Cơ bản không có mối liên quan gì đến ARP cả.
Em xem thêm bài anh viết về Private static IP đựoc gán bởi DHCP tại đây:
/hvaonline/posts/list/20/1893.html
Ngoài ra:

- ARP là một giao thức (Address Resolution Protocol- Giao thức phân giải, xử lý địa chỉ IP [cho các NIC, thí dụ thế} trong LAN), nên không nên viết là ARP static hay Static ARP, không chính xác, dễ hiểu lầm.

 

chỗ này em thấy vẫn chưa được chính xác, static và dynamic ở đây đâu dính dáng đến DHCP nhỉ ? DHCP làm nhiệm vụ gán ip cho các máy trong mạng, vì vậy nếu một máy nào đó trong mạng nhận ip do DHCP cung cấp thì vì lý do nào đó, nó bị mất connection và phải liên lạc với DHCP để nhận một ip mới, ip mới này có thể khác với ip lần trước nó được nhận nên gọi là "dynamic".

còn static, dynamic ở trường hợp ARP kia thì khác mà anh, type là static khi 1 entry map từ IP ---> MAC được set manual bằng command line, ví dụ như em dùng lệnh "arp -s 192.168.1.117 aa-aa-aa-aa-aa-aa" thì entry này được gọi là static. Còn trường hợp các entry khác có được là do dịch vụ ở tâng dưới nào đó đã xử lý ARP (nhận arp request packet hoặc arp response packet) và tự động thêm vào bảng ARP thì type của entry đó là dynamic. Các entries static thì có độ ưu tiên cao hơn và được coi là "bền", nó sẽ không được cập nhật mới cho dù ai đó cố gắng thay đổi nó bằng các gửi đến các gói ARP packet tới máy này (ví dụ có bị dội các ARP pạcket dạng như "máy 192.168.1.117 có MAC = bb-bb-bb-bb-bb-bb" thì cái entry 192.168.1.117 aa-aa-aa-aa-aa-aa vẫn không bị thay đổi).