[thảo luận] virus ARP spoofing

English | Vietnamese

Nội Quy

Diễn đàn

Portal

Danh sách thành viên

Thống kê

Tìm kiếm

Phòng đọc

Đăng ký

Đăng nhập [ | https ]

Diễn đàn chính

Thảo luận virus, trojan, spyware, worm...

[thảo luận] virus ARP spoofing

[Hỏi đáp] [thảo luận] virus ARP spoofing	31/03/2008 00:27:31 (+0700) \| #1 \| 122225

secmask
Elite Member

Joined: 29/10/2004 13:52:24
Bài gởi: 461
Đến từ: graveyard
Offline

mấy hôm khu trọ của mình bị con virus gửi thông tin giả ARP, mình có xem cơ chế của nó nhưng còn có vài điểm chưa rõ, chắc tại do còn non kém về mạng quá, post lên đây mời mọi người cùng thảo luận nha.

hiện tượng:

-Firefox trên ubuntu không vào được web, báo load xong nhưng hiển thị lên trang trắng phau, ubuntu này cài trên VMWare (cái này không rõ tại sao nữa)
-Trên Windows XP, vào web bị chèn thêm một đoạn kiểu như "<script src="http://u.dfsfdsfdfs.com" />" , khi load lên là bị antivirus bắt ngay.
-Thử trên một số máy khác trong LAN đều bị hiện tượng bị chèn thêm script như trên.
-Kiểm tra "arp -a" , phát hiện có máy có MAC trùng với MAC của gateway.

Đến đây nghĩ ngay đến vụ một số người vào dantri.com thấy có banner tiếng trung quốc phía trên.

Giải pháp:

Giải pháp tạm thời là đặt ARP static.
Trên ubuntu mình disable ARP protocol của giao diện eth0 (sudo ifconfig eth0 -arp).
xóa đi các entry cũ (arp -a để liệt kê các entries có sắn, arp -d 192.168.X.X để delete lần lượt các entries tìm thấy)
sau đó thêm vào các arp entries bằng tay (sudo arp -s 192.168.1.117 XXXXXXXXXX)
hiện tại chỉ cần add vào một số entries cần thiết nhất như của ADSL modem chẳng hạn.
chỉ có điều là mình không biết cách lưu lại các lệnh trên như thế nào để lần sau khi máy khởi động lên thì không cần phải thiết đặt lại nữa. Sau khi đặt xong thì mọi firefox đã hoạt động trở lại.

Trên windows XP mình cũng thực hiện xóa các arp entries có sắn, đặt arp entry static (arp -s 192.168.1.1 XXXXXXXXX) , tuy nhiên không biết tại sao mở web page lên vẫn thấy có hiện tượng bị chèn thêm script, kiểm tra bảng arp thì vẫn đúng như thiết đặt smilie

.

Về hoạt động của con virus này, mình nghĩ như sau: đầu tiên nó lây vào máy A, nó broad cast trong mạng LAN đó rằng ip của gateway bây giờ có địa chỉ MAC là địa chỉ MAC của máy A, khi đó các máy khác trong LAN sẽ tin rằng A là gateway và gửi các gói tin ra ngoài cho A, lúc này đơn giản virus sẽ forward các gói tin này đến gateway thật. giả sử máy B có gửi đi một HTTP request packet, nó được gửi qua A, rồi forward qua gateway ra ngoài, response trở về lại được trả về cho gateway, gateway lúc này cần forward lại cho máy B, để A là máy có virus nhận được gói này, phải chăng virus phải "lừa" cả gateway nữa, ràng MAC của B = MAC của A. Nếu như vậy virus sẽ phải có rất nhiều entris arp trong gateway khác IP nhưng trỏ đến cùng 1 địa chỉ MAC, điều này có sao không nhỉ ?.
Thứ 2 là, với gói tin HTTP request mà B gửi cho gateway có IP đích không phải là A, nó chỉ có MAC của A do bảng ARP của B bị sai, mình không rõ lắm nhưng hình như có phần lập trình với raw socket có thể giúp bắt được hết các gói tin chuyển đến A thì phải ? đây chính là cách mà virus đã dùng để lấy được các gói tin và forward lại.

Mong mọi người cho ý kiến nhé.

Regards.

SakurairoMaukoro

[Hỏi đáp] Re: [thảo luận] virus ARP spoofing	31/03/2008 16:59:08 (+0700) \| #2 \| 122359

minhthuan_Asia
Member

Joined: 12/08/2004 18:36:32
Bài gởi: 1
Offline

Con này là : W32.Dashfer.Worm

[Hỏi đáp] Re: [thảo luận] virus ARP spoofing	31/03/2008 22:00:41 (+0700) \| #3 \| 122403

secmask
Elite Member

Joined: 29/10/2004 13:52:24
Bài gởi: 461
Đến từ: graveyard
Offline

hì, search mới thấy con này xuất hiện khá lâu rồi, giờ mạng nhà dính mới để ý smilie

SakurairoMaukoro

[Hỏi đáp] Re: [thảo luận] virus ARP spoofing	01/04/2008 15:25:43 (+0700) \| #4 \| 122598

chinh911
Member

Joined: 01/04/2008 16:36:17
Bài gởi: 3
Offline

hôm qua máy của bọn mình cũng gặp con virus này !mình cũng diệt được nó rùi , thật ra cũng ko có gì khó lắm !

đầu tiên vào run gõ cmd tiếp theo gõ arp -a nó sẽ hiện ra máy ip có cùng địa chỉ mac với gateway
tiếp theo download phần mềm Look@lan sau về
http://www.snapfiles.com/get/lanlook.html

đánh địa chỉ kia vào ,nó sẽ tìm ra tên máy chính xác bị nhiễm
bây giờ công việc trở lên dễ dàng , cài win lại là xong

[Hỏi đáp] Re: [thảo luận] virus ARP spoofing	01/04/2008 16:09:23 (+0700) \| #5 \| 122613

secmask
Elite Member

Joined: 29/10/2004 13:52:24
Bài gởi: 461
Đến từ: graveyard
Offline

chinh911 wrote:

hôm qua máy của bọn mình cũng gặp con virus này !mình cũng diệt được nó rùi , thật ra cũng ko có gì khó lắm !

đầu tiên vào run gõ cmd tiếp theo gõ arp -a nó sẽ hiện ra máy ip có cùng địa chỉ mac với gateway
tiếp theo download phần mềm Look@lan sau về
http://www.snapfiles.com/get/lanlook.html

đánh địa chỉ kia vào ,nó sẽ tìm ra tên máy chính xác bị nhiễm
bây giờ công việc trở lên dễ dàng , cài win lại là xong

^^, ok, hiện đến giờ đã rất nhiều antivirus cập nhật con này rồi nên không đáng ngại lắm. Tớ lòng vòng kiếm cách chặn vì tớ không có quyền động vào cái máy bị dính virus kia (chung net với cả dãy nhà (2-30 máy)). Thứ 2 là cũng nhân đây tìm hiểu cách hoạt động của nó, search trên web cũng tìm thêm được chút thông tin rồi smilie

SakurairoMaukoro

[Hỏi đáp] Re: [thảo luận] virus ARP spoofing	01/04/2008 16:34:54 (+0700) \| #6 \| 122620

kienmanowar
Moderator

Joined: 13/07/2004 05:57:34
Bài gởi: 431
Offline

ARP spoofing HTTP infection malware :
Code:

 http://www.websense.com/securitylabs/blog/blog.php?BlogID=166

Hi vọng có ích cho những gì mà bạn đang tìm hiểu!!

Regards

[B]Có những con người mới đôi ba tuổi đời.....
Cuộc sống mới bắt đầu đã cho rằng mình thấu hết ..
Làm được gì ? Và đã có gì ?
Chỉ học đòi thói chê bai.... Cần nhìn lại về chính thân mình ....
Hình hài chỉ là [color=Red] con số

[Hỏi đáp] Re: [thảo luận] virus ARP spoofing	01/04/2008 21:36:12 (+0700) \| #7 \| 122687

secmask
Elite Member

Joined: 29/10/2004 13:52:24
Bài gởi: 461
Đến từ: graveyard
Offline

thanks kienmanowar, bài này viết được đó smilie

SakurairoMaukoro

[Hỏi đáp] Re: [thảo luận] virus ARP spoofing	01/04/2008 22:32:31 (+0700) \| #8 \| 122706

hacklonton
Member

Joined: 30/10/2007 00:20:38
Bài gởi: 52
Offline

Tôi cũng gặp tình trạng giống bác secmask.
Vậy, nếu không có khả năng can thiệp vào máy nhiễm virus, thì không có cách nào chống lại nó à (chống cho máy mình thôi)? Tôi cũng arp -s rồi mà không ăn thua.
Tôi đã theo dõi khi máy (khả nghi) nhiễm virus (máy A) online trên mạng(scan ip) Lan, vào một số trang chỉ hiện lên một màu trắng xóa, giao diện của HVA còn bị nó thay đổi smilie

,bật yahoo thì bit cảnh báo có virus, arp -a biết ngay kết quả.Còn khi A không ol thì không có hiện tượng trên.
Xin hỏi thêm là ngoài khả năng phá hoại như đã nêu trên, con này có khả năng gửi các thông tin mà nó tóm được(như pw,acc..) do giả mạo MAC modem, đến 1 địa chỉ nào đó không?Cái này mới là nguy hiểm đây.

[Hỏi đáp] Re: [thảo luận] virus ARP spoofing	01/04/2008 22:56:00 (+0700) \| #9 \| 122713

strawhat
Member

Joined: 05/09/2007 09:53:21
Bài gởi: 7
Offline

hacklonton wrote:

Xin hỏi thêm là ngoài khả năng phá hoại như đã nêu trên, con này có khả năng gửi các thông tin mà nó tóm được(như pw,acc..) do giả mạo MAC modem, đến 1 địa chỉ nào đó không?Cái này mới là nguy hiểm đây.

Chăc là có rồi.Không lẽ nào nó sniff các gói tin mà chả để làm gì cả.Nếu thông tin được mã hóa thì tránh được,còn nếu để ở dạng clear text thì chắc chắn bị lộ rồi

Cần cù bù ngu si

[Hỏi đáp] Re: [thảo luận] virus ARP spoofing	01/04/2008 23:09:41 (+0700) \| #10 \| 122718

secmask
Elite Member

Joined: 29/10/2004 13:52:24
Bài gởi: 461
Đến từ: graveyard
Offline

khi lấy được thông tin rồi thì việc nó gửi (acc, pass ...) là việc hoàn toàn có thể, mình có thử set arp static trên windows xp cho trỏ đến MAC thật của ADSL modem nhưng không hiểu tại sao thấy vẫn bị chèn thêm script vào đầu trang ???, không giải thích nổi, mình cũng đang thử tìm cách disable tạm cái arp protocol trên windows mà chưa ra, không biết mr billgate có cho làm việc này không nữa.

SakurairoMaukoro

[Hỏi đáp] Re: [thảo luận] virus ARP spoofing	17/07/2008 09:26:39 (+0700) \| #11 \| 141981

quanta
Moderator

Joined: 28/07/2006 14:44:21
Bài gởi: 3742
Đến từ: $ locate `whoami`
Offline

secmask wrote:

...
mình cũng đang thử tìm cách disable tạm cái arp protocol trên windows mà chưa ra, không biết mr billgate có cho làm việc này không nữa.

Ý em có phải là disable chức năng Gratuitous ARP? Mời mọi người cùng thảo luận tiếp.

Đã mang lấy nghiệp vào thân
Thì đừng trách lẫn trời gần trời xa

[Hỏi đáp] Re: [thảo luận] virus ARP spoofing	17/07/2008 21:39:20 (+0700) \| #12 \| 142064

secmask
Elite Member

Joined: 29/10/2004 13:52:24
Bài gởi: 461
Đến từ: graveyard
Offline

hi anh quanta!
theo em hiểu thì có một dịch vụ quản lý ARP entries qua giao thức ARP. Ví dụ như gửi broadcast packet để lấy MAC của máy nào đó và nhận ARP reply để update vào ARP table. Virus lợi dụng điều này để đầu độc các máy khác trong mạng. Em thấy trên linux có lệnh ifconfig ethx -ARP để disable ARP protocol trên interface nào đó, ổn. Trên windows thì chưa thấy, cách làm như ở link kia em thử vào Winxp thấy ARP entries của em vẫn bị thay đổi khi vị dội ARP packet giả vào, còn WinNT và 2k thì em chưa có để thử nữa.

SakurairoMaukoro

[Hỏi đáp] Re: [thảo luận] virus ARP spoofing	18/07/2008 09:03:45 (+0700) \| #13 \| 142102

Vo_danh_tang
Member

Joined: 18/05/2007 18:34:21
Bài gởi: 162
Offline

Chào mọi người!
Tình hình là khi bị tấn công kiểu ARP thì em đã thử dùng arp -d xóa hết các địa chỉ trong đó rồi chỉ add một mình mac của router mà vẫn không được.
Cách của anh quanta thì chỉ dùng trên họ server thì phải chứ XP em không thấy có key đó.
Hướng thảo luận khác là hình như nếu có DNS server hoặc là bắt gói tin đi qua 1 server nào khác thì sẽ không bị thì phải. Các máy ảo trong 1 DNS riêng thì em lại thấy không bị

[Hỏi đáp] Re: [thảo luận] virus ARP spoofing	18/07/2008 09:53:26 (+0700) \| #14 \| 142108

quanta
Moderator

Joined: 28/07/2006 14:44:21
Bài gởi: 3742
Đến từ: $ locate `whoami`
Offline

Vo_danh_tang wrote:

Chào mọi người!
Tình hình là khi bị tấn công kiểu ARP thì em đã thử dùng arp -d xóa hết các địa chỉ trong đó rồi chỉ add một mình mac của router mà vẫn không được.

"không được" thế nào bạn ơi? Tốt nhất là ngắt máy đó ra khỏi mạng rồi thao tác và cuối cùng là quét virus.

Vo_danh_tang wrote:

Cách của anh quanta thì chỉ dùng trên họ server thì phải chứ XP em không thấy có key đó.

Không có thì bạn có thể tạo ra (kiểu REG_DWORD nhé).

Đã mang lấy nghiệp vào thân
Thì đừng trách lẫn trời gần trời xa

[Hỏi đáp] Re: [thảo luận] virus ARP spoofing	18/07/2008 10:54:56 (+0700) \| #15 \| 142126

dabu
Elite Member

Joined: 03/03/2003 03:31:20
Bài gởi: 206
Offline

- Lúc trước đã có thảo luận chủ đề này rồi :
http://hvaonline.net/hvaonline/posts/list/4619.hva#27387
- Chủ đề trên cũng thảo luận khá kĩ về kỹ thuật ARP Poison.
- Mình nghĩ cần mở rộng chủ đề ra trong nhiều mô hình mạng khác nhau. Ví dụ: Network đó dùng toàn đồ của Cisco, Mô hình thay đổi theo các kiểu khác nhau không chỉ là mạng workgroup đơn thuần, vv...
Vậy trong những mô hình trên thì còn có cách phòng chống nào khác không ? Mời thảo luận tiếp smilie

[Hỏi đáp] Re: [thảo luận] virus ARP spoofing	19/07/2008 14:51:40 (+0700) \| #16 \| 142356

PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Bài gởi: 583
Offline

secmask wrote:

hi anh quanta!
theo em hiểu thì có một dịch vụ quản lý ARP entries qua giao thức ARP. Ví dụ như gửi broadcast packet để lấy MAC của máy nào đó và nhận ARP reply để update vào ARP table. Virus lợi dụng điều này để đầu độc các máy khác trong mạng. Em thấy trên linux có lệnh ifconfig ethx -ARP để disable ARP protocol trên interface nào đó, ổn. Trên windows thì chưa thấy, cách làm như ở link kia em thử vào Winxp thấy ARP entries của em vẫn bị thay đổi khi vị dội ARP packet giả vào, còn WinNT và 2k thì em chưa có để thử nữa.

Trên Windows thì có lệnh arp -d inet- addr
Thí dụ: arp -d 192.168.1.17 00-AA-00-26-09-B5

Virus W32.Dashfer.Worm này, thưc ra đã xuất hiên vào tháng 4-5 năm 2007 tại Trung quốc và có tên chính thưc là
Delf.fs ( Google từ Dashfer thì chỉ thấy Web của Viẹt nam là nói tới , hì hì). Chính quyền các thành phố Bắc kinh,, Thưong hải... đã có thông báo chính thức về sự lây lan trầm trọng, tác hai và phương thức diệt nó. Điều đó chứng tỏ tác hai của virus cũng như tầm quản lý IT tiến bộ của Trung quốc.
Tại TQ ngay thời gian đó đã có các phần mềm Stand-alone diệt nó, đồng thời các trình diệt virus của TQ (made in China) đã câp nhật tức thời các virus data file, cũng như có các dịch vụ diệt virus online free.

Virus này là đặc biệt vì nó thuộc loại ARP poisoning malware, hoạt động trong mạng LAN, nên tôi đã ngâm cứu về nó khá kỹ.
Thưc ra ngay từ giữa năm 2006 (hai không không sáu), Trend-Micro (USA) đã phát hiên ra một số loại virus gây tác dụng ARP poisoning, như TROJ-DELF.BRK, PE_SNOWA..., Symantec cũng phát hiên ra một hai virus tương tự.

Vì vậy kỹ thuật lây nhiễm này và Virus -Trojan loại này, nói một cách thật chính xác, cũng không xuất xứ từ Trung quốc. Và càng không thể nói là các hacker TQ đã "phát minh " ra virus loại này.
Xin nêu ra các bằng chứng chứng minh ý kiến tôi viết trên đây:

BẰNG CHỨNG 1

BẰNG CHỨNG 2

BẰNG CHỨNG 3

Le coeur qui a raisons que la raison ne connait pas

[Hỏi đáp] Re: [thảo luận] virus ARP spoofing	19/07/2008 21:55:37 (+0700) \| #17 \| 142415

secmask
Elite Member

Joined: 29/10/2004 13:52:24
Bài gởi: 461
Đến từ: graveyard
Offline

PXMMRF wrote:

secmask wrote:

hi anh quanta!
theo em hiểu thì có một dịch vụ quản lý ARP entries qua giao thức ARP. Ví dụ như gửi broadcast packet để lấy MAC của máy nào đó và nhận ARP reply để update vào ARP table. Virus lợi dụng điều này để đầu độc các máy khác trong mạng. Em thấy trên linux có lệnh ifconfig ethx -ARP để disable ARP protocol trên interface nào đó, ổn. Trên windows thì chưa thấy, cách làm như ở link kia em thử vào Winxp thấy ARP entries của em vẫn bị thay đổi khi vị dội ARP packet giả vào, còn WinNT và 2k thì em chưa có để thử nữa.

Trên Windows thì có lệnh arp -d inet- addr
Thí dụ: arp -d 192.168.1.17 00-AA-00-26-09-B5

cái này chỉ là delete arp entries thôi anh, thường thì virus thực hiện poison theo định kì sau một khoảng thời gian nào đó nên sau đó sẽ bị đầu độc trở lại. Trên linux thì khác, ta có thể disable hoàn toàn giao thức arp trên interface nào đó và đặt arp static cho các máy tin cậy.
@quanta: tìm và diệt nó thì không khó lắm, nhưng em đang muốn đặt giả sử trong trường hợp bị tấn công, ta có thể làm gì để tránh bị "man in the middle".

SakurairoMaukoro

[Hỏi đáp] Re: [thảo luận] virus ARP spoofing	19/07/2008 23:09:11 (+0700) \| #18 \| 142422

PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Bài gởi: 583
Offline

secmask wrote:

PXMMRF wrote:

secmask wrote:

hi anh quanta!
theo em hiểu thì có một dịch vụ quản lý ARP entries qua giao thức ARP. Ví dụ như gửi broadcast packet để lấy MAC của máy nào đó và nhận ARP reply để update vào ARP table. Virus lợi dụng điều này để đầu độc các máy khác trong mạng. Em thấy trên linux có lệnh ifconfig ethx -ARP để disable ARP protocol trên interface nào đó, ổn. Trên windows thì chưa thấy, cách làm như ở link kia em thử vào Winxp thấy ARP entries của em vẫn bị thay đổi khi vị dội ARP packet giả vào, còn WinNT và 2k thì em chưa có để thử nữa.

Trên Windows thì có lệnh arp -d inet- addr
Thí dụ: arp -d 192.168.1.17 00-AA-00-26-09-B5

cái này chỉ là delete arp entries thôi anh, thường thì virus thực hiện poison theo định kì sau một khoảng thời gian nào đó nên sau đó sẽ bị đầu độc trở lại. Trên linux thì khác, ta có thể disable hoàn toàn giao thức arp trên interface nào đó và đặt arp static cho các máy tin cậy.
@quanta: tìm và diệt nó thì không khó lắm, nhưng em đang muốn đặt giả sử trong trường hợp bị tấn công, ta có thể làm gì để tránh bị "man in the middle".

Vấn đề vẫn phải diệt virus này, chứ còn dùng các biện pháp khác như delete ARP entries hay ARP table rồi tìm cách khôi phục lại cũng không thành công, vỉ virus sẽ lại tiếp tục giả mạo gateway của LAN (ở đây, thí dụ là 192.168.1.1, chính là IP của modem).

Khi môt máy thí dụ 192.168.1.2 trong LAN muốn liên hệ ra ngoài, thông qua ARP, nó phải broadcast để hỏi như sau: "Who is 192.160.1.1- Talk 192.168.1.2" . Và lúc đó modem-gateway-192.169.1.1 sẽ trả lời như sau " 192.168.1.1 is at 00:11:95:0F:97:6D", chẳng hạn. Đó là lúc bình thừong.

Còn khi nhiễm virus Delf.js thì máy của hacker sẽ đựoc giả là gateway và nó trả lời thay cho 192.168.1.1. Vì vậy thay vì gửi các gói tin đến gateway thật, 192.168.1.2 sẽ lại gửi các gói tin đến gateway giả-máy của hacker, theo MAC address của máy hacker, rồi sau đó nó (máy hacker) mới gửi các gói tin đến gateway thật, để đến muc tiêu, một website chẳng hạn (Scenario này khi sniffing sẽ thấy rõ ràng). Do vậy cách disable ARP rồi thay thế một static table là không đạt yêu cầu. (Tôi chưa hiểu ARP static mà bạn nói là gì?). Trước hết phải diệt virus đã.

Còn tôi chưa thử nghiệm trên RedHat, vì lý do đơn giản là virus Delf.js không chạy trên nền Linux. Nhưng dù thế nào theo tôi nghĩ cũng phải diệt virus trước đã. Khi diệt virus xong hệ thống Windows sẽ ổn định lai khá nhanh.
Virus này khá đặc biệt vì nó liên quan đến mạng. Nên các thảo luân của chúng ta vừa rồi là rất bổ ích.
Nếu đi sâu vào ngâm cứu virus này, thử nó trên máy, sẽ thấy có nhiều vấn đề rõ ra, nhưng cũng có vấn đề cỏn phải thảo luận, vỉ chưa thật rõ. Báo chí thì nói nhiều thông tin có vẻ không chính xác.

Le coeur qui a raisons que la raison ne connait pas

[Hỏi đáp] Re: [thảo luận] virus ARP spoofing	20/07/2008 00:03:45 (+0700) \| #19 \| 142430

Vo_danh_tang
Member

Joined: 18/05/2007 18:34:21
Bài gởi: 162
Offline

quanta wrote:

"không được" thế nào bạn ơi? Tốt nhất là ngắt máy đó ra khỏi mạng rồi thao tác và cuối cùng là quét virus.

Cách này không được là vì như secmask nói hoặc là trong một hệ thống mạng nhỏ cỡ 40 máy thì khi bị nhiễm rất là phiền. thứ nhất là theo mình thì những virus này đều bị avg diệt được. nhưng khi mình đánh lệnh arp -a lúc ra kết quả này lúc khác lại khác. nó còn ra 1 địa chỉ là 192.168.1.47 mà dhcp chỉ cấp đến 45, ping máy này không được.
thứ hai là mình muốn hỏi khi mình không tiếp cận trực tiếp được máy bị nhiễm thì phải làm sao? các máy trong hệ thống mạng vẫn báo bị virus nhưng thực sự thì vừa down xuống avg đã khóa rồi (không nhiễm). vậy nếu bị hiện banner thì máy mình không có virus vẫn bị hiện như thường. hay là cty mình thì đang bị chèn 1 lệnh javascript trên tất cả các trang đang duyệt. nối trực tiếp 1 máy mình với router thì lại không bị.
@PXMMRF: theo em thì con virus này chỉ là giả gateway. tức là trong hệ thống có 1 máy cài windows mà bị thì những máy trong mạng LAN đó có xài linux thì vẫn bị như thường chứ ạ. ARP static mà em và secmask nói đây tức là bọn em muốn xóa hết các địa chỉ mac rồi chỉ thêm địa chỉ mac của router thì trên windows cấu hình ra sao thôi. để cho máy chỉ giao tiếp với 1 mình router chứ không liên quan đến máy khác.

[Hỏi đáp] Re: [thảo luận] virus ARP spoofing	20/07/2008 00:58:40 (+0700) \| #20 \| 142436

PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Bài gởi: 583
Offline

Vo_danh_tang wrote:

@PXMMRF: theo em thì con virus này chỉ là giả gateway. tức là trong hệ thống có 1 máy cài windows mà bị thì những máy trong mạng LAN đó có xài linux thì vẫn bị như thường chứ ạ. ARP static mà em và secmask nói đây tức là bọn em muốn xóa hết các địa chỉ mac rồi chỉ thêm địa chỉ mac của router thì trên windows cấu hình ra sao thôi. để cho máy chỉ giao tiếp với 1 mình router chứ không liên quan đến máy khác.

theo em thì con virus này chỉ là giả gateway. tức là trong hệ thống có 1 máy cài windows mà bị thì những máy trong mạng LAN đó có xài linux thì vẫn bị như thường chứ ạ

Cái này thì đúng 100% rồi em ạ.
Nhưng cái anh đang nghĩ là em khó có thể dùng một lệnh trên một máy Linux để xóa các ARP entries trên các máy Windows cũng lắp trong chính mạng LAN này, nhưng lại có thể xóa được ARP table. Tại các máy Windows để xóa các ARP entry em chắc phải dùng lệnh arp -d và lần lượt đánh thêm đia chỉ private IP và MAC address tương ứng của từng máy. Dù sao anh sẽ thử nghiệm lại, vì chưa làm thế bao giở (từ máy Linux có thể xóa được các ARP entry ứng với các NIC cùa các máy Windows hay không?).

ARP static mà em và secmask nói đây tức là bọn em muốn xóa hết các địa chỉ mac rồi chỉ thêm địa chỉ mac của router thì trên windows cấu hình ra sao thôi. để cho máy chỉ giao tiếp với 1 mình router chứ không liên quan đến máy khác

Hì Hì. Anh thì bản chất cũng hơi chậm hiểu, trỉnh độ cũng hơi yếu, nên cái gì cũng muốn, cố gọi nó cho thật chuẩn. Thí dụ gọi là "mô hình mạng OSI 7 lớp", chứ không gọi là "giao thức OSI", hay "bộ giao thức TCP/IP", chứ không là "giao thức TCP/IP", thế mà có nhiều lúc vẫn gọi sai bét.
Nếu có ARP static thì có Dynamic ARP không?
Thôi rỡn chơi một chút. Thưc ra thảo luận với bọn em, anh cũng học hỏi đựoc nhiều.

Le coeur qui a raisons que la raison ne connait pas

Chuyển đến:

Các thành viên đang hiện diện ở đây
1 Khách