ARP病毒並不是某一種病毒的名稱,而是對利用arp協議的漏洞進行傳播的一類病毒的總稱,目前在局域網中較為常見。發作的時候會向全網發送偽造的ARP數據包,嚴重干擾全網的正常運行,其危害甚至比一些蠕蟲病毒還要嚴重得多。
0x01 應急場景
某天早上,小伙伴給我發了一個微信,說192.168.64.76 CPU現在負載很高,在日志分析平台查看了一下這台服務器的相關日志,流量在某個時間點暴漲,發現大量137端口的UDP攻擊。
0x02 分析過程
登錄服務器,首先查看137端口對應的進程,進程ID為4對應的進程是SYSTEM,於是使用殺毒軟件進行全盤查殺。
卡巴斯基綠色版:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe
卡巴斯基、360殺毒、McAfee查殺無果,手工將啟動項、計划任務、服務項都翻了一遍,並未發現異常。
本地下載了IpTool抓包工具,篩選條件: 協議 UDP 端口 137
可以明顯的看出192.168.64.76發送的數據包是異常的,192.168.64.76的數據包目的地址,一直在變,目的MAC是不變的,而這個MAC地址就是網關的MAC。
端口137的udp包是netbios的廣播包,猜測:可能是ARP病毒,由本機對外的ARP攻擊。
采用措施:通過借助一些安全軟件來實現局域網ARP檢測及防御功能。
服務器安全狗Windows版下載:http://free.safedog.cn/server_safedog.html
網絡防火牆--攻擊防護--ARP防火牆:
雖然有攔截了部分ARP請求,但流量出口還是有一些137 UDF的數據包。
看來還是得下狠招,關閉137端口:禁用TCP/IP上的NetBIOS。
1)、禁用Server服務
2)、禁用 TCP/IP 上的 NetBIOS
設置完,不用重啟即可生效,137端口關閉,觀察了一會,對外發起的請求已消失,CPU和網絡帶寬恢復正常。
0x04 防護措施
局域網安全防護依然是一項很艱巨的任務,網絡的安全策略,個人/服務器的防毒機制,可以在一定程度上防止病毒入侵。
另外不管是個人PC還是服務器,總還是需要做一些基本的安全防護:1、關閉135/137/138/139/445等端口 2、更新系統補丁。
推薦閱讀:
參考文章:
高危漏洞免疫工具
http://www.360.cn/webzhuanti/mianyigongju.html
NSA武器庫免疫工具 http://dl.360safe.com/nsa/nsatool.exe
http://soft.360.cn/static/baoku/info_7_0/softinfo_1900006184.html