banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... [thảo luận] virus ARP spoofing  XML
  [Question]   [thảo luận] virus ARP spoofing 31/03/2008 13:27:31 (+0700) | #1 | 122225
[Avatar]
secmask
Elite Member

[Minus]    0    [Plus]
Joined: 29/10/2004 13:52:24
Messages: 553
Location: graveyard
Offline
[Profile] [PM] [WWW]
mấy hôm khu trọ của mình bị con virus gửi thông tin giả ARP, mình có xem cơ chế của nó nhưng còn có vài điểm chưa rõ, chắc tại do còn non kém về mạng quá, post lên đây mời mọi người cùng thảo luận nha.

hiện tượng:

-Firefox trên ubuntu không vào được web, báo load xong nhưng hiển thị lên trang trắng phau, ubuntu này cài trên VMWare (cái này không rõ tại sao nữa)
-Trên Windows XP, vào web bị chèn thêm một đoạn kiểu như "<script src="http://u.dfsfdsfdfs.com" />" , khi load lên là bị antivirus bắt ngay.
-Thử trên một số máy khác trong LAN đều bị hiện tượng bị chèn thêm script như trên.
-Kiểm tra "arp -a" , phát hiện có máy có MAC trùng với MAC của gateway.

Đến đây nghĩ ngay đến vụ một số người vào dantri.com thấy có banner tiếng trung quốc phía trên.

Giải pháp:

Giải pháp tạm thời là đặt ARP static.
Trên ubuntu mình disable ARP protocol của giao diện eth0 (sudo ifconfig eth0 -arp).
xóa đi các entry cũ (arp -a để liệt kê các entries có sắn, arp -d 192.168.X.X để delete lần lượt các entries tìm thấy)
sau đó thêm vào các arp entries bằng tay (sudo arp -s 192.168.1.117 XXXXXXXXXX)
hiện tại chỉ cần add vào một số entries cần thiết nhất như của ADSL modem chẳng hạn.
chỉ có điều là mình không biết cách lưu lại các lệnh trên như thế nào để lần sau khi máy khởi động lên thì không cần phải thiết đặt lại nữa. Sau khi đặt xong thì mọi firefox đã hoạt động trở lại.

Trên windows XP mình cũng thực hiện xóa các arp entries có sắn, đặt arp entry static (arp -s 192.168.1.1 XXXXXXXXX) , tuy nhiên không biết tại sao mở web page lên vẫn thấy có hiện tượng bị chèn thêm script, kiểm tra bảng arp thì vẫn đúng như thiết đặt smilie .

Về hoạt động của con virus này, mình nghĩ như sau: đầu tiên nó lây vào máy A, nó broad cast trong mạng LAN đó rằng ip của gateway bây giờ có địa chỉ MAC là địa chỉ MAC của máy A, khi đó các máy khác trong LAN sẽ tin rằng A là gateway và gửi các gói tin ra ngoài cho A, lúc này đơn giản virus sẽ forward các gói tin này đến gateway thật. giả sử máy B có gửi đi một HTTP request packet, nó được gửi qua A, rồi forward qua gateway ra ngoài, response trở về lại được trả về cho gateway, gateway lúc này cần forward lại cho máy B, để A là máy có virus nhận được gói này, phải chăng virus phải "lừa" cả gateway nữa, ràng MAC của B = MAC của A. Nếu như vậy virus sẽ phải có rất nhiều entris arp trong gateway khác IP nhưng trỏ đến cùng 1 địa chỉ MAC, điều này có sao không nhỉ ?.
Thứ 2 là, với gói tin HTTP request mà B gửi cho gateway có IP đích không phải là A, nó chỉ có MAC của A do bảng ARP của B bị sai, mình không rõ lắm nhưng hình như có phần lập trình với raw socket có thể giúp bắt được hết các gói tin chuyển đến A thì phải ? đây chính là cách mà virus đã dùng để lấy được các gói tin và forward lại.

Mong mọi người cho ý kiến nhé.

Regards.
[Up] [Print Copy]
  [Question]   Re: [thảo luận] virus ARP spoofing 01/04/2008 05:59:08 (+0700) | #2 | 122359
minhthuan_Asia
Member

[Minus]    0    [Plus]
Joined: 12/08/2004 18:36:32
Messages: 1
Offline
[Profile] [PM]
Con này là : W32.Dashfer.Worm
[Up] [Print Copy]
  [Question]   Re: [thảo luận] virus ARP spoofing 01/04/2008 11:00:41 (+0700) | #3 | 122403
[Avatar]
secmask
Elite Member

[Minus]    0    [Plus]
Joined: 29/10/2004 13:52:24
Messages: 553
Location: graveyard
Offline
[Profile] [PM] [WWW]
hì, search mới thấy con này xuất hiện khá lâu rồi, giờ mạng nhà dính mới để ý smilie.
[Up] [Print Copy]
  [Question]   Re: [thảo luận] virus ARP spoofing 02/04/2008 04:25:43 (+0700) | #4 | 122598
chinh911
Member

[Minus]    0    [Plus]
Joined: 01/04/2008 16:36:17
Messages: 3
Offline
[Profile] [PM]
hôm qua máy của bọn mình cũng gặp con virus này !mình cũng diệt được nó rùi , thật ra cũng ko có gì khó lắm !

đầu tiên vào run gõ cmd tiếp theo gõ arp -a nó sẽ hiện ra máy ip có cùng địa chỉ mac với gateway
tiếp theo download phần mềm Look@lan sau về
http://www.snapfiles.com/get/lanlook.html

đánh địa chỉ kia vào ,nó sẽ tìm ra tên máy chính xác bị nhiễm
bây giờ công việc trở lên dễ dàng , cài win lại là xong
[Up] [Print Copy]
  [Question]   Re: [thảo luận] virus ARP spoofing 02/04/2008 05:09:23 (+0700) | #5 | 122613
[Avatar]
secmask
Elite Member

[Minus]    0    [Plus]
Joined: 29/10/2004 13:52:24
Messages: 553
Location: graveyard
Offline
[Profile] [PM] [WWW]

chinh911 wrote:
hôm qua máy của bọn mình cũng gặp con virus này !mình cũng diệt được nó rùi , thật ra cũng ko có gì khó lắm !

đầu tiên vào run gõ cmd tiếp theo gõ arp -a nó sẽ hiện ra máy ip có cùng địa chỉ mac với gateway
tiếp theo download phần mềm Look@lan sau về
http://www.snapfiles.com/get/lanlook.html

đánh địa chỉ kia vào ,nó sẽ tìm ra tên máy chính xác bị nhiễm
bây giờ công việc trở lên dễ dàng , cài win lại là xong
 


^^, ok, hiện đến giờ đã rất nhiều antivirus cập nhật con này rồi nên không đáng ngại lắm. Tớ lòng vòng kiếm cách chặn vì tớ không có quyền động vào cái máy bị dính virus kia (chung net với cả dãy nhà (2-30 máy)). Thứ 2 là cũng nhân đây tìm hiểu cách hoạt động của nó, search trên web cũng tìm thêm được chút thông tin rồi smilie
[Up] [Print Copy]
  [Question]   Re: [thảo luận] virus ARP spoofing 02/04/2008 05:34:54 (+0700) | #6 | 122620
[Avatar]
kienmanowar
HVA Friend

Joined: 13/07/2004 05:57:34
Messages: 483
Offline
[Profile] [PM] [WWW]
ARP spoofing HTTP infection malware :
Code:
http://www.websense.com/securitylabs/blog/blog.php?BlogID=166


Hi vọng có ích cho những gì mà bạn đang tìm hiểu!!

Regards
[Up] [Print Copy]
  [Question]   Re: [thảo luận] virus ARP spoofing 02/04/2008 10:36:12 (+0700) | #7 | 122687
[Avatar]
secmask
Elite Member

[Minus]    0    [Plus]
Joined: 29/10/2004 13:52:24
Messages: 553
Location: graveyard
Offline
[Profile] [PM] [WWW]
thanks kienmanowar, bài này viết được đó smilie.
[Up] [Print Copy]
  [Question]   Re: [thảo luận] virus ARP spoofing 02/04/2008 11:32:31 (+0700) | #8 | 122706
hacklonton
Member

[Minus]    0    [Plus]
Joined: 30/10/2007 00:20:38
Messages: 53
Offline
[Profile] [PM]
Tôi cũng gặp tình trạng giống bác secmask.
Vậy, nếu không có khả năng can thiệp vào máy nhiễm virus, thì không có cách nào chống lại nó à (chống cho máy mình thôi)? Tôi cũng arp -s rồi mà không ăn thua.
Tôi đã theo dõi khi máy (khả nghi) nhiễm virus (máy A) online trên mạng(scan ip) Lan, vào một số trang chỉ hiện lên một màu trắng xóa, giao diện của HVA còn bị nó thay đổi smilie,bật yahoo thì bit cảnh báo có virus, arp -a biết ngay kết quả.Còn khi A không ol thì không có hiện tượng trên.
Xin hỏi thêm là ngoài khả năng phá hoại như đã nêu trên, con này có khả năng gửi các thông tin mà nó tóm được(như pw,acc..) do giả mạo MAC modem, đến 1 địa chỉ nào đó không?Cái này mới là nguy hiểm đây.
[Up] [Print Copy]
  [Question]   Re: [thảo luận] virus ARP spoofing 02/04/2008 11:56:00 (+0700) | #9 | 122713
[Avatar]
strawhat
Member

[Minus]    0    [Plus]
Joined: 05/09/2007 09:53:21
Messages: 7
Offline
[Profile] [PM]

hacklonton wrote:

Xin hỏi thêm là ngoài khả năng phá hoại như đã nêu trên, con này có khả năng gửi các thông tin mà nó tóm được(như pw,acc..) do giả mạo MAC modem, đến 1 địa chỉ nào đó không?Cái này mới là nguy hiểm đây. 


Chăc là có rồi.Không lẽ nào nó sniff các gói tin mà chả để làm gì cả.Nếu thông tin được mã hóa thì tránh được,còn nếu để ở dạng clear text thì chắc chắn bị lộ rồi
[Up] [Print Copy]
  [Question]   Re: [thảo luận] virus ARP spoofing 02/04/2008 12:09:41 (+0700) | #10 | 122718
[Avatar]
secmask
Elite Member

[Minus]    0    [Plus]
Joined: 29/10/2004 13:52:24
Messages: 553
Location: graveyard
Offline
[Profile] [PM] [WWW]
khi lấy được thông tin rồi thì việc nó gửi (acc, pass ...) là việc hoàn toàn có thể, mình có thử set arp static trên windows xp cho trỏ đến MAC thật của ADSL modem nhưng không hiểu tại sao thấy vẫn bị chèn thêm script vào đầu trang ???, không giải thích nổi, mình cũng đang thử tìm cách disable tạm cái arp protocol trên windows mà chưa ra, không biết mr billgate có cho làm việc này không nữa.
[Up] [Print Copy]
  [Question]   Re: [thảo luận] virus ARP spoofing 17/07/2008 22:26:39 (+0700) | #11 | 141981
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]

secmask wrote:

...
mình cũng đang thử tìm cách disable tạm cái arp protocol trên windows mà chưa ra, không biết mr billgate có cho làm việc này không nữa. 

Ý em có phải là http://support.microsoft.com/kb/219374? Mời mọi người cùng thảo luận tiếp.
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Re: [thảo luận] virus ARP spoofing 18/07/2008 10:39:20 (+0700) | #12 | 142064
[Avatar]
secmask
Elite Member

[Minus]    0    [Plus]
Joined: 29/10/2004 13:52:24
Messages: 553
Location: graveyard
Offline
[Profile] [PM] [WWW]
hi anh quanta!
theo em hiểu thì có một dịch vụ quản lý ARP entries qua giao thức ARP. Ví dụ như gửi broadcast packet để lấy MAC của máy nào đó và nhận ARP reply để update vào ARP table. Virus lợi dụng điều này để đầu độc các máy khác trong mạng. Em thấy trên linux có lệnh ifconfig ethx -ARP để disable ARP protocol trên interface nào đó, ổn. Trên windows thì chưa thấy, cách làm như ở link kia em thử vào Winxp thấy ARP entries của em vẫn bị thay đổi khi vị dội ARP packet giả vào, còn WinNT và 2k thì em chưa có để thử nữa.
[Up] [Print Copy]
  [Question]   Re: [thảo luận] virus ARP spoofing 18/07/2008 22:03:45 (+0700) | #13 | 142102
Vo_danh_tang
Member

[Minus]    0    [Plus]
Joined: 18/05/2007 18:34:21
Messages: 159
Offline
[Profile] [PM]
Chào mọi người!
Tình hình là khi bị tấn công kiểu ARP thì em đã thử dùng arp -d xóa hết các địa chỉ trong đó rồi chỉ add một mình mac của router mà vẫn không được.
Cách của anh quanta thì chỉ dùng trên họ server thì phải chứ XP em không thấy có key đó.
Hướng thảo luận khác là hình như nếu có DNS server hoặc là bắt gói tin đi qua 1 server nào khác thì sẽ không bị thì phải. Các máy ảo trong 1 DNS riêng thì em lại thấy không bị
[Up] [Print Copy]
  [Question]   Re: [thảo luận] virus ARP spoofing 18/07/2008 22:53:26 (+0700) | #14 | 142108
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]

Vo_danh_tang wrote:
Chào mọi người!
Tình hình là khi bị tấn công kiểu ARP thì em đã thử dùng arp -d xóa hết các địa chỉ trong đó rồi chỉ add một mình mac của router mà vẫn không được.
 

"không được" thế nào bạn ơi? Tốt nhất là ngắt máy đó ra khỏi mạng rồi thao tác và cuối cùng là quét virus.

Vo_danh_tang wrote:

Cách của anh quanta thì chỉ dùng trên họ server thì phải chứ XP em không thấy có key đó.
 

Không có thì bạn có thể tạo ra (kiểu REG_DWORD nhé).
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Re: [thảo luận] virus ARP spoofing 18/07/2008 23:54:56 (+0700) | #15 | 142126
[Avatar]
dabu
Elite Member

[Minus]    0    [Plus]
Joined: 03/03/2003 03:31:20
Messages: 226
Offline
[Profile] [PM]
- Lúc trước đã có thảo luận chủ đề này rồi :
http://hvaonline.net/hvaonline/posts/list/4619.html#27387
- Chủ đề trên cũng thảo luận khá kĩ về kỹ thuật ARP Poison.
- Mình nghĩ cần mở rộng chủ đề ra trong nhiều mô hình mạng khác nhau. Ví dụ: Network đó dùng toàn đồ của Cisco, Mô hình thay đổi theo các kiểu khác nhau không chỉ là mạng workgroup đơn thuần, vv...
Vậy trong những mô hình trên thì còn có cách phòng chống nào khác không ? Mời thảo luận tiếp smilie
It's time to build a new network.
[Up] [Print Copy]
  [Question]   Re: [thảo luận] virus ARP spoofing 20/07/2008 03:51:40 (+0700) | #16 | 142356
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

secmask wrote:
hi anh quanta!
theo em hiểu thì có một dịch vụ quản lý ARP entries qua giao thức ARP. Ví dụ như gửi broadcast packet để lấy MAC của máy nào đó và nhận ARP reply để update vào ARP table. Virus lợi dụng điều này để đầu độc các máy khác trong mạng. Em thấy trên linux có lệnh ifconfig ethx -ARP để disable ARP protocol trên interface nào đó, ổn. Trên windows thì chưa thấy, cách làm như ở link kia em thử vào Winxp thấy ARP entries của em vẫn bị thay đổi khi vị dội ARP packet giả vào, còn WinNT và 2k thì em chưa có để thử nữa. 



Trên Windows thì có lệnh arp -d inet- addr
Thí dụ: arp -d 192.168.1.17 00-AA-00-26-09-B5

Virus W32.Dashfer.Worm này, thưc ra đã xuất hiên vào tháng 4-5 năm 2007 tại Trung quốc và có tên chính thưc là
Delf.fs ( Google từ Dashfer thì chỉ thấy Web của Viẹt nam là nói tới , hì hì). Chính quyền các thành phố Bắc kinh,, Thưong hải... đã có thông báo chính thức về sự lây lan trầm trọng, tác hai và phương thức diệt nó. Điều đó chứng tỏ tác hai của virus cũng như tầm quản lý IT tiến bộ của Trung quốc.
Tại TQ ngay thời gian đó đã có các phần mềm Stand-alone diệt nó, đồng thời các trình diệt virus của TQ (made in China) đã câp nhật tức thời các virus data file, cũng như có các dịch vụ diệt virus online free.


Virus này là đặc biệt vì nó thuộc loại ARP poisoning malware, hoạt động trong mạng LAN, nên tôi đã ngâm cứu về nó khá kỹ.
Thưc ra ngay từ giữa năm 2006 (hai không không sáu), Trend-Micro (USA) đã phát hiên ra một số loại virus gây tác dụng ARP poisoning, như TROJ-DELF.BRK, PE_SNOWA..., Symantec cũng phát hiên ra một hai virus tương tự.

Vì vậy kỹ thuật lây nhiễm này và Virus -Trojan loại này, nói một cách thật chính xác, cũng không xuất xứ từ Trung quốc. Và càng không thể nói là các hacker TQ đã "phát minh " ra virus loại này.
Xin nêu ra các bằng chứng chứng minh ý kiến tôi viết trên đây:

BẰNG CHỨNG 1



BẰNG CHỨNG 2



BẰNG CHỨNG 3

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Question]   Re: [thảo luận] virus ARP spoofing 20/07/2008 10:55:37 (+0700) | #17 | 142415
[Avatar]
secmask
Elite Member

[Minus]    0    [Plus]
Joined: 29/10/2004 13:52:24
Messages: 553
Location: graveyard
Offline
[Profile] [PM] [WWW]

PXMMRF wrote:

secmask wrote:
hi anh quanta!
theo em hiểu thì có một dịch vụ quản lý ARP entries qua giao thức ARP. Ví dụ như gửi broadcast packet để lấy MAC của máy nào đó và nhận ARP reply để update vào ARP table. Virus lợi dụng điều này để đầu độc các máy khác trong mạng. Em thấy trên linux có lệnh ifconfig ethx -ARP để disable ARP protocol trên interface nào đó, ổn. Trên windows thì chưa thấy, cách làm như ở link kia em thử vào Winxp thấy ARP entries của em vẫn bị thay đổi khi vị dội ARP packet giả vào, còn WinNT và 2k thì em chưa có để thử nữa. 



Trên Windows thì có lệnh arp -d inet- addr
Thí dụ: arp -d 192.168.1.17 00-AA-00-26-09-B5

 


cái này chỉ là delete arp entries thôi anh, thường thì virus thực hiện poison theo định kì sau một khoảng thời gian nào đó nên sau đó sẽ bị đầu độc trở lại. Trên linux thì khác, ta có thể disable hoàn toàn giao thức arp trên interface nào đó và đặt arp static cho các máy tin cậy.
@quanta: tìm và diệt nó thì không khó lắm, nhưng em đang muốn đặt giả sử trong trường hợp bị tấn công, ta có thể làm gì để tránh bị "man in the middle".
[Up] [Print Copy]
  [Question]   Re: [thảo luận] virus ARP spoofing 20/07/2008 12:09:11 (+0700) | #18 | 142422
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

secmask wrote:

PXMMRF wrote:

secmask wrote:
hi anh quanta!
theo em hiểu thì có một dịch vụ quản lý ARP entries qua giao thức ARP. Ví dụ như gửi broadcast packet để lấy MAC của máy nào đó và nhận ARP reply để update vào ARP table. Virus lợi dụng điều này để đầu độc các máy khác trong mạng. Em thấy trên linux có lệnh ifconfig ethx -ARP để disable ARP protocol trên interface nào đó, ổn. Trên windows thì chưa thấy, cách làm như ở link kia em thử vào Winxp thấy ARP entries của em vẫn bị thay đổi khi vị dội ARP packet giả vào, còn WinNT và 2k thì em chưa có để thử nữa. 



Trên Windows thì có lệnh arp -d inet- addr
Thí dụ: arp -d 192.168.1.17 00-AA-00-26-09-B5

 


cái này chỉ là delete arp entries thôi anh, thường thì virus thực hiện poison theo định kì sau một khoảng thời gian nào đó nên sau đó sẽ bị đầu độc trở lại. Trên linux thì khác, ta có thể disable hoàn toàn giao thức arp trên interface nào đó và đặt arp static cho các máy tin cậy.
@quanta: tìm và diệt nó thì không khó lắm, nhưng em đang muốn đặt giả sử trong trường hợp bị tấn công, ta có thể làm gì để tránh bị "man in the middle". 


Vấn đề vẫn phải diệt virus này, chứ còn dùng các biện pháp khác như delete ARP entries hay ARP table rồi tìm cách khôi phục lại cũng không thành công, vỉ virus sẽ lại tiếp tục giả mạo gateway của LAN (ở đây, thí dụ là 192.168.1.1, chính là IP của modem).

Khi môt máy thí dụ 192.168.1.2 trong LAN muốn liên hệ ra ngoài, thông qua ARP, nó phải broadcast để hỏi như sau: "Who is 192.160.1.1- Talk 192.168.1.2" . Và lúc đó modem-gateway-192.169.1.1 sẽ trả lời như sau " 192.168.1.1 is at 00:11:95:0F:97:6D", chẳng hạn. Đó là lúc bình thừong.

Còn khi nhiễm virus Delf.js thì máy của hacker sẽ đựoc giả là gateway và nó trả lời thay cho 192.168.1.1. Vì vậy thay vì gửi các gói tin đến gateway thật, 192.168.1.2 sẽ lại gửi các gói tin đến gateway giả-máy của hacker, theo MAC address của máy hacker, rồi sau đó nó (máy hacker) mới gửi các gói tin đến gateway thật, để đến muc tiêu, một website chẳng hạn (Scenario này khi sniffing sẽ thấy rõ ràng). Do vậy cách disable ARP rồi thay thế một static table là không đạt yêu cầu. (Tôi chưa hiểu ARP static mà bạn nói là gì?). Trước hết phải diệt virus đã.

Còn tôi chưa thử nghiệm trên RedHat, vì lý do đơn giản là virus Delf.js không chạy trên nền Linux. Nhưng dù thế nào theo tôi nghĩ cũng phải diệt virus trước đã. Khi diệt virus xong hệ thống Windows sẽ ổn định lai khá nhanh.
Virus này khá đặc biệt vì nó liên quan đến mạng. Nên các thảo luân của chúng ta vừa rồi là rất bổ ích.
Nếu đi sâu vào ngâm cứu virus này, thử nó trên máy, sẽ thấy có nhiều vấn đề rõ ra, nhưng cũng có vấn đề cỏn phải thảo luận, vỉ chưa thật rõ. Báo chí thì nói nhiều thông tin có vẻ không chính xác.
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Question]   Re: [thảo luận] virus ARP spoofing 20/07/2008 13:03:45 (+0700) | #19 | 142430
Vo_danh_tang
Member

[Minus]    0    [Plus]
Joined: 18/05/2007 18:34:21
Messages: 159
Offline
[Profile] [PM]

quanta wrote:

"không được" thế nào bạn ơi? Tốt nhất là ngắt máy đó ra khỏi mạng rồi thao tác và cuối cùng là quét virus.
 

Cách này không được là vì như secmask nói hoặc là trong một hệ thống mạng nhỏ cỡ 40 máy thì khi bị nhiễm rất là phiền. thứ nhất là theo mình thì những virus này đều bị avg diệt được. nhưng khi mình đánh lệnh arp -a lúc ra kết quả này lúc khác lại khác. nó còn ra 1 địa chỉ là 192.168.1.47 mà dhcp chỉ cấp đến 45, ping máy này không được.
thứ hai là mình muốn hỏi khi mình không tiếp cận trực tiếp được máy bị nhiễm thì phải làm sao? các máy trong hệ thống mạng vẫn báo bị virus nhưng thực sự thì vừa down xuống avg đã khóa rồi (không nhiễm). vậy nếu bị hiện banner thì máy mình không có virus vẫn bị hiện như thường. hay là cty mình thì đang bị chèn 1 lệnh javascript trên tất cả các trang đang duyệt. nối trực tiếp 1 máy mình với router thì lại không bị.
@PXMMRF: theo em thì con virus này chỉ là giả gateway. tức là trong hệ thống có 1 máy cài windows mà bị thì những máy trong mạng LAN đó có xài linux thì vẫn bị như thường chứ ạ. ARP static mà em và secmask nói đây tức là bọn em muốn xóa hết các địa chỉ mac rồi chỉ thêm địa chỉ mac của router thì trên windows cấu hình ra sao thôi. để cho máy chỉ giao tiếp với 1 mình router chứ không liên quan đến máy khác.
[Up] [Print Copy]
  [Question]   Re: [thảo luận] virus ARP spoofing 20/07/2008 13:58:40 (+0700) | #20 | 142436
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

Vo_danh_tang wrote:

@PXMMRF: theo em thì con virus này chỉ là giả gateway. tức là trong hệ thống có 1 máy cài windows mà bị thì những máy trong mạng LAN đó có xài linux thì vẫn bị như thường chứ ạ. ARP static mà em và secmask nói đây tức là bọn em muốn xóa hết các địa chỉ mac rồi chỉ thêm địa chỉ mac của router thì trên windows cấu hình ra sao thôi. để cho máy chỉ giao tiếp với 1 mình router chứ không liên quan đến máy khác. 


theo em thì con virus này chỉ là giả gateway. tức là trong hệ thống có 1 máy cài windows mà bị thì những máy trong mạng LAN đó có xài linux thì vẫn bị như thường chứ ạ 

Cái này thì đúng 100% rồi em ạ.
Nhưng cái anh đang nghĩ là em khó có thể dùng một lệnh trên một máy Linux để xóa các ARP entries trên các máy Windows cũng lắp trong chính mạng LAN này, nhưng lại có thể xóa được ARP table. Tại các máy Windows để xóa các ARP entry em chắc phải dùng lệnh arp -d và lần lượt đánh thêm đia chỉ private IP và MAC address tương ứng của từng máy. Dù sao anh sẽ thử nghiệm lại, vì chưa làm thế bao giở (từ máy Linux có thể xóa được các ARP entry ứng với các NIC cùa các máy Windows hay không?).

ARP static mà em và secmask nói đây tức là bọn em muốn xóa hết các địa chỉ mac rồi chỉ thêm địa chỉ mac của router thì trên windows cấu hình ra sao thôi. để cho máy chỉ giao tiếp với 1 mình router chứ không liên quan đến máy khác 


Hì Hì. Anh thì bản chất cũng hơi chậm hiểu, trỉnh độ cũng hơi yếu, nên cái gì cũng muốn, cố gọi nó cho thật chuẩn. Thí dụ gọi là "mô hình mạng OSI 7 lớp", chứ không gọi là "giao thức OSI", hay "bộ giao thức TCP/IP", chứ không là "giao thức TCP/IP", thế mà có nhiều lúc vẫn gọi sai bét.
Nếu có ARP static thì có Dynamic ARP không?
Thôi rỡn chơi một chút. Thưc ra thảo luận với bọn em, anh cũng học hỏi đựoc nhiều.
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Question]   Re: [thảo luận] virus ARP spoofing 20/07/2008 14:14:35 (+0700) | #21 | 142437
Vo_danh_tang
Member

[Minus]    0    [Plus]
Joined: 18/05/2007 18:34:21
Messages: 159
Offline
[Profile] [PM]

PXMMRF wrote:
Tại các máy Windows để xóa các ARP entry em chắc phải dùng lệnh arp -d và lần lượt đánh thêm đia chỉ private IP và MAC address tương ứng của từng máy.
 

Em đã làm thế này nhưng khi truy cập 1 trang web khác thì nó lại bị lại smilie . Win tự động cập nhật các ARP entry vào thì phải smilie nên em muốn là ARP table không tự động thêm (hic, không phải là static ARP nữa)
Trong cùng mạng LAN mà vừa có ARP poison của malware vừa có ARP poison của Cain thì theo anh gói tin sẽ đi như thế nào ạ?
[Up] [Print Copy]
  [Question]   Re: [thảo luận] virus ARP spoofing 20/07/2008 14:17:58 (+0700) | #22 | 142439
[Avatar]
secmask
Elite Member

[Minus]    0    [Plus]
Joined: 29/10/2004 13:52:24
Messages: 553
Location: graveyard
Offline
[Profile] [PM] [WWW]
hì, lý do em gọi nó là static là ở đây




[Up] [Print Copy]
  [Question]   Re: [thảo luận] virus ARP spoofing 20/07/2008 14:22:11 (+0700) | #23 | 142440
[Avatar]
secmask
Elite Member

[Minus]    0    [Plus]
Joined: 29/10/2004 13:52:24
Messages: 553
Location: graveyard
Offline
[Profile] [PM] [WWW]

Vo_danh_tang wrote:

PXMMRF wrote:
Tại các máy Windows để xóa các ARP entry em chắc phải dùng lệnh arp -d và lần lượt đánh thêm đia chỉ private IP và MAC address tương ứng của từng máy.
 

Em đã làm thế này nhưng khi truy cập 1 trang web khác thì nó lại bị lại smilie . Win tự động cập nhật các ARP entry vào thì phải smilie nên em muốn là ARP table không tự động thêm (hic, không phải là static ARP nữa)
Trong cùng mạng LAN mà vừa có ARP poison của malware vừa có ARP poison của Cain thì theo anh gói tin sẽ đi như thế nào ạ? 


mình nhớ có đọc ở đâu đó nói rằng các entries set là static có thể bị reset trong trường hợp network connection bị out. Do vậy set static arp cũng không hẳn là đã chắc ăn đâu nha smilie
[Up] [Print Copy]
  [Question]   Re: [thảo luận] virus ARP spoofing 20/07/2008 20:34:12 (+0700) | #24 | 142449
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

secmask wrote:
hì, lý do em gọi nó là static là ở đây




 


Ờ tôi thấy ra rồi. Nhưng "Static" ở đây là "Type" của đia chỉ Private IP mà DHCP của chính modem đã gán cho IP này. Nó là một Private IP tĩnh (static), hay còn gọi là IP đựoc "giữ chỗ". Cơ bản không có mối liên quan gì đến ARP cả.
Em xem thêm bài anh viết về Private static IP đựoc gán bởi DHCP tại đây:
/hvaonline/posts/list/20/1893.html
Ngoài ra:

- ARP là một giao thức (Address Resolution Protocol- Giao thức phân giải, xử lý địa chỉ IP [cho các NIC, thí dụ thế} trong LAN), nên không nên viết là ARP static hay Static ARP, không chính xác, dễ hiểu lầm.

- MAC address, viết theo HEX, gồm 6 nhóm 2 chử hay số, như ta thấy. Ba nhóm đầu là xác định mã hiệu của một nhà sản xuất ra NIC (card mạng), theo một qui ứoc đã thống nhất quốc tế. Mỗi nhà sx có một mã hiêu riêng. Còn 3 nhóm sau dùng để đánh số phân loại kiểu dáng và số thứ tự NIC trong lô sản xuất. Vì vậy không thễ có môt MAC address là aa:aa:aa:aa:aa:aa như em Windows prompt ở post trên. Hì hì.

secmask wrote:
mình nhớ có đọc ở đâu đó nói rằng các entries set là static có thể bị reset trong trường hợp network connection bị out. Do vậy set static arp cũng không hẳn là đã chắc ăn đâu nha  
.

Ừ, đôi lúc ta config. DHCP của modem để cho một Private IP của một máy trong LAN về dạng "static". Nhưng khi khởi động lại một số máy trong mạng LAN, trong đó có máy nói trên, thì "type" của IP nói trên không còn là Static nữa, mà thành Dynamic

Cuối cùng là khi virus nhiễm vào máy, nhiều trừong hợp nó chỉ thay địa chỉ Private IP của gateway (chính xác là thêm vào một đia chỉ Private IP mới, thí dụ 192.168.1.233) trong khi nó vẫn giữ cho cái máy có đia chỉ IP là 192.168.1.233 nói trên (đây là đia chỉ IP giả của gateway, nhưng lại là Private IP thực của máy hacker) đia chỉ MAC của gateway thưc. Thành ra một MAC addresss mà có 2 Private IP.

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Question]   Re: [thảo luận] virus ARP spoofing 20/07/2008 21:59:12 (+0700) | #25 | 142461
[Avatar]
secmask
Elite Member

[Minus]    0    [Plus]
Joined: 29/10/2004 13:52:24
Messages: 553
Location: graveyard
Offline
[Profile] [PM] [WWW]

PXMMRF wrote:

secmask wrote:
hì, lý do em gọi nó là static là ở đây




 


Ờ tôi thấy ra rồi. Nhưng "Static" ở đây là "Type" của đia chỉ Private IP mà DHCP của chính modem đã gán cho IP này. Nó là một Private IP tĩnh (static), hay còn gọi là IP đựoc "giữ chỗ". Cơ bản không có mối liên quan gì đến ARP cả.
Em xem thêm bài anh viết về Private static IP đựoc gán bởi DHCP tại đây:
/hvaonline/posts/list/20/1893.html
Ngoài ra:

- ARP là một giao thức (Address Resolution Protocol- Giao thức phân giải, xử lý địa chỉ IP [cho các NIC, thí dụ thế} trong LAN), nên không nên viết là ARP static hay Static ARP, không chính xác, dễ hiểu lầm.

 


chỗ này em thấy vẫn chưa được chính xác, static và dynamic ở đây đâu dính dáng đến DHCP nhỉ ? DHCP làm nhiệm vụ gán ip cho các máy trong mạng, vì vậy nếu một máy nào đó trong mạng nhận ip do DHCP cung cấp thì vì lý do nào đó, nó bị mất connection và phải liên lạc với DHCP để nhận một ip mới, ip mới này có thể khác với ip lần trước nó được nhận nên gọi là "dynamic".

còn static, dynamic ở trường hợp ARP kia thì khác mà anh, type là static khi 1 entry map từ IP ---> MAC được set manual bằng command line, ví dụ như em dùng lệnh "arp -s 192.168.1.117 aa-aa-aa-aa-aa-aa" thì entry này được gọi là static. Còn trường hợp các entry khác có được là do dịch vụ ở tâng dưới nào đó đã xử lý ARP (nhận arp request packet hoặc arp response packet) và tự động thêm vào bảng ARP thì type của entry đó là dynamic. Các entries static thì có độ ưu tiên cao hơn và được coi là "bền", nó sẽ không được cập nhật mới cho dù ai đó cố gắng thay đổi nó bằng các gửi đến các gói ARP packet tới máy này (ví dụ có bị dội các ARP pạcket dạng như "máy 192.168.1.117 có MAC = bb-bb-bb-bb-bb-bb" thì cái entry 192.168.1.117 aa-aa-aa-aa-aa-aa vẫn không bị thay đổi).
[Up] [Print Copy]
  [Question]   Re: [thảo luận] virus ARP spoofing 20/07/2008 22:11:02 (+0700) | #26 | 142463
[Avatar]
secmask
Elite Member

[Minus]    0    [Plus]
Joined: 29/10/2004 13:52:24
Messages: 553
Location: graveyard
Offline
[Profile] [PM] [WWW]
à, em mới xem lại, trên fedora (và có lẽ trên các distro khác nữa) thì các entry set manual được được nháy thêm cái "PERM"




chắc là tương đương với cái "static" bên windows
hì, cái entry 192.168.1.117 aa-aa........... kia không hợp lệ, nhưng em vẫn có thể tạo ra được nó nhờ set nó manual.
[Up] [Print Copy]
  [Question]   Re: [thảo luận] virus ARP spoofing 20/07/2008 22:54:26 (+0700) | #27 | 142472
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

Vo_danh_tang wrote:

PXMMRF wrote:
Tại các máy Windows để xóa các ARP entry em chắc phải dùng lệnh arp -d và lần lượt đánh thêm đia chỉ private IP và MAC address tương ứng của từng máy.
 

Em đã làm thế này nhưng khi truy cập 1 trang web khác thì nó lại bị lại smilie . Win tự động cập nhật các ARP entry vào thì phải smilie nên em muốn là ARP table không tự động thêm (hic, không phải là static ARP nữa)
Trong cùng mạng LAN mà vừa có ARP poison của malware vừa có ARP poison của Cain thì theo anh gói tin sẽ đi như thế nào ạ? 

Thì anh nói cách để xóa ARP entry của từng card mạng trên nền Windows, chứ có nói cách khắc phục sự cố do virus gây ra (poisoning ARP) đâu. Muốn khắc phục sư cố thì trước hết phải diệt sạch virus Delf.js đi đã. Sau đó cẩn thân thì delete tất cả các ARP entries vả ARP table. Khởi động lại máy, thì ARP (sạch) sẽ tự động các cập nhật entries tạo ra từ DHCP của chính modem và tự động thiết lập lại một ARP table mới.

Ta cần lưu ý rằng hàng triệu ngưởi Trung quốc bình thường, đã từng bị nhiễm Delf.js. Họ chỉ cần sử dụng phần mềm diệt virus (của TQ) diệt virus xong là máy họ chạy tốt. Chứ họ làm sao mà biết cách delete các ARP entries trên hệ thống. Đến hỏi IP, MAC address, ARP là gì thì họ cũng còn chịu nữa là.

Trong cùng mạng LAN mà vừa có ARP poison của malware vừa có ARP poison của Cain thì theo anh gói tin sẽ đi như thế nào ạ? 
.

Cái này em phải cho biết malware cụ thể là gì, gửi mẫu cho anh để thử trên hệ thống mới dám trả lời. Không dám lạm bàn ngay. Nhưng các kỹ thuật Poisoning ARP thì có những điểm cơ bản giống nhau và có một vài điểm tương tự DNS cache poisoning. Nguyên tắc làm việc của DNS và ARP cũng có vài điểm tương tư. Một cái (ARP) thì phân giải (resolution) private IP thành MAC address, cái kia (DNS) thì phân giài tên miền thành đia chỉ IP.
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Question]   Re: [thảo luận] virus ARP spoofing 20/07/2008 23:14:43 (+0700) | #28 | 142475
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]
Bạn nào lại post lại trên forum cả cái bài dài dằng dặc của ông Tây nào đó (tôi quên tên rồi). Thôi gửi link là đủ rồi.
Ngoài ra có những bài viết về ARP poisoning hay không kém và còn sâu hơn bài này (về phân tích mạng).

==========================================================

From quanta:
@ hackingvietnam: Tôi xoá bài của bạn. Lý do ở /hvaonline/posts/list/20575.html#122620. Lần sau thì đừng post kiểu này nữa nhé.
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Question]   Re: [thảo luận] virus ARP spoofing 20/07/2008 23:36:27 (+0700) | #29 | 142479
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]

secmask wrote:
à, em mới xem lại, trên fedora (và có lẽ trên các distro khác nữa) thì các entry set manual được được nháy thêm cái "PERM"




chắc là tương đương với cái "static" bên windows
 

Đúng rồi em. PERM là viết tắt của từ Permanent.

PS:
- Trên Linux, sao không copy đoạn lệnh em gõ, đưa vào giữa tag [ code ] [ /code ] cho nhanh, lại mất công chụp màn hình rồi up lên photobucket làm gì em?
- Command Prompt ở Windows thì dùng chế độ Mark, copy-paste như thường.
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Re: [thảo luận] virus ARP spoofing 21/07/2008 01:14:44 (+0700) | #30 | 142494
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

secmask wrote:

PXMMRF wrote:

secmask wrote:
hì, lý do em gọi nó là static là ở đây




 


Ờ tôi thấy ra rồi. Nhưng "Static" ở đây là "Type" của đia chỉ Private IP mà DHCP của chính modem đã gán cho IP này. Nó là một Private IP tĩnh (static), hay còn gọi là IP đựoc "giữ chỗ". Cơ bản không có mối liên quan gì đến ARP cả.
Em xem thêm bài anh viết về Private static IP đựoc gán bởi DHCP tại đây:
/hvaonline/posts/list/20/1893.html
Ngoài ra:

- ARP là một giao thức (Address Resolution Protocol- Giao thức phân giải, xử lý địa chỉ IP [cho các NIC, thí dụ thế} trong LAN), nên không nên viết là ARP static hay Static ARP, không chính xác, dễ hiểu lầm.

 


chỗ này em thấy vẫn chưa được chính xác, static và dynamic ở đây đâu dính dáng đến DHCP nhỉ ? DHCP làm nhiệm vụ gán ip cho các máy trong mạng, vì vậy nếu một máy nào đó trong mạng nhận ip do DHCP cung cấp thì vì lý do nào đó, nó bị mất connection và phải liên lạc với DHCP để nhận một ip mới, ip mới này có thể khác với ip lần trước nó được nhận nên gọi là "dynamic".

còn static, dynamic ở trường hợp ARP kia thì khác mà anh, type là static khi 1 entry map từ IP ---> MAC được set manual bằng command line, ví dụ như em dùng lệnh "arp -s 192.168.1.117 aa-aa-aa-aa-aa-aa" thì entry này được gọi là static. Còn trường hợp các entry khác có được là do dịch vụ ở tâng dưới nào đó đã xử lý ARP (nhận arp request packet hoặc arp response packet) và tự động thêm vào bảng ARP thì type của entry đó là dynamic. Các entries static thì có độ ưu tiên cao hơn và được coi là "bền", nó sẽ không được cập nhật mới cho dù ai đó cố gắng thay đổi nó bằng các gửi đến các gói ARP packet tới máy này (ví dụ có bị dội các ARP pạcket dạng như "máy 192.168.1.117 có MAC = bb-bb-bb-bb-bb-bb" thì cái entry 192.168.1.117 aa-aa-aa-aa-aa-aa vẫn không bị thay đổ
i). 


Em cũng có những suy luận thông minh và tốt. Đây thưc sự là một vấn đề phức tạp. Càng thấy phức tạp khi không gắng đi sâu vào.

Trước khi trả lời ý kiến của em, anh xin hỏi em vài câu: (các bạn khác cũng xin trả lời nếu quan tâm)

Em dùng ADSL modem nào?
(Nhìn các hình trong post của em, anh nghĩ em đang dùng D-Link modem?)

Nhưng ADSL modem loại nào cũng vậy, đều có ít nhất một trong các tiện ích sau:

- Static IP assignment ( tức là tiện ích cố định từng Private IP cho từng đia chỉ vật lý MAC address, theo một danh sách trong một bảng). Nghĩa là một máy-NIC trong mạng LAN sẽ luôn luôn bị áp đặt một Private IP cố định, không bao giờ thay đổi. Nó là static hay permanent đối với một MAC address đã chỉ định.

- Config. DHCP (của modem) bằng tay (manual). Nghĩa là ta có quyền áp đặt đia chỉ IP cố định (static, permanent) cho một máy -NIC trong mạng LAN. Có thể áp đặt như vậy cho nhiều máy.

- Tiên ích 'Lưa chọn một LAN CLIENT - tức là ta có quyền chọn một hay nhiều máy tính trong LAN rồi đưa chúng vào diện đựoc áp đặt để các IP tương ứng của chúng sẽ có "Type" là Static hay Dynamic. Sau đó một máy (với đia chỉ IP và computername tương ưng) có "Type" là Static sẽ đựoc Port forwarding, để ta có thể dùng máy này làm homewebserver, (vì máy làm homewebserver bắt buộc phải có IP static, xin nhắc lại "bắt buôc").

Các người thiết lập homewebserver thành công, chạy ổn định thừong không bao giờ vào ARP để config gì cả, tôi cũng vậy. (Tôi chỉ vào và tỉm hiểu nó khi nghiên cứu về MAC address và về Virus APR poisoning...)

-Câu hỏi đặt ra là những dữ liệu đã đựoc setting chi tiết và cẩn thận như trên sẽ đựoc chuyển tới đâu? Và chúng đóng vai trò gì trong cái cơ cấu hay giao thức tiếp nhận nó?

- Đề áp đặt một MAC address (hay một máy) bắt buộc phải có một đia chỉ IP cố định (static, permanent) thì viêc set trên DHCP của modem hay set trên ARP, thì cái nào là yếu tố quyết định? là tối cao?

- Nếu có một cái có quyền hạn cao hơn thì khi có conflict có phải là mọi setting trên cái yếu hơn sẽ bị disable tự động hay không? (Thí dụ sẽ bị disable sau khi ta khởi động lai máy tính).

Xin trả lời. Thanks
Các bạn có thể vào website sau để tìm hiểu thêm về setting Modem để cho máy làm homewebserver luôn có một Private IP tĩnh:

http://pxm.dyndns.org
http://pxm.no-ip.org




The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
2 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|