工大在线

标题: 关于未央校区图书馆无线网络频繁遭受攻击报告（连载） [打印本页]

作者: ylws 时间: 2008-4-3 21:27
标题: 关于未央校区图书馆无线网络频繁遭受攻击报告（连载）
2008年4月3日，19：00
明天就是第一个清明节假日了，同学都走得差不多了，晚上本人终于有时间来到图书馆南二楼（计算机图书最多的那个），履行本人前期在帖子里的承诺——找出并干掉攻击同学计算机的那个本本。

19：02
刚开机就发现被攻击！
19：05
成功拦截攻击者对本人的所有攻击！
19：30
持续对南二楼AP所有客户机监控中，监控图片如下：

作者: ylws 时间: 2008-4-3 21:41
从以上网络情况得知，在该无线AP所接管的局域网内，ARP是主要协议，最高已经达到全网数据包的73.92%，这还是放假前的晚上，图书馆当时人并不多，就已经发现如此多的攻击数据包，网络情况十分恶劣。丢包率最高达到50%（成功阻挡ARP攻击后的效果，否则还高）。

该机器
00-1B-77-97-BD-AE
222.25.15.145

机器名：诚城

直到图书馆闭馆前还在持续发送大量ARP网关欺骗数据包。

所以我对其进行了数据包拦截分析（具体细节恕不便透漏）
发现其曾经发送的数据包中包含“MSHOME”字段，据此断定其所属工作组为MSHOME

然后对其进行距离判定，依照数据包返回时间，大体确定其攻击源位于离无线AP不远处，因没有进行多点定位，所以尚未确定其具体位置。

然后本人有对其发送的数据包全部进行了保存以备日后分析其万络攻击习惯和其个人信息，具体内容正在分析中，恕不偷漏。

因图书馆放假前夜只开到21：00，故本人无法对其进行更详细分析与反攻击。等图书馆开馆后本人将继续对其进行跟踪，分析，与反攻击。

目标：1，保证我在时攻击源对全网攻击的失效，惠及广大同学。
2，干掉攻击源机器。

2008，4，3 夜

作者: 020701109 时间: 2008-4-3 21:47
我晕，说半天好是没整出来啊
找出来直接一板砖把丫的灭了

作者: lotus 时间: 2008-4-3 23:06
建议去图书馆上网的人大家都装流氓软件互相攻击

多么有趣儿的一件事啊~！！

作者: 俺刚睡醒 时间: 2008-4-4 12:04
楼主人好好啊~~~~~
没在图书馆上过~~
不是我不想去，实在是我家的台式机子弄过去太麻烦了~~~[s:32]

作者: june 时间: 2008-4-4 12:53
LZ真是好人！！那个人一定要揪出来，要严惩！！！~

作者: 020701109 时间: 2008-4-4 14:47
[s:33] [s:33] 拉出去杀了算了

作者: solomonlee 时间: 2008-4-4 15:45
找出来

我弄死他

虽然他还没攻击我！

作者: 疯人院里一青年 时间: 2008-4-4 18:12
标题: 顶LZ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
这个人的攻击持续了好久了不开ARP防火墙基本就是IP冲突到死基本无法上网我曾经想趁图书馆开馆就进去到南2然后坐门口肉眼监控拿本近来的人同时监控ARP攻击来排查无奈学校琐事太多一直没有得以实现不知道是这个人有意攻击还是本本中毒

LZ不是一个人在战斗！我们也在跟踪这个事件

在网卡配置里改MAC地址就可以暂时连上网络了网不动了就再改改成什么随便输就可以了哪位同学对此无能为力就用这个方式先上着吧就是要频繁的改

再次感谢LZ所作的一切

作者: 那种调调 时间: 2008-4-4 20:29
好高深~~~
[s:34] [s:34]

作者: dixnuits 时间: 2008-4-4 20:34
受不了

这点技术...

arp -a 就基本可以确定攻击人MAC

arp -s 绑定网关MAC地址即可防止攻击.

被攻击的机器只要arp -d 删除绑定的arp即可.

这么简单的问题

受不了.

作者: ylws 时间: 2008-4-4 21:01
标题: 回复 11楼的帖子
哈哈哈，是这样的，不过不知道你手敲一个arp -d快，还是攻击者向你发一个重定向数据包快呢？

下次你可以亲自去试试，真的，能为同学排忧解难也不是一件坏事。

作者: a___aster 时间: 2008-4-4 21:35
。。。确实挺高深的。。。
问题是我那天好像也被攻击了。。。就是突然系统故障。。显示的连接上网络。。可是用不了。。。

作者: kingwinter 时间: 2008-4-4 22:17
大家一起努力哈~~[s:19]

作者: 正版熊猫 时间: 2008-4-4 23:55
在学校都一直没去图书馆上网～净在宿舍单机游戏了～～～高手赶紧帮助大家排除故障吧～～～～下周过去要进数据库查论文的～这么个网络可没法下载～～～～

作者: veve 时间: 2008-4-5 09:08
00-1B-77-97-BD-AE
222.25.15.145

机器名：诚城

我貌似知道是谁的电脑了 .....

作者: 正版熊猫 时间: 2008-4-5 10:07
难道是你的？？？？

作者: veve 时间: 2008-4-5 10:16
标题: 回复 17楼的帖子
啊.晕,不是啊.

不可以随便说了.

作者: dixnuits 时间: 2008-4-5 10:40
不好意思
我目前的工作就是做网络安全.

作者: autobom 时间: 2008-4-5 11:04
[s:36] [s:36]

作者: 上帝的同学 时间: 2008-4-5 19:54
我都无言了，你找到他了又能怎么样，如果他也是ARP病毒的受害者呢？
你发现后对他又能怎么样？暴打一顿？
还有什么叫做干掉攻击机器？给他的机子打后门插木马？那么谁给你的这个权利？

并且，最方便最可行的方法我觉得你应该和我一样清楚，那么你为什么不用?还是只想在这里炫一下你的计算机水平？

作者: dixnuits 时间: 2008-4-5 20:10

原帖由 上帝的同学 于 2008-4-5 19:54 发表
我都无言了，你找到他了又能怎么样，如果他也是ARP病毒的受害者呢？
你发现后对他又能怎么样？暴打一顿？
还有什么叫做干掉攻击机器？给他的机子打后门插木马？那么谁给你的这个权利？

并且，最方便最可行的方法 ...

HOHO,有明白人啊.

arp-s绑定一下网关即可,从此不受攻击,多简单的问题.

作者: 疯人院里一青年 时间: 2008-4-5 22:15
我认为并不是每个人都知道该如何解决这个问题的懂得的自然不会受到干扰不懂的就只能不在图书馆上

找到了无非就是告诉他/她机器中毒了  已经影响到其他人  就算是故意攻击这样也能提醒他

事不关己  高高挂起？这还是在学校  有必要么

作者: 布鲁布鲁卡卡 时间: 2008-4-6 00:44
多一点正义感多一点责任心

作者: 布鲁布鲁卡卡 时间: 2008-4-6 00:46
LZ并不是炫耀而是力所能及
人人都不要用有色眼镜去看别人要宽容要大量要理解世界就和平凉

作者: ylws 时间: 2008-4-6 19:01
标题: 4月6日下午的最新进展
转眼间明天就要上课了，第一个清明假期就要过完了，下午我又来到了图书馆。这次在南三楼没找到电源插口，只好来到中央大厅，连接的无线AP是lib_DaTing2，因靠近AP，故信号强度差一格就满格了。下午14：10分左右开始监听网络。

无线路由分配给我的真实网卡IP地址是222.25.15.68，虚拟机IP是222.25.15.189

今天下午刚开机就遇到了和有同学反映的情况一样——无数次的IP冲突提示，外加无数次的ARP欺骗，（不知道ARP -S对IP冲突的数据包管用吗？呵呵）
看来那位很喜欢用IP冲突攻击的仁兄经常活跃在图书馆大厅里（上次有同学说在大厅遭到IP冲突攻击，但南三楼没发现过）。
直到下午17：30分我离开时，共捕捉到3个ARP 攻击源，其中一个（MAC:00-15-AF-2F-23-56 IP:222.25.15.8 机器注释：rivate）还是ARP加ip冲突双料攻击源！

今天下午发现一个很有趣的现象：我自己竟然攻击我自己，因为IP地址是我自己，还以为中毒了呢，哈哈，原来是攻击源伪装我的IP对我进行攻击（注意我的截图2中显示：222.25.15.189和222.25.15.8的IP地址是一样的，呵呵，对此大家应该对IP冲突攻击手段大概猜得差不多了吧）

IP冲突对网络的危害性相比ARP欺骗要大得多，因为它直接使你上不了网，这位仁兄的心肠算是大大的坏了。哈哈哈

这位仁兄估计是下午攻击同学玩的是相当得意，经连续发起了数轮攻击。对于ARP欺骗尚且比较好拦截，但对于IP冲突，似乎一般的防火墙拦截后网速却严重的上不去了。
没关系，既然这位仁兄如此喜爱双料攻击，那么就以其人之道还治其人之身好了，我也发起了对222.25.15.8的ARP攻击（如在此时间内有被误伤的同学，为了以后大家顺利上网请原谅一下，呵呵），一会儿时间内我和攻击源的链接数据包已经是整个大厅AP的最高链接了，没办法，我们都在死抗，果然在15：37分，那位仁兄先结束了ARP攻击，全网ARP数据包骤降，迅雷下载当场测速最高已近300KB/S，但是IP攻击却没停止，虽然我能扛得住，估计没安全意识的个别同学就够呛了。那好了，既然他不仁，我只有不义了，以每秒1518个自己合成的地址杂乱数据包定点投放到00-15-AF-2F-23-56 ，呵呵，效果固然不错，一会时间，防火墙能检测到的IP冲突包数量大为减少，终于过了一会儿，该攻击源停止了IP冲突数据包的发送。

令人遗憾的是，就在全网ARP和IP数据包大为减少的同时，同学们的P2P下载量却在巨幅攀升，刚刚争取到的网络带宽很快就被同学们的下载流量占完了。（突然有些理解那位仁兄为何要发起这么多的攻击了......）所以我倡议，请大家都表现出一点大学生的素质，文件很大时请限速下载，与人方便于己方便嘛！

一下午就忙这些了，带去的书几乎都没看，唉，也罢，为了学弟学妹们，值了。但愿我们毕业后学校能发展的越来越好！因为不管怎么说，这里是我们的母校，是我们最美丽的青春绽放的地方！

（ps:
看到有些帖子对我的质疑，我深感遗憾，这年头，做点好事真就这么困难吗？但我不能抱怨，因为你们都是我亲爱的学弟学妹们，祝所有人[包括那位攻击的仁兄]身体健康，学业有成！这个帖子我就此不发了，不管你们到底怎样评价我，我都不会再回复了，至少，我问心无愧......
）

作者: y2kcp 时间: 2008-4-6 19:09
[s:19] [s:19] 知道为什么历史上最先起来反的大部分都是南方人吗？不说了~哎。。。
看到某些同学如此的事不关己。高高挂起的意识，郁闷中，被毒害的太深了~

作者: xiao_wuq 时间: 2008-4-6 22:01
估计是用什么局域网管理工具,例如P2P终结者等,都是为了抢那点可怜的资源,没必要在那秀~~~~~[s:39]

作者: xiao_wuq 时间: 2008-4-6 22:14
楼主强人!!!~~~~~~~~~~

作者: 布鲁布鲁卡卡 时间: 2008-4-7 12:57
再接再厉

作者: 冬天的热雪糕 时间: 2008-4-7 14:44
好象看不懂！！！！！！

作者: dixnuits 时间: 2008-4-7 16:28

原帖由 xiao_wuq 于 2008-4-6 22:01 发表
估计是用什么局域网管理工具,例如P2P终结者等,都是为了抢那点可怜的资源,没必要在那秀~~~~~[s:39]

又一个明白人,呵呵

建议楼主去google一下 BT终结者或者 p2p终结者

这类软件都是通过arp欺诈实现的.

作者: 小芝麻狐 时间: 2008-4-7 18:48
他市攻击不到我了，压根就不在西安

作者: solomonlee 时间: 2008-4-8 21:05
标题: 回复 34楼的帖子
你在西安也不可能到图书馆去上网啊！

作者: 正版熊猫 时间: 2008-4-9 10:10
在网上找到了这个ARP防火墙不知道管不管用
我已经下载了没有病毒
http://tt.3800hk.com/Soft/aqfh/22425.html

作者: 020701109 时间: 2008-4-9 10:35
呵呵，都是好人，学雷锋啊

作者: superhe007 时间: 2008-4-9 14:59
支持楼主！！！！！！

作者: 海盗 时间: 2008-4-10 16:05

原帖由 lotus 于 2008-4-3 23:06 发表
建议去图书馆上网的人大家都装流氓软件互相攻击

多么有趣儿的一件事啊~！！

你脑残啊！
日

作者: little雅 时间: 2008-4-10 20:08
LZ加油啦,我自己不太懂,靠你们去解决吧

作者: little雅 时间: 2008-4-10 20:08
标题: 和和和
LZ加油啦,我自己不太懂,靠你们去解决吧

作者: 穷丑仙翁 时间: 2008-5-12 22:55
这是真的吗？太好了，谢谢您啊

作者: 我爱欣儿 时间: 2008-5-15 10:08
狂顶一顿~~~~

作者: 村口菇幢者 时间: 2008-5-18 00:46
提示: 作者被禁止或删除内容自动屏蔽

作者: 冰封的心 时间: 2008-5-27 12:09
看看吧，大家都会支持你

作者: 優季のママ 时间: 2008-5-27 13:51
这个潜力贴绝对8能沉了D

欢迎光临工大在线 (http://ruolanmy.hk1.ifreeurl.com/)