利用 IPSec 阻截 ARP Frame 欺骗式挂马攻击
如今的黑客可是了不得,什么办法都能想出来,这不最近就遭遇到了这种挂马攻击方法,它通过 ARP Frame 来实现的。也就是说通过 ARP 来实现网关欺骗之后在 TCP/IP 中加入 Frame,而这个 Frame 中则包含了恶意的代码,可以使每个用户在打开页面后自动在当前页面中加入木马程序。
起初发现的时候是很多用户报自己的运营系统只要打开就会提示有病毒,很奇怪!服务器本身做过了安全加固,虽然不能说绝对符合某个级别的安全标准但是应对一些伪客们还是绰绰有余的。难道有人蓄意入侵了服务器在其上安插了rootkit?!赶忙登录服务器进行检查并未发现可疑的进程,察看了进程的模块信息也未发现有可疑的rootkit模块,问题出在哪里了呢?此时有大量用户通知数台服务器均在访问中提示有病毒,赶忙察看发现截获的木马网址都是同一个,真是有意思,难道是有人蓄意攻击?
重新对服务器进行了检查,排查范围小至可疑的文件日期,但是直觉告诉自己问题应该不是出在服务器,于是立刻是用“arp -a”命令获取到了默认网关的 MAC 地址,联络线路运维中心的工作人员进行查证,得知默认网关的 MAC 地址是错误的,看来找到了原因,子网内有服务器感染了 ARP 病毒!并且通过 ARP 欺骗后在 Frame 中添加了恶意代码,才会导致所有访问的用户会收到病毒的提示,并且用户下载后的页面中确实存在恶意代码,但是在服务器上看反而没有!通过 MAC 地址找到了被感染的机器 ban 掉后,子网恢复了正常!BS 机房线路运维,技术知识有待提高,服务质量有待增强,网管系统迫切需要升级!垃圾,他们之前压根就检测不到有 ARP 真服了。
今天又出现了这个问题,通知了线路运维那边没有任何反应,看来只能自己想办法了,首先要解决的就是保证用户们访问运营系统的时候不会提示有病毒,仔细想一下病毒的原理,顿悟!它既然要在 Frame 中加入恶意代码,那么必然要将数据报返回给我的服务器,OK!
使用 IPSec 阻止同子网所有服务器访问本机,切断联系!但是为了保证同子网可信赖服务器能够正常访问本机还要添加一条允许规则。这样以来除了可以阻截 ARP Frame 的欺骗攻击还可以杜绝其他安全威胁!为了实施这项步骤工作,我们需要运行“gpedit.msc”打开GPO管理器,之后在“计算机配置”下找到“Windows 设置”,展开其下的“安全设置”,点击“IP 安全策略,在本地计算机”,然后我们创建一条新的IP 安全策略,之后添加IP安全规则,首先为了确保不出现意外,应当先添加允许信赖的计算机访问本机的任何或指定的协议,最后再添加阻止特定子网的计算机访问本机所有或指定的协议。配置完毕之后,鼠标右击该安全策略并点击“指派”,为了让 IPSEC 立刻生效,建议在 cmd 环境下执行“gpupdate /force”。
另外需要注意的是这些操作都是在工作组环境下进行的。
如果要配置的IP比较多,可以使用微软 Support Tools 工具集中的“IPSeccmd”命令来进行配置。可以参考这个网址:http://support.microsoft.com/kb/813878/zh-cn
[Q&A&T] ISA 服务器遭遇 RPC 故障
决定在 Blog 上有限地与大家公开分享我为网友解答问题及排错的经验和心得。这里需要注意标题中的 Q&A&T,他们分别是 Question;Answer;TroubleShooting 的缩写,其中要多加个 T 意在表示这个问题解答中包含排错的经验和心得。
网友Q:一台 ISA 服务器为 AD 成员,之前 ISA 运行良好,最近 ISA 总报 RPC 错误,无法登录到 AD?
A&T:首选需要检查日志中是否有可疑的警告或错误事件报告,经过查阅发现一条来源:Winlogon,事件ID:1219的错误警告。
在描述中明确指出RPC服务不可用,说明RPC及相关的服务出现了故障,使用addiag、dcdiag、netdiag分别作了测试,其中netdiag中检测到了可疑信息。
D:\Support Tools>netdiag
...................................
Computer Name: ISA
DNS Host Name: isa.contoso.com
System info : Windows 2000 Server (Build 3790)
Processor : x86 Family 15 Model 4 Stepping 3, GenuineIntel
List of installed hotfixes :
KB911564
KB925398_WMP64
KB925876
KB925902
KB930178
KB931768
KB931784
KB931836
KB932168
Q147222
Netcard queries test . . . . . . . : Passed
[WARNING] The net card 'RAS 同步适配器' may not be working because it has no
t received any packets.
GetStats failed for '直接并口'. [ERROR_NOT_SUPPORTED]
GetStats failed for 'WAN 微型端口 (PPTP)'. [ERROR_NOT_SUPPORTED]
GetStats failed for 'WAN 微型端口 (PPPOE)'. [ERROR_NOT_SUPPORTED]
[WARNING] The net card 'WAN 微型端口 (IP)' may not be working because it has
not received any packets.
GetStats failed for 'WAN 微型端口 (L2TP)'. [ERROR_NOT_SUPPORTED]
[WARNING] The net card 'Intel(R) PRO/1000 MT Network Connection' may not be
working.
Per interface results:
Adapter : contoso
Netcard queries test . . . : Passed
Host Name. . . . . . . . . : isa
IP Address . . . . . . . . : 10.194.145.2
Subnet Mask. . . . . . . . : 255.255.255.0
Default Gateway. . . . . . :
NetBIOS over Tcpip . . . . : Disabled
Dns Servers. . . . . . . . : 10.194.145.5
10.194.145.8
AutoConfiguration results. . . . . . : Passed
Default gateway test . . . : Skipped
[WARNING] No gateways defined for this adapter.
NetBT name test. . . . . . : Skipped
NetBT is disabled on this interface. [Test skipped]
WINS service test. . . . . : Skipped
NetBT is disable on this interface. [Test skipped].
Adapter : Internet
Netcard queries test . . . : Passed
Host Name. . . . . . . . . : isa
IP Address . . . . . . . . : 202.202.202.2
Subnet Mask. . . . . . . . : 255.255.255.248
Default Gateway. . . . . . : 202.202.202.1
NetBIOS over Tcpip . . . . : Disabled
Dns Servers. . . . . . . . : 202.202.202.202
IpConfig results . . . . . : Failed
[WARNING] Your default gateway is not on the same subnet as your IP
address.
AutoConfiguration results. . . . . . : Passed
Default gateway test . . . : Passed
NetBT name test. . . . . . : Skipped
NetBT is disabled on this interface. [Test skipped]
WINS service test. . . . . : Skipped
NetBT is disable on this interface. [Test skipped].
Adapter : VPDN
Netcard queries test . . . : Passed
Host Name. . . . . . . . . : isa
IP Address . . . . . . . . : 10.194.146.129
Subnet Mask. . . . . . . . : 255.255.255.192
Default Gateway. . . . . . :
NetBIOS over Tcpip . . . . : Disabled
Dns Servers. . . . . . . . :
AutoConfiguration results. . . . . . : Passed
Default gateway test . . . : Skipped
[WARNING] No gateways defined for this adapter.
NetBT name test. . . . . . : Skipped
NetBT is disabled on this interface. [Test skipped]
WINS service test. . . . . : Skipped
NetBT is disable on this interface. [Test skipped].
Adapter : DMZ
Netcard queries test . . . : Passed
Host Name. . . . . . . . . : isa
IP Address . . . . . . . . : 172.16.0.1
Subnet Mask. . . . . . . . : 255.255.255.0
Default Gateway. . . . . . :
NetBIOS over Tcpip . . . . : Disabled
Dns Servers. . . . . . . . :
AutoConfiguration results. . . . . . : Passed
Default gateway test . . . : Skipped
[WARNING] No gateways defined for this adapter.
NetBT name test. . . . . . : Skipped
NetBT is disabled on this interface. [Test skipped]
WINS service test. . . . . : Skipped
NetBT is disable on this interface. [Test skipped].
Adapter : EP
Netcard queries test . . . : Passed
Host Name. . . . . . . . . : isa
IP Address . . . . . . . . : 172.18.145.18
Subnet Mask. . . . . . . . : 255.255.255.248
Default Gateway. . . . . . :
NetBIOS over Tcpip . . . . : Disabled
Dns Servers. . . . . . . . :
AutoConfiguration results. . . . . . : Passed
Default gateway test . . . : Skipped
[WARNING] No gateways defined for this adapter.
NetBT name test. . . . . . : Skipped
NetBT is disabled on this interface. [Test skipped]
WINS service test. . . . . : Skipped
NetBT is disable on this interface. [Test skipped].
Adapter : JL
Netcard queries test . . . : Failed
NetCard Status: DISCONNECTED
Some tests will be skipped on this interface.
Host Name. . . . . . . . . : isa
IP Address . . . . . . . . : 0.0.0.0
Subnet Mask. . . . . . . . : 0.0.0.0
Default Gateway. . . . . . :
NetBIOS over Tcpip . . . . : Disabled
Dns Servers. . . . . . . . :
Adapter : {6981CD9A-AA04-4FEE-8986-0B672B1A35BE}
Netcard queries test . . . : Passed
Host Name. . . . . . . . . : isa
IP Address . . . . . . . . : 10.194.146.65
Subnet Mask. . . . . . . . : 255.255.255.255
Default Gateway. . . . . . :
Dns Servers. . . . . . . . :
AutoConfiguration results. . . . . . : Passed
Default gateway test . . . : Skipped
[WARNING] No gateways defined for this adapter.
NetBT name test. . . . . . : Passed
[WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenge
r Service', <20> 'WINS' names is missing.
No remote names have been found.
WINS service test. . . . . : Skipped
There are no WINS servers configured for this interface.
Global results:
Domain membership test . . . . . . : Passed
NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_{6981CD9A-AA04-4FEE-8986-0B672B1A35BE}
1 NetBt transport currently configured.
Autonet address test . . . . . . . : Passed
IP loopback ping test. . . . . . . : Passed
Default gateway test . . . . . . . : Passed
NetBT name test. . . . . . . . . . : Passed
[WARNING] You don't have a single interface with the <00> 'WorkStation Servi
ce', <03> 'Messenger Service', <20> 'WINS' names defined.
Winsock test . . . . . . . . . . . : Passed
DNS test . . . . . . . . . . . . . : Passed
Redir and Browser test . . . . . . : Failed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_{6981CD9A-AA04-4FEE-8986-0B672B1A35BE}
The redir is bound to 1 NetBt transport.
List of NetBt transports currently bound to the browser
NetBT_Tcpip_{6981CD9A-AA04-4FEE-8986-0B672B1A35BE}
The browser is bound to 1 NetBt transport.
[FATAL] Cannot send mailslot message to '\contoso*MAILSLOTNETNETLOGON' vi
a redir. [ERROR_BAD_NETPATH]
DC discovery test. . . . . . . . . : Passed
DC list test . . . . . . . . . . . : Failed
'contoso': No DCs are up.
Trust relationship test. . . . . . : Failed
'contoso': No DCs are up (Cannot run test).
Secure channel for domain 'contoso' is to '\WSUS.contoso.com'.
Kerberos test. . . . . . . . . . . : Skipped
LDAP test. . . . . . . . . . . . . : Passed
[WARNING] Failed to query SPN registration on DC 'fileserver.contoso.com'.
[WARNING] Failed to query SPN registration on DC 'WSUS.contoso.com'.
Bindings test. . . . . . . . . . . : Passed
WAN configuration test . . . . . . : Skipped
No active remote access connections.
Modem diagnostics test . . . . . . : Passed
IP Security test . . . . . . . . . : Skipped
Note: run "netsh ipsec dynamic show /?" for more detailed information
The command completed successfully
D:\Support Tools>
从上述错误中可以看到一些服务器因 NetBT 故障导致运行错误,运行"Services.msc"进入服务管理器检查并允许自动运行"TCP/IP NetBIOS helper"服务,之后发现问题依然存在。继续检查内网连接的网卡TCP/IP属性配置下“高级”-“WINS”-“NetBIOS 设置”,应确保内部网卡启用“默认”设置或“启用 TCP/IP 上的 NetBIOS”设置。
因管理员之前为了保证 ISA 的安全,禁用了“TCP/IP NetBIOS helper”服务,并且在TCP/IP高级属性中启用了“禁用 TCP/IP 上的 NetBIOS”(之前询问时管理员一直未回忆起进行过该项操作!:-)),导致 RPC 故障。经过恢复配置该问题得到了解决。建议,因为 ISA 为 AD 成员,所以因该保留内部网卡的TCP/IP配置,并为每个外部网卡单独配置“禁用 TCP/IP 上的 NetBIOS”,无须禁用“TCP/IP NetBIOS helper”服务。
原定八月的 Microsoft Vista TTT 改为九月
八月份有幸受邀参加在北京的 Microsoft Vista TTT 讲师培训,后来由于某些原因临时取消了,本月重新进行了安排,定于9月中旬!
这次的安排人数比之前的要多,国内很多专家级的人物也在名单中,他们来自北京、济南、上海、陕西、成都、西安,可惜河南这边也只有郑州我一个人受邀,同行无伴哦!此外大名鼎鼎的盆盆也会参加培训,到时候可以对这些专家级的人物进行膜拜了!嘿嘿……
本次课程安排3天,其中有三名讲师对我们进行培训,其中还有GTSC的达人担任此次授课讲师!难得的机会哦!并且全程差旅费用均由微软承担!据说通过培训合格的讲师将有机会在FY08与微软进行更密切的合作!
在这里对 WindowsITPro、WinTEC 以及主办方微软表示感谢!未来一段时间等待具体的安排……
