内部局域 *** 被攻击案例分析_内部局域 *** 被攻击案例

学校局域 *** 被人恶心了，被人扒光了一般

机房IP的话，也不能排除是外部黑客入侵内部局域网，我原来就入侵过我附近的一所大学的机房，跟你状况应该是差不多的，不过也不能说不是某些恶性趣味管理员所为.....360我也在用，反正发现异状我就卸载，网速我也不觉得有多慢。。超级兔子貌似不怎

laotulaotulaot不得不说，这个 *** 确实不错，基本防范了所有攻击。不过，如果是类似于ARP嗅探之类的东西不知道这东西还有没有用，ARP的话，基本大部分数据包都会被截取，破译里面的密码，如果用了这东西是黑客入侵的可能性就很高了。

LINUX的 *** 也是可行的，LINUX的防火墙那叫一个强悍....对外只开放一个端口，想搞都没办法...要说LINUX自然要说UBUNTU了，易用性更好的就是UBUNTU了，如果想了解更多的话，请百度知道乎...

14年全球有哪些 *** 被攻击的案例

事件一、1•21中国互联网DNS大劫难

2014年1月21日下午3点10分左右，国内通用顶级域的根服务器忽然出现异常，导致众多知名网站出现DNS解析故障，用户无法正常访问。虽然国内访问根服务器很快恢复，但由于DNS缓存问题，部分地区用户“断网”现象仍持续了数个小时，至少有2/3的国内网站受到影响。微博调查显示，“1•21全国DNS大劫难”影响空前。事故发生期间，超过85%的用户遭遇了DNS故障，引发网速变慢和打不开网站的情况。

事件二、比特币交易站受攻击破产

2014年2月，全球更大的比特币交易平台Mt.Gox由于交易系统出现漏洞，75万个比特币以及Mt.Gox自身账号中约10万个比特币被窃，损失估计达到4.67亿美元，被迫宣布破产。这一事件凸显了互联网金融在 *** 安全威胁面前的脆弱性。

事件三、携程漏洞事件

2014年3月22日，有安全研究人员在第三方漏洞收集平台上报了一个题目为“携程安全支付日志可遍历下载导致大量用户银行卡信息泄露（包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin）”的漏洞。上报材料指出携程安全支付日志可遍历下载，导致大量用户银行卡信息泄露，并称已将细节通知厂商并且等待厂商处理中。一石激起千层浪，该漏洞立即引发了关于“电商网站存储用户信用卡等敏感信息，并存在泄漏风险”等问题的热议。

事件四、XP系统停止服务

微软公司在2014年4月8日后对XP系统停止更新维护的服务。但XP仍然是当今世界被广泛使用的操作系统之一。特别是在中国，仍有63.7%的用户，也就是大约3亿左右的用户还在使用XP系统。因此“后XP时代”的信息安全一直备受关注，但国内安全厂商推出的防护软件究竟效果如何，面对市场上如此多的安全防护软件，选哪个又是一个疑问，所以xp挑战赛应运而生。在2014年4月5日的XP挑战赛中，腾讯、金山落败360坚守成功。

事件五、OpenSSL心脏出血漏洞

2014年4月爆出了Heartbleed漏洞，该漏洞是近年来影响范围最广的高危漏洞，涉及各大网银、门户网站等。该漏洞可被用于窃取服务器敏感信息，实时抓取用户的账号密码。从该漏洞被公开到漏洞被修复的这段时间内，已经有黑客利用OpenSSL漏洞发动了大量攻击，有些网站用户信息或许已经被黑客非法获取。未来一段时间内，黑客可能会利用获取到的这些用户信息，在互联网上再次进行其他形式的恶意攻击，针对用户的“次生危害”（如 *** 诈骗等）会大量集中显现。即使是在今后十年中，预计仍会在成千上万台服务器上发现这一漏洞，甚至包括一些非常重要的服务器。

事件六、中国快递1400万信息泄露

2014年4月，国内某黑客对国内两个大型物流公司的内部系统发起 *** 攻击，非法获取快递用户个人信息1400多万条，并出售给不法分子。而有趣的是，该黑客贩卖这些信息仅获利1000元。根据媒体报道，该黑客仅是一名22岁的大学生，正在某大学计算机专业读大学二年级。

事件七、eBay数据的大泄漏

2014年5月22日，eBay要求近1.28亿活跃用户全部重新设置密码，此前这家零售网站透露黑客能从该网站获取密码、 *** 号码、地址及其他个人数据。该公司表示，黑客 *** 攻击得手的eBay数据库不包含客户任何财务信息——比如信用卡号码之类的信息。eBay表示该公司会就重设密码一事联系用户以解决这次危机。这次泄密事件发生在今年2月底和3月初，eBay是在5月初才发现这一泄密事件，并未说明有多少用户受到此次事件的影响。

事件八、BadUSB漏洞

2014年8月，在美国黑帽大会上，JakobLell和KarstenNohl公布了BadUSB漏洞。攻击者利用该漏洞将恶意代码存放在USB设备控制器的固件存储区，而不是存放在其它可以通过USB接口进行读取的存储区域。这样，杀毒软件或者普通的格式化操作是清除不掉该代码的，从而使USB设备在接入PC等设备时，可以欺骗PC的操作系统，从而达到某些目的。

事件九、Shellshock漏洞

2014年9月25日，US-CERT公布了一个严重的Bash安全漏洞(CVE-2014 -6271) 。由于Bash是Linux用户广泛使用的一款用于控制命令提示符工具，从而导致该漏洞影响范围甚广。安全专家表示，由于并非所有运行Bash的电脑都存在漏洞，所以受影响的系统数量或许不及“心脏流血”。不过，Shellshock本身的破坏力却更大，因为黑客可以借此完全控制被感染的机器，不仅能破坏数据，甚至会关闭 *** ，或对网站发起攻击。

事件十、500万谷歌账户信息被泄露

2014年9月，大约有500万谷歌的账户和密码的数据库被泄露给一家俄罗斯互联网 *** 安全论坛。这些用户大多使用了Gmail邮件服务和美国互联网巨头的其他产品。据俄罗斯一个受欢迎的IT新闻网站CNews报道，论坛用户tvskit声称60%的密码是有效的，一些用户也确认在数据库里发现他们的数据。

事件十一、飓风熊猫本地提权工具

2014年10月，CrowdStrike发现飓风熊猫这个本地提权工具，飓风熊猫是主要针对基础设施公司的先进攻击者。国外专业人士还表示，该攻击代码写的非常好，成功率为100％。我们知道飓风熊猫使用的是“ChinaChopper”Webshell，而一旦上传这一Webshell，操作者就可试图提升权限，然后通过各种密码破解工具获得目标访问的合法凭证。该本地提权工具影响了所有的Windows版本，包括Windows7和WindowsServer 2008 R2 及以下版本。

事件十二、赛门铁克揭秘间谍工具regin

2014年11月24日，赛门铁克发布的一份报告称，该公司发现了一款名为“regin”的先进隐形恶意软件。这是一款先进的间谍软件，被称为史上最为复杂的后门木马恶意软件。该软件被用于监视 *** 机关、基础设施运营商、企业、研究机构甚至针对个人的间谍活动中。

事件十三、索尼影业公司被黑客攻击

2014年12月，索尼影业公司被黑客攻击。黑客对索尼影业公司发动的这次攻击影响令人感到震惊：摄制计划、明星隐私、未发表的剧本等敏感数据都被黑客窃取，并逐步公布在 *** 上，甚至包括到索尼影业员工的个人信息。预计索尼影业损失高达1亿美元，仅次于2011年被黑客攻击的损失。

事件十四、12306用户数据泄露含身份证及密码信息

2014年12月25日，乌云漏洞报告平台报告称，大量12306用户数据在互联网疯传，内容包括用户帐号、明文密码、身份证号码、手机号码和电子邮箱等。这次事件是黑客首先通过收集互联网某游戏网站以及其他多个网站泄露的用户名和密码信息，然后通过撞库的方式利用12306的安全机制的缺欠来获取了这13万多条用户数据。同时360互联网安全中心就此呼吁，12306用户尽快修改密码，避免已经订到的火车票被恶意退票。另外如果有其他重要帐号使用了和12306相同的注册邮箱和密码，也应尽快修改密码，以免遭遇盗号风险。

局域网被ARP攻击老线，急死了。高手进内详！！！！

ARP病毒的彻底解决思路

首先开始之前假如几个数字;

假如当前网关为：192.168.1.1 真实的mac地址是：00-00-00-00-00-01

假如中毒的机子为：192.168.1.8 其真实mac地址为：00-00-00-00-00-08

*** 还同时存在主机：192.168.1.2 其真实mac地址为：00-00-00-00-00-02

192.168.1.3 其真实mac地址为：00-00-00-00-00-03

其中，中毒后，192.168.1.2和192.168.1.3的主机的arp缓存表中，网关的mac地址变成00-00-00-00-00-08，也就是被192.168.1.8

的主机欺骗了。

以上只是为了方便说明情况，假如的几个数字。

如何判断局域网中了arp，这里就不说了~~

下面提供三种解决思路：

一、【原创】利用网关欺骗中毒的机子,从而找到中毒的机子

这个 *** 是自己想的，也试验成功了，不知道别人有没有用过这个 *** 。这个 *** 适用于大型的 *** 中，主机不好找的时候。

言归正传，在中毒后，网关的mac地址被欺骗，这个时候用mac地址扫描器，扫描 *** 中各个主机的mac地址和ip地址时就会发

现，192.168.1.1和192.168.1.1.8的主机的mac地址相同。

那么我们可以利用，网关的arp缓存或者服务器的arp缓存表来欺骗中毒的机子，使这台机子脱离局域网，从而达到隔离中毒机子的

目的。

查看网关或者服务器的arp缓存表。（具体命令，怎么进入暂不说）

在命令提示符状态下输入：

========================命令提示符状态===================

arp -d 192.168.1.8

arp -s 192.168.1.8 00：50：50：50：50：50

arp -s 192.168.230.230 00：00：00：00：00：08

========================命令提示符状态===================

上面的什么意思呢？

之一行：arp -d 192.168.1.8

即删除当前arp缓存表中，192.168.1.8的主机的信息。

第二行：arp -s 192.168.1.8 00：50：50：50：50：50

即绑定ip 192.168.1.8 和mac 00：50：50：50：50：50（这个mac是随便写的一个假的，当前 *** 中没有的mac地址）

绑定后会怎么样？192.168.1.8的主机会弹出ip地址和网上有冲突，从而无法和网关交换数据，达到隔离目的。

第三行：arp -s 192.168.230.230 00：00：00：00：00：08

绑定mac 00-00-00-00-00-08和ip 192.168.230.230（这个ip也是随便写的，当前 *** 中没有的ip地址）

绑定后会怎么样？192.168.1.8的主机会弹出ip地址和网上有冲突，从而无法和网关交换数据，达到隔离目的。

其实上面的第二行和第三行只要一行就够了，全用上也可以

第二行适合ip地址是固定的 *** ，第三行适合ip地址是随机的 *** 中。

我想现在中了arp病毒的朋友，应该能理解上面的。没有中毒或者没有经历过的不好理解！

然后怎么办呢？

给192.168.1.8的主机杀毒，杀掉病毒后，再运行

========================命令提示符状态===================

arp -d 192.168.1.8

arp -d 192.168.230.230

========================命令提示符状态===================

删掉网关或者服务器中的有关主机的arp信息，即解决问题！

二、完美策略

【欧阳锋版主提供】解决中毒的机子

是用记事本等做一个空白文件,然后重命名为npptools.dll,然后替换system32文件夹里的同名文件,然后双绑,完美抵御arp。(单绑也可以,但别忘了把dllcache里的同名文件也替换了,要不windows的文件保护会重新覆盖这个文件,FAT的文件系统属性可以改为只读)

但是个别防火墙会用到这个文件，如果要使用此 *** ，意味着放弃那款防火墙！具体哪款没试过，好像是za。

如果不想删除，可以利用组策略中的散列原理设置任何用户禁止访问此文件。

如果用策略的话那就来个绝的,全局禁止npptools.dll,因为现在已发现自身生成这个dll文件的arp病毒,一般是释放到临时文件夹里.所以干脆全局用策略禁止.再完美就是用权限把Registry.pol这个文件的写入.修改.和删除的权限都拒绝.

三、不完美的解决策略

【参考网友】利用假网关欺骗arp病毒

ARP病毒是靠读取本机TCP/IP里的网关的，来欺骗的。

下面以网关为192.168.0.1为例， 实际应用当中把他换成你自己的网关。

现在我们运行-CMD-route print 会出现

===========================================================================

Active Routes:

Network Destination Netmask Gateway Interface Metric

0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.129 10

127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1

192.168.0.0 255.255.255.0 192.168.0.129 192.168.0.129 10

192.168.0.129 255.255.255.255 127.0.0.1 127.0.0.1 10

192.168.0.255 255.255.255.255 192.168.0.129 192.168.0.129 10

224.0.0.0 240.0.0.0 192.168.0.129 192.168.0.129 10

255.255.255.255 255.255.255.255 192.168.0.129 192.168.0.129 1

Default Gateway: 192.168.0.254

===========================================================================

Persistent Routes:

None

这样一个路由表（这个是我的路由表。你们的可能IP不同），最后一个Metric是这条路由表的优先等级（权限） 1更大 10最小

我们来看之一行

Network Destination Netmask Gateway Interface Metric

0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.129 10

任何IP 任何IP 网关IP 本机IP 优先等级（10是最小）

这行的意思是

如果我要访问Internet的话 从本机(192.168.0.129)通过网关(192.168.0.1)到任何Internet的服务器

下面几行路由表无关紧要

简单的说。如果你要访问Internet先经过本机的路由表再到路由器（网关）再到你要访问的Internet服务器

现在我们知道路由表的作用了。。

还有ARP病毒是读取本机TCP/IP里的网关的。以后的ARP变种会不会读路由表那我不知道。

现在我开始。。

*** ：（反欺骗ARP病毒）

比如你现在网关（本地连接属性tcp/ip里设置的那个，后面同是）是192.168.0.1 那我们现在要把网关IP换成192.168.0.1-

192.168.0.254之间的任意一个。但不能和其他客户机冲突。更好换个不用的IP，（其实这个 *** 网关IP随便你添什么。那怕

123.123.123.123都没事，但为了能反欺骗ARP和避免被怀疑，我们更好能用同网段的IP。）我们现在换成192.168.0.200，上不了

网了吧？（网关不对当然上不了。傻子都知道~！-_-!）好了之一步做好了。NEXT

现在我们CMD-route print看下路由表。之一行的网关IP变成了你刚才设置的IP了。。而且这个网关IP是上不了网的。。。中国人

都知道。。

接下来。我们仍旧在CMD下输入 route add -p 0.0.0.0 mask 0.0.0.0 XXX.XXX.XXX.XXX metric 1 (把xxx.xxx.xxx.xxx换成你真

实的网关) 回车,我们加入一条静态的路由表 优先权限是1 （更大的）

在CMD下面输入route print 再查看一下路由表。最下面一行

Persistent Routes:

None

这个已经换成了

Persistent Routes:

Network Address Netmask Gateway Address Metric

0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx 1

一条静态路由已经添加了。。

别人的教程里说这样已经可以了。。但实际使用当中还不行。。

接下来。我们做个P处理，把下面的复制下来。保存为BAT。如果嫌开机有黑框，那去找个BAT转EXE的。我记得前段时间我发过一个

。如果没有的回贴我发上来。

route add 0.0.0.0 mask 0.0.0.0 xxx.xxx.xxx.xxx metric 1 (把xxx.xxx.xxx.xxx换成你真实的网关)

复制下来。保存为BAT。然后加在启动项里。每次开机都运行。你也可以加在注册表的RUN里面。

现在我们再来看看路由表，在CMD下面输入route print

===========================================================================

Active Routes:

Network Destination Netmask Gateway Interface Metric

0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.129 10

0.0.0.0 0.0.0.0 192.168.0.254 192.168.0.129 1

127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1

192.168.0.0 255.255.255.0 192.168.0.129 192.168.0.129 10

192.168.0.129 255.255.255.255 127.0.0.1 127.0.0.1 10

192.168.0.255 255.255.255.255 192.168.0.129 192.168.0.129 10

224.0.0.0 240.0.0.0 192.168.0.129 192.168.0.129 10

255.255.255.255 255.255.255.255 192.168.0.129 192.168.0.129 1

Default Gateway: 192.168.0.254

===========================================================================

Persistent Routes:

Network Address Netmask Gateway Address Metric

0.0.0.0 0.0.0.0 192.168.0.254 1

之一行的网关是我们在 本地连接 属性 tcp/ip 里设置的那个假的 优先等级是10（最小的）

第二行的网关是我们通过手工加上去的真网关。优先等级是 1 （更大的）

如果我们要访问Internet的话。它优先读取 优先等级是1的那个真网关。。

而ARP读取的是读取本机TCP/IP里的网关的。以后的ARP变种会不会读路由表那我不知道。所以让他在冲突也只不过冲突假网关。

这样我们已经完成了。。不管你网关IP设成多少都没事。记住虽然你加了静态的但开机启动的那个P处理一定要。不然还是上不了

网。至少我这里是这样的。。

这样做了以后。帮不帮定IP-MAC都无所谓。我是没帮定。前段时间老掉线。这样做了后没掉过。。要掉也是中ARP病毒那个机器掉其他机器和网关没影响。

打字很累的，希望对你有用

于子豪--专家提供

局域网被攻击

对方用的是P2P终结者来攻击你的局域网的，你可以下载一个金山的P2P防火墙，可以拦截外来的攻击的！

我们局域网貌似被攻击了，看症状，帮我解决

找流量查看器（360、瑞星、 *** 安全管家都有）看下哪个程序占用了特别大的流量。装ARP软件检测下有无ARP病毒。看下路由器的日志有无异常。如果有异常按照MAC地址查找下病毒的来源。请采纳谢谢!!!

公司局域网被arp攻击怎么解决？

绑定mac是一种解决办法，但是公司局域网遭到ARP攻击绑定mac也不太现实，arp攻击一般是伪装成其他的MAC进行局域网内攻击，所以你能查到的攻击源基本都是被利用的无辜的客户端。本人根据这几次处理arp攻击的经验，公司局域网arp大多数都是交换机以及路由设置不合理造成局域网内部客户端相互竞争比如ip冲突啥的，所以首先要确保交换机及路由设置合理，真正的遭病毒攻击是少的，所以要是有权限吧交换机进行还原然后重新设置，路由也进行重新设置更好修改路由分配的ip波段。若是还不行那就只能请专业人士进行现场处理了。