[ Закрыто ] Обнаружена атака путем подделки записей кэша ARP , Обнаружена атака путем подделки записей кэша ARP

RSS
Здравствуйте. У меня проблема. Надеюсь на вашу помощь. У меня компьютер подключен к интернету через Wi Fi роутер ASUS (кабелем). Раньше был интернет МТС и все было отлично, но вот стоило переподключиться на ДомРу, как сразу стала появляться табличка с надписью: Обнаружена атака путем подделки записей кэша ARP 192.168.1.22.
Это из журнала файервол:
 
ВРЕМЯ                      СОБЫТИЕ                                                                              ИСТОЧНИК     ОБЪЕКТ            ПРОТОКОЛ
09.05.2015 0:55:35    Обнаружена атака путем подделки записей кэша ARP    192.168.1.22    192.168.1.242    ARP  
IP роутера 192.168.1.1          IP компьютера 192.168.1.242
Появляется примерно 2 раза в минуту. Что делать? В чем причина?

Ответы

Простите за тупость. но нашел причину.я совсем забыл про телевизор который тоже подключен к WiFi роутеру. По проводу у телевизора получаеться IP 192.168.1.93. Если же подключиться по WiFi то IP становиться 192.168.1.22 (как раз тот самый злополучный IP, который ESS настрыно блокирует). Стоит выключить телевизор или поменять способ подключения с WiFi на провод, по атака прекращаеться.

IP адрес WiFi роутера:       192.168.1.1.
IP андроид устройства:      192.168.1.6.
IP компьютера:                  192.168.1.242.
IP телевизора по проводу: 192.168.1.93   МАК адрес  СС:2D:8C:11:5C:9F
IP телевизора по WiFi:       192.168.1.22   МАК адрес   94:44:44:ЕС:48:8F    

Получаеться, что при подключении по проводу в роутере регестрируется один IP 192.168.1.93 и соответственно один МАК адрес  СС:2D:8C:11:5C:9F. Так как в этот момент работает только проводной интернет, а WiFi находится в выключеном состоянии.

При подключении по WiFi  в роутере регестрируется 2 якобы телевизора с одинаковыми IP адресами, но разными МАК адресами (вот как это выглядит в роутере): 192.168.1.22   МАК адрес  СС:2D:8C:11:5C:9F
                                                                                                                                                                                                                                                        192.168.1.22   МАК адрес   94:44:44:ЕС:48:8F
Это я так понял потому что одновременно работает WiFi и подключен провод к телевизору. Как это исправить пока не разобрался.

Понимаю это уже не важа забота, но все таки может вы подскажите как исправить ( кроме как в ESS добавить данный IP адрес в список исключений)?

Ха ранее спасибо вам :)И извините, что отнял столько времени у Вас :oops:








 
Изменено: Алексей Аношкин - 16.05.2015 01:56:37
Ну здесь адрес явно нормальный, так что проще будет просто добавить его в исключение.

Спасибо вам за помощь :) :oops:
Добрый вечер! Была похожая проблема. надеюсь на помощь.
Утром открыл ноут, и Eset сообщил, что В сети обнаружены идентичные IP-адреса и заблокировал интернет. Я, подумав, что это глюк, нажал кнопку разблокировать. Стало появляться сообщение, что Обнаружена атака путем подделки записей кэша. Я быстро убрал исключение и интернет остался заблокированным. Вечером все внезапно прошло.
Компьютер подключен напрямую (кабель). Никаких WiFi дома нет.
Что делать? Надо ли беспокоиться?
Изменено: Евгений Подколзин - 03.03.2016 23:37:38
Евгений Подколзин,скорее всего,не стоит. Если проблема повторится, сообщите, с каких ip идёт "атака".
ESET Technical Support
прикрепляю архив
Марк,
выполните скрипт в uVS,
только предварительно обновите uVS до актуальной версии.
http://chklst.ru/data/uVS%20latest/uvs_latest.zip

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код
;uVS v4.0b6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\NEWSI_606\S_INST.EXE
addsgn A7679B235F6A4C7261D4C4B12DBDEB5476DCAB4E05EE5C786D4C8141AF5D4C5C5654C364FE00F5D17DC384FBB9262D735D37A215A8253BDCA881D8678135F9FE 21 Win32/MediaMagnet.D [ESET-NOD32]

addsgn 71007B11114E40FF57F0BE3820EC168C79AEF4318DDEE0877A3C2CBD50D6714CCACC18A8C1559D492B80849F461649FAF683CC76311DB5182D77A42FC70622FA 8 Win32/Adware.Dorrible

zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\DORRIBLE\RIBBLE\D.EXE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\USER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

;-------------------------------------------------------------

deltmp

;---------command-block---------
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\HEWLETT-PACKARD\SMARTPRINT\QPEXTENSION
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\DDG.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\GOOGLE.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\MAILRU.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\OZONRU.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\PRICERU.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\WIKIPEDIA-RU.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\YANDEX-SLOVARI.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\YANDEX.XML
delref %Sys32%\IGFXCFG.EXE
delref %Sys32%\SHAREMEDIACPL.CPL
delref F:\SISETUP.EXE
delref F:\LG_PC_PROGRAMS.EXE
delref {00000000-0000-0000-0000-000000000000}\[CLSID]
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\ДРУГВОКРУГ\DRUGVOKRUG.EXE
apply

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
спасибо, разобрался, удалено все
Здравствуйте, антивирус обнаружил атаку путем подделки записей кэша ARP. Сделала анализ системы через программу uVS и вот, что вышло.
Цитата
Любовь Гранкина написал:
Здравствуйте, антивирус обнаружил атаку путем подделки записей кэша ARP. Сделала анализ системы через программу uVS и вот, что вышло.
Tor browser используете? сами ставили?

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код
;uVS v4.0.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNECFMKPLPMINFJAGBLFABGGOMDPAAKAN%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\TEMP\CHROME_BITS_4140_24942\1.4.8.970_OIMOMPECAGNAJDEJGNNJIJOBEBAEIGEK.CRX
delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID]
delref 752073A1-23F2-4396-85F0-8FDB879ED0ED\[CLSID]
delref %SystemRoot%\SYSWOW64\COMPMGMTLAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {DFEAF541-F3E1-4C24-ACAC-99C30715084A}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\BLANK.HTM
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\AEPROAM.DLL
delref %SystemRoot%\SYSWOW64\RSTRUI.EXE
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemRoot%\SYSWOW64\WPCCPL.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref F:\PROGRAM\ROCKETDOCK\ROCKETDOCK.EXE
delref %SystemDrive%\USERS\ЛЮБОВЬ\APPDATA\LOCAL\YANDEX\BROWSERMANAGER\MBLAUNCHER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\CONVAR\PC INSPECTOR FILE RECOVERY\FILERECOVERY.EXE
delref %SystemDrive%\USERS\USER\DESKTOP\TOR BROWSER\BROWSER\FIREFOX.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\CONVAR\PC INSPECTOR FILE RECOVERY\UNINSTALL.EXE
delref %SystemDrive%\USERS\ЛЮБОВЬ\APPDATA\LOCAL\YANDEX\YAPIN\YANDEXWORKING.EXE
delref F:\PROGRAM\AIMP3\AIMP3.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
Читают тему (гостей: 1)