ARP攻击原理与防范
ARP欺骗病毒攻击,网页注入iframe代码
网站突然出现访问迟钝,并且打开之后杀毒软件立即提示含有木马病毒,IE提示下载安装Microsoft Data Access...信息。从IE查看页面的源代码,在网页的源代码中加入了 <iframe src=http://****.****.com/t.htm width=0 height=0> </iframe> 嵌套框架网页,该网页执行木马程序......
所以估计是服务器被人攻陷了,所有文件代码被加了此行代码,于是FTP上去,但下载文件下来查看却没有该代码。怎么回事呢?原来是机房局域网中有服务器中ARP病毒了,模拟网关进行欺骗,拦截Http数据包自动加入iframe代码。
那么什么是"ARP欺骗"呢?
首先,ARP的意思是Address Resolution Protocol(地址解析协议),它是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。
从影响网络连接通畅的方式来看,ARP欺骗分为二种:
一种是对路由器ARP表的欺骗;
另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是----截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。
第二种ARP欺骗的原理是----伪造网关,ARP网关欺骗。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,"网络掉线了"。
ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。
而本次我的网站服务器所在的托管机房同一局域网中的某台服务器即被感染了ARP欺骗木马,所以就影响了整个机房的其他服务器,于是服务器中成千上万的虚拟主机网站就全部遭殃了,木马种植者站点访问量也是猛增,这还是小事,该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。
-----------------------------------------------------
具体原理:
arp中间人攻击,实际上相当于做了一次代理。
正常时候: A---->B ,A是访问的正常客户,B是要攻击的服务器,C是被我们控制的主机
arp中间人攻击时候: A---->C---->B
B---->C---->A
实际上,C在这里做了一次代理的作用
那么HTTP请求发过来的时候,C判断下是哪个客户端发过来的包,转发给B,然后B返回HTTP响应的时候,在HTTP响应包中,插入一段挂马的代码,比如 <iframe>...之类,再将修改过的包返回的正常的客户A,就起到了一个挂马的作用.在这个过程中,B是没有任何感觉的,直接攻击的是正常的客户A,如果A是管理员或者是目标单位,就直接挂上马了。
那么为什么A请求时会先到C去呢?
因为c向交换机发了假消息,说我是B,我是B,交换机就以为他是B了。
如何防范计算机遭受ARP欺骗
1、不要把你的网络安全信任关系建立在ip基础上或mac基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在ip+mac基础上。
2、设置静态的mac-->ip对应表,不要让主机刷新你设定好的转换表。
3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
5、使用"proxy"代理ip的传输。
6、使用硬件屏蔽主机。设置好你的路由,确保ip地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
7、管理员定期用响应的ip包中获得一个rarp请求,然后检查ARP响应的真实性。
8、管理员定期轮询,检查主机上的ARP缓存。
9、使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。
解决方案:
1、针对中毒服务器
检查服务器是否中了ARP欺骗木马病毒
"CTRL"+"ALT"+"Delete"键打开"Windows任务管理器"窗口,查看有没有"MIR0.dat"的进程,如果有,表示中毒了,需要立即"结束该进程"。
其他变种要安装最新的杀毒软件或专杀工具查杀。
2、针对受影响服务器
检查局域网内感染ARP欺骗木马病毒的计算机
"开始"菜单"运行""cmd"打开MSDOS窗口,输入"ipconfig"获得"Default Gateway"默认网关。
继续执行命令"arp -a",查看默认网关IP对应的"Physical Address"值,在网络正常时这就是网关的正确物理地址,在网络受" ARP 欺骗"木马影响而不正常时,它就是木马所在计算机的网卡物理地址。也可以扫描本子网内的全部IP地址,然后再查ARP表。如果有一个 IP 对应的物理地址与网关的相同,那么这个IP地址和物理地址就是中毒计算机的IP地址和网卡物理地址。
安装一个arp防火墙也可以防.
可以用360安全卫士自带的ARP病毒防火墙。
ARP防火墙通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址,可以保障数据流向正确,不经过第三者,从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制,从而完美的解决上述所有问题。
ARP防火墙九大功能
1. 拦截ARP攻击。
(A) 在系统内核层拦截外部虚假ARP数据包,保障系统不受ARP欺骗、ARP攻击影响,保持网络畅通及通讯安全;
(B) 在系统内核层拦截本机对外的ARP攻击数据包,以减少感染恶意程序后对外攻击给用户带来的麻烦;
2. 拦截IP冲突。在系统内核层拦截IP冲突数据包,保障系统不受IP冲突攻击的影响;
3. Dos攻击抑制。在系统内核层拦截本机对外的TCP SYN/UDP/ICMP/ARP DoS攻击数据包,定位恶意发动DoS攻击的程序,从而保证网络的畅通;
4. 安全模式。除了网关外,不响应其它机器发送的ARP Request,达到隐身效果,减少受到ARP攻击的几率;
5. ARP数据分析。分析本机接收到的所有ARP数据包,掌握网络动态,找出潜在的攻击者或中毒的机器;
6. 监测ARP缓存。自动监测本机ARP缓存表,如发现网关MAC地址被恶意程序篡改,将报警并自动修复,以保持网络畅通及通讯安全;
7. 主动防御。主动与网关保持通讯,通告网关正确的MAC地址,以保持网络畅通及通讯安全;
8. 追踪攻击者。发现攻击行为后,自动快速锁定攻击者IP地址;
9. 查杀ARP病毒。发现本机有对外攻击行为时,自动定位本机感染的恶意程序、病毒程序;
3、针对网站访问者
网站访问者在网站解决ARP病毒前没有别的方式,但是如果非要访问该网站的话,千万不能执行下载安装任何插件ActiveX,并且可以把那个恶意网站加入Hosts文件。
查找系统的hosts文件所在目录,Windows 2003在%windir%\system32\drivers\etc\hosts目录下
首先查看源文件找到iframe嵌入的网站域名
在该文件中加入一行
127.0.0.1 xf.jebooo.com
如果hosts存取拒绝,可以
使用方法:
开始==》运行==》输入cmd后回车==》复制代码框内容到CMD窗口,回车执行。
attrib -r -a -s -h %windir%\system32\drivers\etc\hosts
去掉文件属性,然后再修改
临时解决办法:
css中加入:
iframe{v:expression(this.src='about:blank',this.outerHTML='');}
网站突然出现访问迟钝,并且打开之后杀毒软件立即提示含有木马病毒,IE提示下载安装Microsoft Data Access...信息。从IE查看页面的源代码,在网页的源代码中加入了 <iframe src=http://****.****.com/t.htm width=0 height=0> </iframe> 嵌套框架网页,该网页执行木马程序......
所以估计是服务器被人攻陷了,所有文件代码被加了此行代码,于是FTP上去,但下载文件下来查看却没有该代码。怎么回事呢?原来是机房局域网中有服务器中ARP病毒了,模拟网关进行欺骗,拦截Http数据包自动加入iframe代码。
那么什么是"ARP欺骗"呢?
首先,ARP的意思是Address Resolution Protocol(地址解析协议),它是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。
从影响网络连接通畅的方式来看,ARP欺骗分为二种:
一种是对路由器ARP表的欺骗;
另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是----截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。
第二种ARP欺骗的原理是----伪造网关,ARP网关欺骗。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,"网络掉线了"。
ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。
而本次我的网站服务器所在的托管机房同一局域网中的某台服务器即被感染了ARP欺骗木马,所以就影响了整个机房的其他服务器,于是服务器中成千上万的虚拟主机网站就全部遭殃了,木马种植者站点访问量也是猛增,这还是小事,该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。
-----------------------------------------------------
具体原理:
arp中间人攻击,实际上相当于做了一次代理。
正常时候: A---->B ,A是访问的正常客户,B是要攻击的服务器,C是被我们控制的主机
arp中间人攻击时候: A---->C---->B
B---->C---->A
实际上,C在这里做了一次代理的作用
那么HTTP请求发过来的时候,C判断下是哪个客户端发过来的包,转发给B,然后B返回HTTP响应的时候,在HTTP响应包中,插入一段挂马的代码,比如 <iframe>...之类,再将修改过的包返回的正常的客户A,就起到了一个挂马的作用.在这个过程中,B是没有任何感觉的,直接攻击的是正常的客户A,如果A是管理员或者是目标单位,就直接挂上马了。
那么为什么A请求时会先到C去呢?
因为c向交换机发了假消息,说我是B,我是B,交换机就以为他是B了。
如何防范计算机遭受ARP欺骗
1、不要把你的网络安全信任关系建立在ip基础上或mac基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在ip+mac基础上。
2、设置静态的mac-->ip对应表,不要让主机刷新你设定好的转换表。
3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
5、使用"proxy"代理ip的传输。
6、使用硬件屏蔽主机。设置好你的路由,确保ip地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
7、管理员定期用响应的ip包中获得一个rarp请求,然后检查ARP响应的真实性。
8、管理员定期轮询,检查主机上的ARP缓存。
9、使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。
解决方案:
1、针对中毒服务器
检查服务器是否中了ARP欺骗木马病毒
"CTRL"+"ALT"+"Delete"键打开"Windows任务管理器"窗口,查看有没有"MIR0.dat"的进程,如果有,表示中毒了,需要立即"结束该进程"。
其他变种要安装最新的杀毒软件或专杀工具查杀。
2、针对受影响服务器
检查局域网内感染ARP欺骗木马病毒的计算机
"开始"菜单"运行""cmd"打开MSDOS窗口,输入"ipconfig"获得"Default Gateway"默认网关。
继续执行命令"arp -a",查看默认网关IP对应的"Physical Address"值,在网络正常时这就是网关的正确物理地址,在网络受" ARP 欺骗"木马影响而不正常时,它就是木马所在计算机的网卡物理地址。也可以扫描本子网内的全部IP地址,然后再查ARP表。如果有一个 IP 对应的物理地址与网关的相同,那么这个IP地址和物理地址就是中毒计算机的IP地址和网卡物理地址。
安装一个arp防火墙也可以防.
可以用360安全卫士自带的ARP病毒防火墙。
ARP防火墙通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址,可以保障数据流向正确,不经过第三者,从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制,从而完美的解决上述所有问题。
ARP防火墙九大功能
1. 拦截ARP攻击。
(A) 在系统内核层拦截外部虚假ARP数据包,保障系统不受ARP欺骗、ARP攻击影响,保持网络畅通及通讯安全;
(B) 在系统内核层拦截本机对外的ARP攻击数据包,以减少感染恶意程序后对外攻击给用户带来的麻烦;
2. 拦截IP冲突。在系统内核层拦截IP冲突数据包,保障系统不受IP冲突攻击的影响;
3. Dos攻击抑制。在系统内核层拦截本机对外的TCP SYN/UDP/ICMP/ARP DoS攻击数据包,定位恶意发动DoS攻击的程序,从而保证网络的畅通;
4. 安全模式。除了网关外,不响应其它机器发送的ARP Request,达到隐身效果,减少受到ARP攻击的几率;
5. ARP数据分析。分析本机接收到的所有ARP数据包,掌握网络动态,找出潜在的攻击者或中毒的机器;
6. 监测ARP缓存。自动监测本机ARP缓存表,如发现网关MAC地址被恶意程序篡改,将报警并自动修复,以保持网络畅通及通讯安全;
7. 主动防御。主动与网关保持通讯,通告网关正确的MAC地址,以保持网络畅通及通讯安全;
8. 追踪攻击者。发现攻击行为后,自动快速锁定攻击者IP地址;
9. 查杀ARP病毒。发现本机有对外攻击行为时,自动定位本机感染的恶意程序、病毒程序;
3、针对网站访问者
网站访问者在网站解决ARP病毒前没有别的方式,但是如果非要访问该网站的话,千万不能执行下载安装任何插件ActiveX,并且可以把那个恶意网站加入Hosts文件。
查找系统的hosts文件所在目录,Windows 2003在%windir%\system32\drivers\etc\hosts目录下
首先查看源文件找到iframe嵌入的网站域名
在该文件中加入一行
127.0.0.1 xf.jebooo.com
如果hosts存取拒绝,可以
使用方法:
开始==》运行==》输入cmd后回车==》复制代码框内容到CMD窗口,回车执行。
attrib -r -a -s -h %windir%\system32\drivers\etc\hosts
去掉文件属性,然后再修改
临时解决办法:
css中加入:
iframe{v:expression(this.src='about:blank',this.outerHTML='');}
浙公网安备 33010602011771号