无忧启动论坛

标题: 我和ARP欺骗攻击过招 [打印本页]
作者: lvyanan    时间: 2008-1-9 21:13
标题: 我和ARP欺骗攻击过招
一早上班就发现上网速度明显慢了,打开自己网站的网页,总是弹出个不良网页,首先想到的是网站被黑?经检查发现服务器上的网页脚本与我主机上收到的脚本不一样,我收到的脚本头部多了一个网址,百思不得其解,后来发现每打开一个其它网站的网页均有此网页弹出,这才想到了网关欺骗,用ARP -a命令一查看,果然有ARP欺骗存在,正是这个实施ARP欺骗的主机在充当中间人角色,修改了别人请求打开网页的数据包,加入了其欲作广告的网站网址。但那么多机器到底是哪台在作怪呢?我从网上下了个Anti ARP Sniffer软件,用其Scan MAC工具扫描了一遍,发现一台主机MAC地址和伪装的假网关MAC相同,根据其对应的IP地址,很快就把实施攻击的主机给揪出来了,用此方法连续找到两台中有此病毒的主机,杀毒软件无法清除干净,为了保障全网运行顺畅,只好令机主重装系统,攻击就此解除,网络恢复正常。希望我的经历能给大家提供一点启发。
附上Anti ARP Sniffer下载地址:
http://www.fs2you.com/zh-cn/files/915646ca-bda7-11dc-93b5-0014221f3995
我所理解的ARP欺骗原理:
实施网关ARP欺骗的主机,所收到的数据包都是访问外网的包,因为被骗主机把它当作网关来对待了。假网关主机通常直接转发几乎所有TCP包到真实网关,由于没有修改数据包源地址,返回的数据包将从真实网关直接回到原来请求访问外网的主机,从而实现正常的网络访问,但是假网关主机针对那些访问外网网站的初始连接包实施拦截——通过包头上的80端口号和SNY标志来识别,修改该包的源地址为假网关主机的IP地址,然后发出去实施连接,使返回的的数据包能回到假网关主机,建立连接后,将收到的第一个数据传送包打开,在传过来的网页脚本头部加上欲附加的网络访问地址或有害代码,然后重组数据包发往受骗主机,从而实现挂接广告牟利和其他不可告人的目的。对于被访问网站的后续数据包则不进行拦截操作,直接转发,以减轻假网关主机的负担。在这种情况下,内网所有主机只要请求打开任何一个网页,均会被假网关插入一个特定的表现行为在其中,后果可想而知。

[ 本帖最后由 lvyanan 于 2008-1-12 08:20 PM 编辑 ]
作者: 无翼鸟2    时间: 2008-1-9 22:23
不怎么好用啊,反正我用瑞星墙也抵挡了不少呢
作者: kangyi    时间: 2008-1-9 22:33
学习了,原来接受到带iframe病毒的网页不一定是网站那里有毒,而是自己局域网方面出了问题

打开这种病毒网页的前提是有一个局域网环境,不知这么推理合适不
作者: 寒松飞雪    时间: 2008-1-10 08:25
原帖由 kangyi 于 2008-1-9 06:33 PM 发表
学习了,原来接受到带iframe病毒的网页不一定是网站那里有毒,而是自己局域网方面出了问题

打开这种病毒网页的前提是有一个局域网环境,不知这么推理合适不

我赞同你滴想法。
作者: diaoette    时间: 2008-1-10 08:41
偶有防火墙挡住,不怕
作者: lvyanan    时间: 2008-1-10 09:32
标题: 回复 #2 无翼鸟2 的帖子
这个病毒当时的瑞星发现不了,根本无法清除。
作者: lvyanan    时间: 2008-1-10 09:35
标题: 回复 #6 diaoette 的帖子
病毒并不一定感染你的主机,但可以影响你上网打开的内容,强制你打开你不愿看到的网页,这不是防火墙可以阻挡得了的。
作者: lvyanan    时间: 2008-1-10 09:51
原帖由 kangyi 于 2008-1-9 10:33 PM 发表
学习了,原来接受到带iframe病毒的网页不一定是网站那里有毒,而是自己局域网方面出了问题

打开这种病毒网页的前提是有一个局域网环境,不知这么推理合适不

实施网关ARP欺骗的主机,所收到的数据包都是访问外网的包,因为被骗主机把它当作网关来对待了。假网关主机通常直接转发几乎所有TCP包到真实网关,由于没有修改数据包源地址,返回的数据包将从真实网关直接回到原来请求访问外网的主机,从而实现正常的网络访问,但是假网关主机针对那些访问外网网站的初始连接包实施拦截——通过包头上的80端口号和SNY标志来识别,修改该包的源地址为假网关主机的IP地址,然后发出去实施连接,使返回的的数据包能回到假网关主机,建立连接后,将收到的第一个数据传送包打开,在传过来的网页脚本头部加上欲附加的网络访问地址或有害代码,然后重组数据包发往受骗主机,从而实现挂接广告牟利和其他不可告人的目的。对于被访问网站的后续数据包则不进行拦截操作,直接转发,以减轻假网关主机的负担。在这种情况下,内网所有主机只要请求打开任何一个网页,均会被假网关插入一个特定的表现行为在其中,后果可想而知。

[ 本帖最后由 lvyanan 于 2008-1-10 09:56 AM 编辑 ]
作者: lvyanan    时间: 2008-1-14 09:50
标题: 回复 #5 diaoette 的帖子
ARP欺骗攻击不是通常意义上的进入你的主机来起作用,它是用网关欺骗、中间人截包改包等方法来对你的主机进行攻击,其起的作用与你主机有没有防火墙和杀毒软件无关,因为它们根本拦截不了这种攻击。
作者: zgzxp    时间: 2008-1-14 19:59
原帖由 lvyanan 于 2008-1-14 09:50 AM 发表
ARP欺骗攻击不是通常意义上的进入你的主机来起作用,它是用网关欺骗、中间人截包改包等方法来对你的主机进行攻击,其起的作用与你主机有没有防火墙和杀毒软件无关,因为它们根本拦截不了这种攻击。



如果只响应网关MAC应该可以哦
作者: lvyanan    时间: 2008-1-15 08:46
标题: 回复 #10 zgzxp 的帖子
如果能保持本机缓冲区内网关MAC不变,即始终保持为真网关的MAC地址就可以,要编一个程序来监视网关MAC,发现其与原设值不同时,立即刷新就可以抗ARP攻击了。
作者: renmingwu    时间: 2008-1-18 10:13
提示: 作者被禁止或删除 内容自动屏蔽



欢迎光临 无忧启动论坛 (http://bbs.wuyou.net/) Powered by Discuz! X3.3