设为首页收藏本站
开启辅助访问 切换到宽版

无忧启动论坛

 找回密码
 注册
搜索
无忧启动论坛»论坛 ::数码生活:: Windows技术讨论区 我和ARP欺骗攻击过招
系统gho:最纯净好用系统下载站投放广告、加入VIP会员,请联系 微信:wuyouceo
返回列表 发新帖
查看: 3948|回复: 11
打印 上一主题 下一主题

我和ARP欺骗攻击过招

[复制链接]
跳转到指定楼层
1#
发表于 2008-1-9 21:13:51 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
加入VIP会员,获无忧币,赠积分,送勋章,下载无限制,获论坛最高级会员权限 !
一早上班就发现上网速度明显慢了,打开自己网站的网页,总是弹出个不良网页,首先想到的是网站被黑?经检查发现服务器上的网页脚本与我主机上收到的脚本不一样,我收到的脚本头部多了一个网址,百思不得其解,后来发现每打开一个其它网站的网页均有此网页弹出,这才想到了网关欺骗,用ARP -a命令一查看,果然有ARP欺骗存在,正是这个实施ARP欺骗的主机在充当中间人角色,修改了别人请求打开网页的数据包,加入了其欲作广告的网站网址。但那么多机器到底是哪台在作怪呢?我从网上下了个Anti ARP Sniffer软件,用其Scan MAC工具扫描了一遍,发现一台主机MAC地址和伪装的假网关MAC相同,根据其对应的IP地址,很快就把实施攻击的主机给揪出来了,用此方法连续找到两台中有此病毒的主机,杀毒软件无法清除干净,为了保障全网运行顺畅,只好令机主重装系统,攻击就此解除,网络恢复正常。希望我的经历能给大家提供一点启发。
附上Anti ARP Sniffer下载地址:
http://www.fs2you.com/zh-cn/files/915646ca-bda7-11dc-93b5-0014221f3995
我所理解的ARP欺骗原理:
实施网关ARP欺骗的主机,所收到的数据包都是访问外网的包,因为被骗主机把它当作网关来对待了。假网关主机通常直接转发几乎所有TCP包到真实网关,由于没有修改数据包源地址,返回的数据包将从真实网关直接回到原来请求访问外网的主机,从而实现正常的网络访问,但是假网关主机针对那些访问外网网站的初始连接包实施拦截——通过包头上的80端口号和SNY标志来识别,修改该包的源地址为假网关主机的IP地址,然后发出去实施连接,使返回的的数据包能回到假网关主机,建立连接后,将收到的第一个数据传送包打开,在传过来的网页脚本头部加上欲附加的网络访问地址或有害代码,然后重组数据包发往受骗主机,从而实现挂接广告牟利和其他不可告人的目的。对于被访问网站的后续数据包则不进行拦截操作,直接转发,以减轻假网关主机的负担。在这种情况下,内网所有主机只要请求打开任何一个网页,均会被假网关插入一个特定的表现行为在其中,后果可想而知。

[ 本帖最后由 lvyanan 于 2008-1-12 08:20 PM 编辑 ]
回复

使用道具 举报

2#
发表于 2008-1-9 22:23:12 | 只看该作者
不怎么好用啊,反正我用瑞星墙也抵挡了不少呢
回复

使用道具 举报

kangyi
3#
发表于 2008-1-9 22:33:34 | 只看该作者
学习了,原来接受到带iframe病毒的网页不一定是网站那里有毒,而是自己局域网方面出了问题

打开这种病毒网页的前提是有一个局域网环境,不知这么推理合适不
回复

使用道具 举报

4#
发表于 2008-1-10 08:25:29 | 只看该作者
原帖由 kangyi 于 2008-1-9 06:33 PM 发表
学习了,原来接受到带iframe病毒的网页不一定是网站那里有毒,而是自己局域网方面出了问题

打开这种病毒网页的前提是有一个局域网环境,不知这么推理合适不

我赞同你滴想法。
回复

使用道具 举报

5#
发表于 2008-1-10 08:41:02 | 只看该作者
偶有防火墙挡住,不怕
回复

使用道具 举报

6#
 楼主| 发表于 2008-1-10 09:32:06 | 只看该作者

回复 #2 无翼鸟2 的帖子

这个病毒当时的瑞星发现不了,根本无法清除。
回复

使用道具 举报

7#
 楼主| 发表于 2008-1-10 09:35:04 | 只看该作者

回复 #6 diaoette 的帖子

病毒并不一定感染你的主机,但可以影响你上网打开的内容,强制你打开你不愿看到的网页,这不是防火墙可以阻挡得了的。
回复

使用道具 举报

8#
 楼主| 发表于 2008-1-10 09:51:53 | 只看该作者
原帖由 kangyi 于 2008-1-9 10:33 PM 发表
学习了,原来接受到带iframe病毒的网页不一定是网站那里有毒,而是自己局域网方面出了问题

打开这种病毒网页的前提是有一个局域网环境,不知这么推理合适不

实施网关ARP欺骗的主机,所收到的数据包都是访问外网的包,因为被骗主机把它当作网关来对待了。假网关主机通常直接转发几乎所有TCP包到真实网关,由于没有修改数据包源地址,返回的数据包将从真实网关直接回到原来请求访问外网的主机,从而实现正常的网络访问,但是假网关主机针对那些访问外网网站的初始连接包实施拦截——通过包头上的80端口号和SNY标志来识别,修改该包的源地址为假网关主机的IP地址,然后发出去实施连接,使返回的的数据包能回到假网关主机,建立连接后,将收到的第一个数据传送包打开,在传过来的网页脚本头部加上欲附加的网络访问地址或有害代码,然后重组数据包发往受骗主机,从而实现挂接广告牟利和其他不可告人的目的。对于被访问网站的后续数据包则不进行拦截操作,直接转发,以减轻假网关主机的负担。在这种情况下,内网所有主机只要请求打开任何一个网页,均会被假网关插入一个特定的表现行为在其中,后果可想而知。

[ 本帖最后由 lvyanan 于 2008-1-10 09:56 AM 编辑 ]
回复

使用道具 举报

9#
 楼主| 发表于 2008-1-14 09:50:21 | 只看该作者

回复 #5 diaoette 的帖子

ARP欺骗攻击不是通常意义上的进入你的主机来起作用,它是用网关欺骗、中间人截包改包等方法来对你的主机进行攻击,其起的作用与你主机有没有防火墙和杀毒软件无关,因为它们根本拦截不了这种攻击。
回复

使用道具 举报

zgzxp
10#
发表于 2008-1-14 19:59:39 | 只看该作者
原帖由 lvyanan 于 2008-1-14 09:50 AM 发表
ARP欺骗攻击不是通常意义上的进入你的主机来起作用,它是用网关欺骗、中间人截包改包等方法来对你的主机进行攻击,其起的作用与你主机有没有防火墙和杀毒软件无关,因为它们根本拦截不了这种攻击。



如果只响应网关MAC应该可以哦
回复

使用道具 举报

11#
 楼主| 发表于 2008-1-15 08:46:23 | 只看该作者

回复 #10 zgzxp 的帖子

如果能保持本机缓冲区内网关MAC不变,即始终保持为真网关的MAC地址就可以,要编一个程序来监视网关MAC,发现其与原设值不同时,立即刷新就可以抗ARP攻击了。
回复

使用道具 举报

12#
发表于 2008-1-18 10:13:35 | 只看该作者
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2025-12-23 16:55

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表