谁动了我的网页后续之 ARP挂马
作者:Jason Zhou 发布时间:2008-10-16 15:04:00
本文介绍的将是一种“奇特”的挂马方式:ARP挂马。
与前文介绍的服务器端网站挂马方式不同的是,ARP挂马并不是针对网站服务器端,也就是说,ARP挂马并没有入侵网站服务器,对网站的网页文件做出实质上的修改。这时也许你就会想,肯定是客户端那里中病毒了。不一定!ARP挂马的奇怪之处就在于:网站本身没有被修改,正在浏览该网站的客户机也没有感染病毒,但是用户正在浏览的网页却是被挂马的。
这就是ARP病毒在作祟。
让我们先来简单普及一下ARP的概念。
ISO将整个计算机网络通信功能划分为7个层次:
第七层 应用层
第六层 表示层
第五层 会话层
第四层 传输层
第三层 网络层
第二层 数据链路层
第一层 物理层
地址解析协议(Address Resolution Protocol,ARP)具体说来就是将网络层(IP层)地址解析为数据链路层(MAC层)的MAC地址。为什么要这样转换呢?因为局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。
比如vlan中有两台机器A(192.168.1.2)、B(192.168.1.3)。
计算机A是如何得知B的MAC地址的呢?就是通过ARP协议。
在A不知道B的MAC地址的情况下,A就广播一个ARP请求包,请求包中填有B的IP(192.168.1.3),vlan的所有计算机都会接收这个请求,而正常的情况下只有B会给出ARP应答包,包中就填充上了B的MAC地址,并回复给A。
A得到ARP应答后,将B的MAC地址放入本机缓存。但是MAC缓存是有生存周期的,生存周期到了之后后,就又会发广播包,即重复上面的过程。——因此可以预想,ARP病毒肯定是一直循环发送广播包,用来更新客户机的ARP缓存表的。
这属于Ask-Answer模式,当然,ARP协议并不只在发送了ARP请求才接收ARP应答。只要计算机接收到ARP应答数据包,就会对本地的ARP缓存进行更新,将应答中的IP和 MAC地址存储在ARP缓存中。注意,ARP病毒正是利用了这种原理,当局域网中的某台机器B向A发送一个自己伪造的ARP应答,而如果这个应答是B冒充C伪造来的,即IP地址为C的 IP,而MAC地址是伪造的,则当A接收到B伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址已经不是原来那个了。如果这个MAC是不存在的,就会造成网络不通,导致A不能Ping通C!这就是一个简单的ARP欺骗。
所以,大家可以设想,如果B发送的欺骗包 是用来修改客户机的ARP缓存吧里的“网关的MAC地址”的,那会带来什么后果。
我们假设B中了ARP病毒,因此向局域网内所有机器发送广播包,告诉这些机器,网关的MAC地址是B的MAC,那么vlan里所有机器在访问Internet时:
(1)http请求的数据包首先都会到达B那里,B的病毒逻辑模块会判断是哪个客户端发过来的包,转然后再转给原先的网关,与Internet通信;
(2)原先的网关给B返回HTTP响应的时候,B的病毒逻辑模块在HTTP响应包中,插入一段挂马的代码,比如 《iframe》。。.之类,再将修改过的包返回的正常的客户。
这样就达到了一个挂马的目的。在这个过程中,网站本身是没有被修改的,只不过客户机发给网站的HTTP请求被B截获,然后B对网站返回的响应做了修改。所以客户收到的http响应就是恶意的了。
所以大家现在就清楚了,为什么网站没被挂马,客户机也没中毒,为什么访问的网页却是被挂了马的呢?对了,就是因为客户机所在的vlan里有机器中了ARP挂马病毒。
说到ARP挂马病毒,当然要提到前段时间鼎鼎大名的“磁碟机”病毒了。
那么如何找到ARP病毒所在的机器,以及如何对付ARP挂马病毒呢。
1·关于查找,由于病毒所在机器会一直发送更新网关MAC地址的广播包,用来更新客户机的ARP缓存,所以只要在 “ARP缓存表已被修改”的机器上,用arp命令就可以看出哪台机器冒充了网关——比如,有两台机器的MAC地址一样,但是你知道哪个IP是网关,那么另一个IP对应的机器就是中毒机器了。
2·关于预防,最直接的方法就是“实现本机与网关的双向绑定”,请注意要双向绑定。用的命令是arp -s。比如在客户机:arp -s [网关IP] [网关MAC],在网关就arp -s [客户机IP] [客户机MAC]。
当然也可以使用ARP防火墙,但是目前市面上很多的ARP防火墙功能都只能起到暂时保护作用。那该怎么办呢——用好的杀毒软件,并及时更新病毒码。既然不能把挂马包在http响应中去除,那如果挂马包链接的是病毒,杀毒软件就可以在该病毒尝试入侵计算机的时候,将该病毒挡在门外。趋势科技还有一个存储了大量网址信息的数据库,如果挂马的链接在该数据库标志为恶意,那么在部署了趋势科技安全方案的客户机里,该链接就会直接失效,这就是一个更主动防御的方法了。
3·当然,就算杀毒软件将挂马病毒挡在门外了,但是vlan里面的流量还是比以前多了很多,所以很多客户机会感到网速变慢。所以,争取不让病毒进入vlan,做到vlan的完善管理也是需要下大工夫的地方。
![](https://www.aspxhome.com/images/zang.png)
![](https://www.aspxhome.com/images/jiucuo.png)
猜你喜欢
- http_load介绍:http_load基于linux平台的一种性能测工具。以并行复用的方式运行,用以测试web服务器的吞吐量与负载,测试
- 北京时间7月18日消息:去年8月,搜狐IT曾经报道微软正在研发和AdSense竞争的上下文广告系统。一年之后,系统接近杀青,微软最近开始小范
- 我们知道VMware也分几种版本,普通用户最常用的就是Workstation,但是不管使用哪种版本,我们都能发现在安装过程中让我们选择 网络
- dedecms默认在列表是无法调用tag标签的,经过各位版主们的帮助,现给大家提供出种方法方法1:在列表需要的位置加入下列代码[field:
- Google AdSense英文关键词价格要远远高于中文关键词,初略观察,有实力的同学,做英文站也许是这个经济形式下的一个不错的选择。并不是
- 当前国内B2B电子商务模式包括两种类型,一种是第三方电子商务平台,我国中小企业有4000多万,由于中小企业自身条件的限制,拥有网站的只有不到
- 据《纽约时报》5月5日报道,在微软上周末忽然宣布放弃收购雅虎后,外界对收购失败原因议论纷纷。相关各方对这次交易失败各有理由,雅虎联合创始人、
- 报告称三分之一美国网民浏览YouTube网站,惊人的数字不是吗?全球互联网的风向标就在美国,web2.0在国内的盛行来源于其在美国的风光。2
- 网络赚钱的方法很多。目前,Google Adsense是多数人最佳的选择。一些基本的优化技巧可以使您的Google Adsense收入翻倍。
- Discuz!NT即将推出最新的版本。从官方了解到,作为康盛创想(Comsenz)旗下的核心产品,Discuz! NT 3.0将携带四大功能
- 1.思维导图2.如何搭建一个容器2.1 准备实验环境(1)环境选择管理工具:docker engine,因为Docker最流行使用最广泛;r
- 上次写了篇《支付宝购买godaddy域名实测 全程图文解说 》后,就有朋友问我,他想在自己的淘宝店或者QQ空间绑域名,但是GODADDY不提
- 站长朋友都知道,一个个人博客,要宣传推广是较难的,要树立自己的品牌更加不容易。我的博客建设四个多月来,二个月时PR就由0上升为2。流量稳定上
- 本文介绍了Centos6.9安装vsftpd并配置多用户的方法,分享给大家,具体如下:一、安装vsftpd#安装vsftpdyum -y i
- 我们说的正文是指<body></body>中的内容,在SEO中该位置相对于<title>&l
- 一、SEO的工作原理一谈到SEO, 许多不是非常了解SEO的朋友容易想把它和“作弊”这个词扯到一块儿
- 本文讲解如何制作自己的tomcat镜像,并使用tomcat部署项目原料准备:tomcat、jdk安装包,dockerfile文件步骤1、准备
- 什么是NFS?network file system 网络文件系统通过网络存储和组织文件的一种方法或机制。为什么要用NFS?前端所有的应用服
- LAMP框架是当前软件开发的一种重要模式,LAMP中的L代表开源的操作系统Linux,A代表最著名的WWW服务器,也是开源软件的Apache
- 1 Vinton Cerf :号称互联网之父,TCIP/IP协议和互联网架构的合作设计者.他05年10月3日开始正式为Google工作,职位