目的:通过arp欺骗来直接挂马
优点:可以直接通过arp欺骗来挂马.
通常的arp欺骗的攻击方式是在同一vlan下,控制一台主机来监听密码,或者结合ssh中间人攻击来监听ssh1的密码.
但这样存在局限性:
1.管理员经常不登陆,那么要很久才能监听到密码
2.目标主机只开放了80端口,和一个管理端口,且80上只有静态页面,那么很难利用.而管理端口,如果是3389终端,或者是ssh2,那么非常难监听到密码.
优点:
1.可以不用获得目标主机的权限就可以直接在上面挂马
2.非常隐蔽,不改动任何目标主机的页面或者是配置,在网络传输的过程中间直接插入挂马的语句.
3.可以最大化的利用arp欺骗,从而只要获取一台同一vlan下主机的控制权,就可以最大化战果.
原理:arp中间人攻击,实际上相当于做了一次代理。
正常时候: A---->B ,A是访问的正常客户,B是要攻击的服务器,C是被我们控制的主机
arp中间人攻击时候: A---->C---->B
B---->C---->A
实际上,C在这里做了一次代理的作用
那么HTTP请求发过来的时候,C判断下是哪个客户端发过来的包,转发给B,然后B返回HTTP响应的时候,在HTTP响应包中,插入一段挂马的代码,比如<iframe>...之类,再将修改过的包返回的正常的客户A,就起到了一个挂马的作用.在这个过程中,B是没有任何感觉的,直接攻击的是正常的客户A,如果A是管理员或者是目标单位,就直接挂上马了.
什么是ARP?
英文原义:Address Resolution Protocol
中文释义:(RFC-826)地址解析协议 局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。所谓“地址解析”就是主机在
发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址以保证通信的顺利进行。
注解:简单地说,ARP协议主要负责将局域网中的32为IP地址转换为对应的48位物理地址,即网卡的MAC地址,比如IP地址为192.168.0.1网卡MAC地址为00-03-0F-FD-1D-2B。整个转换过程是一台主机先向目标主机发送包含IP地址信息的广播数据包,即ARP请求,然后目标主机向该主机发送一个含有IP地址和MAC地址数据包,通过MAC地址两个主机就可以实现数据传输了。
应用:在安装了以太网网络适配器的计算机中都有专门的ARP缓存,包含一个或多个表,用于保存IP地址以及经过解析的MAC地址。在Windows中要查看或者修改ARP缓存中的信息,可以使用arp命令来完成,比如在Windows XP的命令提示符窗口中键入“arp -a”或“arp -g”可以查看ARP缓存中的内容;键入“arp -d IPaddress”表示删除指定的IP地址项(IPaddress表示IP地址)。arp命令的其他用法可以键入“arp /?”查看到。
最好的解决方式还是联系机房管理员 要求 mac-ip 做静态绑定。
病毒传播主要途径有:浏览网页、下载、局域网、U盘传播等等。养成一个良好的上网习惯,杀毒软件每天升级并且定期杀毒,局域网注意防护ARP病毒和蠕虫病毒。用U盘拷贝东西的时候注意关闭自动更新,不要双击打开盘符,最好插入U盘的时候先对U盘进行杀毒,江民的KV2008不光有U盘盾技术,还在软件设置了保护密码功能,里面就有移动存储设备控制这项,设置了密码之后插入U盘的时候就会提示输入密码,可以防止乱插U盘和病毒的传播。
假如已经中了ARP病毒,下载一个ARP防火墙单机版,它采用全新系统内核层拦截技术,能彻底解决所有ARP攻击带来的问题,能够保证在受到ARP攻击时网络仍然正常,能彻底解决在受到攻击时出现的丢包现象。能自动拦截并防御各类ARP攻击程序、ARP病毒、ARP木马、通过智能分析抑制所有ARP恶意程序发送虚假数据包。自动识别ARP攻击数据类型:外部攻击、IP冲突、对外攻击数据,并详细记录所有可疑数据包并追踪攻击者,软件能自动统计ARP广播包发送接受数量。如果安装有江民KV2008的防火墙的话,只要开启防御ARP功能,也可以通过可疑通讯找到中毒机器,之后去进行单独杀毒处理。