ARP掛馬的原理
ARP掛馬的原理
計(jì)算機(jī)木馬也發(fā)展的愈發(fā)強(qiáng)烈了,很多時(shí)候我們可能還用到他們,那么你們知道ARP掛馬的原理嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于ARP掛馬的原理的相關(guān)資料,供你參考。
什么是掛馬?
所謂的掛馬,就是黑客通過(guò)各種手段,包括SQL注入,網(wǎng)站敏感文件掃描,服務(wù)器漏洞,網(wǎng)站程序0day, 等各種方法獲得網(wǎng)站管理員賬號(hào),然后登陸網(wǎng)站后臺(tái),通過(guò)數(shù)據(jù)庫(kù)“備份/恢復(fù)”或者上傳漏洞獲得一個(gè)webshell。利用獲得的webshell修改網(wǎng)站頁(yè)面的內(nèi)容,向頁(yè)面中加入惡意轉(zhuǎn)向代碼。也可以直接通過(guò)弱口令獲得服務(wù)器或者網(wǎng)站FTP,然后直接對(duì)網(wǎng)站頁(yè)面直接進(jìn)行修改。當(dāng)你訪問(wèn)被加入惡意代碼的頁(yè)面時(shí),你就會(huì)自動(dòng)的訪問(wèn)被轉(zhuǎn)向的地址或者下載木馬病毒。
ARP掛馬的原理:
目的:通過(guò)arp欺騙來(lái)直接掛馬
優(yōu)點(diǎn):可以直接通過(guò)arp欺騙來(lái)掛馬.
通常的arp欺騙的攻擊方式是在同一vlan下,控制一臺(tái)主機(jī)來(lái)監(jiān)聽(tīng)密碼,或者結(jié)合ssh中間人攻擊來(lái)監(jiān)聽(tīng)ssh1的密碼.
但這樣存在局限性:
1.管理員經(jīng)常不登陸,那么要很久才能監(jiān)聽(tīng)到密碼
2.目標(biāo)主機(jī)只開(kāi)放了80端口,和一個(gè)管理端口,且80上只有靜態(tài)頁(yè)面,那么很難利用.而管理端口,如果是3389終端,或者是ssh2,那么非常難監(jiān)聽(tīng)到密碼.
優(yōu)點(diǎn):
1.可以不用獲得目標(biāo)主機(jī)的權(quán)限就可以直接在上面掛馬
2.非常隱蔽,不改動(dòng)任何目標(biāo)主機(jī)的頁(yè)面或者是配置,在網(wǎng)絡(luò)傳輸?shù)倪^(guò)程中間直接插入掛馬的語(yǔ)句.
3.可以最大化的利用arp欺騙,從而只要獲取一臺(tái)同一vlan下主機(jī)的控制權(quán),就可以最大化戰(zhàn)果.
原理:arp中間人攻擊,實(shí)際上相當(dāng)于做了一次代理。
正常時(shí)候: A---->B ,A是訪問(wèn)的正常客戶,B是要攻擊的服務(wù)器,C是被我們控制的主機(jī)
arp中間人攻擊時(shí)候: A---->C---->B
B---->C---->A
實(shí)際上,C在這里做了一次代理的作用
那么HTTP請(qǐng)求發(fā)過(guò)來(lái)的時(shí)候,C判斷下是哪個(gè)客戶端發(fā)過(guò)來(lái)的包,轉(zhuǎn)發(fā)給B,然后B返回HTTP響應(yīng)的時(shí)候,在HTTP響應(yīng)包中,插入一段掛馬的代碼,比如<iframe>...之類,再將修改過(guò)的包返回的正常的客戶A,就起到了一個(gè)掛馬的作用.在這個(gè)過(guò)程中,B是沒(méi)有任何感覺(jué)的,直接攻擊的是正常的客戶A,如果A是管理員或者是目標(biāo)單位,就直接掛上馬了.
什么是ARP?
地址解析協(xié)議,即ARP(Address Resolution Protocol),是根據(jù)IP地址獲取物理地址的一個(gè)TCP/IP協(xié)議。主機(jī)發(fā)送信息時(shí)將包含目標(biāo)IP地址的ARP請(qǐng)求廣播到網(wǎng)絡(luò)上的所有主機(jī),并接收返回消息,以此確定目標(biāo)的物理地址;收到返回消息后將該IP地址和物理地址存入本機(jī)ARP緩存中并保留一定時(shí)間,下次請(qǐng)求時(shí)直接查詢ARP緩存以節(jié)約資源。地址解析協(xié)議是建立在網(wǎng)絡(luò)中各個(gè)主機(jī)互相信任的基礎(chǔ)上的,網(wǎng)絡(luò)上的主機(jī)可以自主發(fā)送ARP應(yīng)答消息,其他主機(jī)收到應(yīng)答報(bào)文時(shí)不會(huì)檢測(cè)該報(bào)文的真實(shí)性就會(huì)將其記入本機(jī)ARP緩存;由此攻擊者就可以向某一主機(jī)發(fā)送偽ARP應(yīng)答報(bào)文,使其發(fā)送的信息無(wú)法到達(dá)預(yù)期的主機(jī)或到達(dá)錯(cuò)誤的主機(jī),這就構(gòu)成了一個(gè)ARP欺騙。ARP命令可用于查詢本機(jī)ARP緩存中IP地址和MAC地址的對(duì)應(yīng)關(guān)系、添加或刪除靜態(tài)對(duì)應(yīng)關(guān)系等。相關(guān)協(xié)議有RARP、代理ARP。NDP用于在IPv6中代替地址解析協(xié)議。
病毒傳播主要途徑有:瀏覽網(wǎng)頁(yè)、下載、局域網(wǎng)、U盤傳播等等。養(yǎng)成一個(gè)良好的上網(wǎng)習(xí)慣,殺毒軟件每天升級(jí)并且定期殺毒,局域網(wǎng)注意防護(hù)ARP病毒和蠕蟲病毒。用U盤拷貝東西的時(shí)候注意關(guān)閉自動(dòng)更新,不要雙擊打開(kāi)盤符,最好插入U(xiǎn)盤的時(shí)候先對(duì)U盤進(jìn)行殺毒,江民的KV2008不光有U盤盾技術(shù),還在軟件設(shè)置了保護(hù)密碼功能,里面就有移動(dòng)存儲(chǔ)設(shè)備控制這項(xiàng),設(shè)置了密碼之后插入U(xiǎn)盤的時(shí)候就會(huì)提示輸入密碼,可以防止亂插U盤和病毒的傳播。
假如已經(jīng)中了ARP病毒,下載一個(gè)ARP防火墻單機(jī)版,它采用全新系統(tǒng)內(nèi)核層攔截技術(shù),能徹底解決所有ARP攻擊帶來(lái)的問(wèn)題,能夠保證在受到ARP攻擊時(shí)網(wǎng)絡(luò)仍然正常,能徹底解決在受到攻擊時(shí)出現(xiàn)的丟包現(xiàn)象。能自動(dòng)攔截并防御各類ARP攻擊程序、ARP病毒、ARP木馬、通過(guò)智能分析抑制所有ARP惡意程序發(fā)送虛假數(shù)據(jù)包。自動(dòng)識(shí)別ARP攻擊數(shù)據(jù)類型:外部攻擊、IP沖突、對(duì)外攻擊數(shù)據(jù),并詳細(xì)記錄所有可疑數(shù)據(jù)包并追蹤攻擊者,軟件能自動(dòng)統(tǒng)計(jì)ARP廣播包發(fā)送接受數(shù)量。如果安裝有江民KV2008的防火墻的話,只要開(kāi)啟防御ARP功能,也可以通過(guò)可疑通訊找到中毒機(jī)器,之后去進(jìn)行單獨(dú)殺毒處理。
看過(guò)文章“ARP掛馬的原理"的人還看了:
5.關(guān)于下一代遠(yuǎn)程控制木馬的思路探討