ARP欺騙的惡意軟件_ARP原理

ARP欺騙是一種技術(shù)， 每一個(gè)安全顧問會嚇跑他們的客戶與作為一種手段來證明這一點(diǎn)沒有什么內(nèi)部的網(wǎng)絡(luò)是安全的從竊聽。 因此， 它是什么？ ARP欺騙， 也稱為ARP協(xié)議中毒， 是一種技術(shù)， 用來攻擊一個(gè)乙太網(wǎng)路。 它允許攻擊者嗅探數(shù)據(jù)幀在一個(gè)局域網(wǎng)（ LAN ） ， 修改交通， 或停止的交通完全。 一些值得一提的在這里從一開始， 這是沒有新的， ARP欺騙是人所共知和理解， 在安全共同體， 這種認(rèn)識已導(dǎo)致在技術(shù)， 正在開發(fā)， 以對付攻擊。 什么是新的， 不過， 是惡意軟體的作者看到了潛力， 這次襲擊和正在開始使用它。

它是什么？

首先什么是ARP協(xié)議， 它是地址解析協(xié)議（ ARP ） ， 它是一個(gè)標(biāo)準(zhǔn)的方式找到一個(gè)設(shè)備的硬件地址時(shí)， 只有網(wǎng)絡(luò)地址是眾所周知的。 這是不是一個(gè)僅限IP或以太網(wǎng)的唯一協(xié)議， 它可以用于許多其他的環(huán)境， 然而， 由于普遍存在的IP和以太網(wǎng)的環(huán)境， 它主要是用來翻譯IP地址以太網(wǎng)MAC地址。 你可以找到一個(gè)更詳細(xì)的說明整個(gè)議定書在這里。

該技術(shù)涉及發(fā)送假的或'欺騙性'的ARP訊息給以太網(wǎng)LAN 。 目的是有設(shè)備在網(wǎng)絡(luò)上副攻擊者的MAC地址與IP地址的另一個(gè)主機(jī)在網(wǎng)絡(luò)上， 轉(zhuǎn)移交通為目標(biāo)， 攻擊者的機(jī)器。 在許多情況下， 攻擊者將目標(biāo)特定服務(wù)或一塊網(wǎng)絡(luò)等基礎(chǔ)設(shè)施建設(shè)作為一個(gè)默認(rèn)網(wǎng)關(guān)或代理服務(wù)器。 如果成功的話， 任何交通的意思為有針對性的IP地址結(jié)束了在攻擊者的主機(jī)而不是。 然后， 攻擊者選擇前進(jìn)的交通， 以實(shí)際主機(jī)， 錄得的數(shù)據(jù)截獲或可能修改它。 ARP欺騙也可用于一個(gè)有效的拒絕服務(wù)攻擊的關(guān)聯(lián)， 不存在的MAC地址與目標(biāo)IP地址。

大多數(shù)人看到的風(fēng)險(xiǎn)由ARP欺騙作為其中的內(nèi)幕試圖嗅出登錄的細(xì)節(jié)， 或攔截網(wǎng)絡(luò)流量超過SSL的。 但是， 一些正在開始抬頭丑陋的小頭是惡意軟件的使用ARP欺騙作為一種手段來注入代碼到網(wǎng)站流量和妥協(xié)的用戶的登錄信息。

惡意軟件

在今年早些時(shí)候尼爾木匠在日志中約一事件， 他參與了與那里的一塊惡意軟件是使用ARP欺騙對網(wǎng)絡(luò)的客戶進(jìn)行攔截和修改Web交通插入一個(gè)惡意的iframe到每個(gè)網(wǎng)頁訪問。 在這方面， 例如惡意軟件將直接受害人的網(wǎng)頁， 利用ms07 - 017 ， 更好地稱為動畫cusor的脆弱性。 現(xiàn)在， 這是不是第一次了ARP欺騙一直使用的惡意軟件， 例如w32/snow.a用它來試圖拒絕服務(wù)攻擊在2006年年初。 最近， 在2007年10月， 中國互聯(lián)網(wǎng)安全應(yīng)急反應(yīng)小組（ cisrt ）報(bào)告說， 他們懷疑一個(gè)類似的攻擊已被用來妥協(xié)的用戶會話， 以他們的網(wǎng)站。

大約同一時(shí)候， 由于原本的博客張貼由Neil木匠， 視聽公司說， 一些所謂的w32.arpiframe ， 以簽名數(shù)據(jù)庫。 這一點(diǎn)的惡意軟件是否只是描述的是什么， 在博客， 和它幾乎一樣， 一塊惡意軟件可負(fù)責(zé)為打擊cisrt實(shí)際攻擊的方法是相同的， 但它在條款的URL注入內(nèi)部的IFRAME是不同的利用和使用作出妥協(xié)， 用戶系統(tǒng)， 這意味著有不同的變種浮動約目前正在更新和維持， 以避免檢測的反病毒軟件。

的可能性， 一個(gè)成功的ARP欺騙攻擊是顯著的， 其使用的注射液是有很大的潛力， 為進(jìn)一步的襲擊。 舉例來說， 您不僅可以注入任何HTML你喜歡到任何網(wǎng)頁的用戶下載， 但是您可能感染任何可執(zhí)行用戶的副本或下載網(wǎng)絡(luò)。 巴納杰克顯示， 整齊的伎倆與妥協(xié)D - Link公司路由器使用的固件在eusecwest在2006年允許注射液改性可執(zhí)行文件， 這種攻擊將提供一個(gè)理想的機(jī)制， 使這種風(fēng)格的注入任何下載與潛在的嚴(yán)重結(jié)果。

然后當(dāng)用于吸嗅天拿水無關(guān)是安全的在網(wǎng)絡(luò)上， 任何明確的文字登錄請求或會議令牌網(wǎng)絡(luò)發(fā)送的時(shí)機(jī)已經(jīng)成熟竊取。 經(jīng)典的男子在中東的攻擊可能會顧問警告SSL的會議是一種可能性， 因?yàn)槲覀兌贾�道�?只有一小數(shù)量的用戶， 其實(shí)檢查SSL證書警告之前， 迫切的'是' ， 讓方面， 他們都條件檢查小鎖， 因此， 假如你曾經(jīng)獲得之間的聯(lián)系， 他們和妥協(xié)的東道國所有ssl'd起來， 他們可能不會前往， 恕不另行通知。

然而， 這一切， 說有問題， ARP欺騙確有它的問題。 作為討論的， 它可以作為一個(gè)有效的拒絕服務(wù)， 如果一些餐廳了最終用戶往往會注意到它。 對大型網(wǎng)絡(luò)成功地企圖一ARP欺騙攻擊可能會造成很多交通的標(biāo)題， 通過一個(gè)主機(jī)， 它很可能導(dǎo)致大量的退化的表現(xiàn)， 東道國。 這種風(fēng)格的攻擊可能會有更多的成功， 一個(gè)規(guī)模較小的網(wǎng)絡(luò)環(huán)境。 在任何環(huán)境中與網(wǎng)絡(luò)交換設(shè)備的特點(diǎn)一樣， '港口安全'的地方， 在ARP欺騙攻擊是不可能工作的指示， 作為這些技術(shù)已經(jīng)開發(fā)， 以幫助解決這個(gè)眾所周知的問題。

國防

有各種方法防范ARP欺騙攻擊。 第一件事很明顯， 這是特定的惡意軟件使用此風(fēng)格的攻擊， 是要確保任何您下載掃描使用直至目前為止的反病毒掃描儀， 和該文件在您下載來自合法來源。

有沒有魔術(shù)子彈， 為ARP欺騙， 最好的防御是有靜態(tài)的ARP作品每一臺機(jī)器在網(wǎng)絡(luò)上。 可惜這是不實(shí)際的大多數(shù)企業(yè)環(huán)境。 因此， 作為一個(gè)結(jié)果， 有各種各樣的技術(shù)， 已經(jīng)開發(fā)， 以協(xié)助撲滅這一點(diǎn)。 第一， 這些技術(shù)是一些所謂的'港口安全' 。 港口安全是一件是部分的固件上運(yùn)行的網(wǎng)絡(luò)交換的基礎(chǔ)設(shè)施， 它的是它可以防止改變MAC地址表的切換， 這取決于執(zhí)行的固件還可以包括能力鎖定交換機(jī)端口， 如果它認(rèn)為太多的MAC地址就港口及如果MAC地址的頻繁更改。 這本身就是并不是萬靈丹所有， 但會妨礙一個(gè)ARP欺騙攻擊。

MAC地址克隆可以發(fā)現(xiàn)用一些所謂的rarp （反向ARP協(xié)議） ， 其中一系統(tǒng)將執(zhí)行查找一個(gè)已知的MAC地址， 并要求相關(guān)的IP地址。 如果請求得到多個(gè)機(jī)器的反應(yīng)， 為一個(gè)單一的MAC地址， 然后你可以有一個(gè)實(shí)例的Mac克隆， 可讓您偵測時(shí)， 一塊基礎(chǔ)設(shè)施一樣， 路由器或代理的對象是對網(wǎng)絡(luò)ARP欺騙。

有檢測技術(shù)， 如arpwatch監(jiān)測網(wǎng)絡(luò)的ARP請求的地址， 并會生成警報(bào)當(dāng)偵測到可疑的ARP流量， 并可能是最好的方法打擊ARP欺騙攻擊。 許多入侵檢測系統(tǒng)有相同的能力， 不過， 剛才有多少人實(shí)際執(zhí)行入侵檢測系統(tǒng)對內(nèi)部網(wǎng)絡(luò)？

結(jié)論

ARP欺騙是一種攻擊往往被低估， 但如果成功的話有深遠(yuǎn)的后果。 ARP欺騙的惡意軟件是一個(gè)日益嚴(yán)重的問題和惡意軟體的作者已開始實(shí)施這項(xiàng)技術(shù)， 以竊取信息和注入惡意的交通。 所以不要期望看到的威脅消失。

有技術(shù)有哪些可以抵御ARP欺騙攻擊， 但是他們往往是有限的， 以高端網(wǎng)絡(luò)基礎(chǔ)設(shè)施， 使保護(hù)將會失去達(dá)成的大多數(shù)家庭用戶和可能許多小型企業(yè)， 所以說， 高端市場的最佳國防部是直至目前為止病毒掃描和個(gè)人防火墻， 并設(shè)立靜態(tài)的ARP項(xiàng)目為您的路由器/防火墻和其他關(guān)鍵資源。 對企業(yè)而言， 實(shí)施港口安全跨越網(wǎng)絡(luò)交換的基礎(chǔ)設(shè)施是一個(gè)關(guān)鍵的辯護(hù)， 隨著實(shí)施ARP協(xié)議的監(jiān)測和檢測技術(shù)。

上面是電腦上網(wǎng)安全的一些基礎(chǔ)常識，學(xué)習(xí)了安全知識，幾乎可以讓你免費(fèi)電腦中毒的煩擾。