亚洲欧洲日韩一区二区三区,日韩在线免费高清视频,免费看成人吃奶视频在线

服務器ARP的欺騙攻擊與防范

題記：如果你是從搜索引擎搜到這里的，我相信你一定非常著急，廢話不多說，直入主題。其余感悟我挪到文章最后說。

我這里討論是盧松松博客最近被ARP攻擊的例子，煩死了。表現形式為網站被iframe掛馬，彈出大量色情網站，問題出現了11個小時，這11小時都在血淚的探索中解決。

血與淚的經驗：服務器ARP的欺騙攻擊與防范服務器網站安全經驗心得第1張

判斷ARP攻擊方法

一臺服務器幾乎所有網站打開網頁HTML都被自動加上如<iframe src=XXXX width=0 height=0>的iframe代碼，經檢查程序、JS、CSS的時間都沒有被修改。

這種樣式的代碼，有的在頭部，有的在尾部，部分殺毒軟件打開會報毒，打開HTML或ASP、PHP頁面，在源碼中怎么也找不到這段代碼。

首先你可以隨意建一個HTML文件上傳到服務器，通過網站打開，如發現這個文件加入了iframe代碼那說明中招了。

解決辦法

第一種方法：檢查IIS文檔頁腳

血與淚的經驗：服務器ARP的欺騙攻擊與防范服務器網站安全經驗心得第2張

注意紅框處，無特殊情況文檔頁腳是不會被啟用的，如果你看到這里勾選并指向了一個本地HTML文件，你可以打開指向本地文件查看是否為木馬病毒代碼。

第二種方法：檢查MetaBase.xml文件

MetaBase.xml是IIS里的一個配置文件，位置是：

C:\WINDOWS\system32\inetsrv\MetaBase.xml

檢查是否被添加上如下一段代碼：

AccessFlags="AccessRead | AccessScript"

AppFriendlyName="默認應用程序"

AppIsolated="2"

AppRoot="/LM/W3SVC/81120797/Root"

AuthFlags="AuthAnonymous | AuthNTLM"

DefaultDocFooter="FILE:C:\WINDOWS\system32\Com\iis.htm"

DefaultDocFooter=后面一般都是跟一個本地的文件，木馬病毒就在這里了，把這段刪除即可。

特別提示：MetaBase.xml無法直接修改，需要停止IIS服務才能修改，或者在IIS管理器中右擊本地計算機--選擇屬性，勾選"允許直接編輯配置數據庫"，這樣就可以在不停止IIS的情況下編輯metabase.xml文件。

第三種方法：檢查ISAPI篩選器

目前這些DLL加載的文件，任何一款殺毒軟件和殺木馬軟件還不能有效發現并殺掉，還得靠肉眼來實現。所以方法也很簡單：

打開IIS，右鍵點擊網站，屬性——找到ISAPI選項卡，檢查下里面是否多了一些陌生的DLL文件。如果有陌生的DLL刪除，重啟IIS即可。

血與淚的經驗：服務器ARP的欺騙攻擊與防范服務器網站安全經驗心得第3張

第四種方法：檢查global.asa木馬

先解釋一下這個代碼的作用：因為global.asa 文件是網站啟動的文件，當一個網站被用戶訪問的時候，會執行Application_Start代碼段的內容，當一個用戶第一次訪問時會執行Session_Start代碼段的內容，所以此段代碼的作用就是當訪問的時候自動下載獲取木馬內容，上面遇到的就是跳轉性作用的木馬代碼。

global.asa木馬一樣平常不會影響網站的正常運行，黑客一樣平常行使global.asa木馬不是為了來破壞網站的運行，他們與網站黑鏈類似，一樣平常是對網站的搜索引擎收錄產生特別很是惡劣的影響。常體現為搜索引擎收錄大量莫名其妙的網站題目，而這些題目絕對不是本身網站發布的內容，點擊鏈接進入的依然是本網站的頁面，但題目不同，點擊百度快照發現百度提醒：“對不起，您所查看的網頁不許可百度保存其快照，您可以直接訪問某某網址”，沒錯!這說明你的網站已經中招了!它的直接后果是網站在搜索引擎的排名降落或者徹底消散，緊張的還會讓訪問者在訪問你的網站的時候電腦中毒!

血與淚的經驗：服務器ARP的欺騙攻擊與防范服務器網站安全經驗心得第4張

global.asa這個文件一般是在根目錄下的，屬于系統文件只能在cmd命令下強制刪除。如果自己不會刪除的話你可以找自己的空間商讓他們給你刪除這個木馬。

特別提示：以上方法均不起作用

上面提到的這些防ARP攻擊的方法，都是從網上搜的，所有的方法起碼重復了三遍，但是問題依舊沒有解決，后面才知道，IFRAME被植入有兩種情況：

一、就是有人在你的IIS上動了手腳，方法查找被修改的配置文件，或直接重裝。

二、如果你重裝還是沒有解決，那就是ARP欺騙攻擊，和你同一個服務器的局域網段的其他服務器有問題，裝ARP防火墻和向網管反映這個情況。解決這個問題要使用排除法找到真正原因，對癥下藥：)

花了大量時間排查，整整耽誤了11個小時，后面才恍然大悟，原以為是自己服務器出問題了，沒想到是局域網段其他服務器的問題。后面裝了個360ARP防火墻才解決此問題。

擴展閱讀：

ARP欺騙原理：

在局域網中，通信前必須通過ARP協議來完成IP地址轉換為第二層物理地址(即MAC地址)。ARP協議對網絡安全具有重要的意義，但是當初ARP方式的設計沒有考慮到過多的安全問題，給ARP留下很多的隱患，ARP欺騙就是其中一個例子。而ARP欺騙攻擊就是利用該協議漏洞，通過偽造MAC地址實現ARP欺騙的攻擊技術。

在同一局域網內的電腦都是通過MAC地址進行通訊的。方法為，PC和另一臺設備通訊，PC會先尋找對方的IP地址，然后在通過ARP表(ARP表里面有所以可以通訊IP和IP所對應的MAC地址)調出相應的MAC地址。通過MAC地址與對方通訊。也就是說在內網中各設備互相尋找和用來通訊的地址是MAC地址，而不是IP地址。

網內的任何一臺機器都可以輕松的發送ARP廣播，來宣稱自己的IP和自己的MAC.這樣收到的機器都會在自己的ARP表格中建立一個他的ARP項，記錄他的IP和MAC地址。如果這個廣播是錯誤的其他機器也會接受。有了這個方法欺騙者只需要做一個軟件，就可以在局域網內進行ARP欺騙攻擊了。

ARP的發現：

ARP的通病就是掉線，在掉線的基礎上可以通過以下幾種方式判別，1.一般情況下不需要處理1分鐘之內就可以回復正常上網。因為ARP欺騙是由時限，過了期限就會自動的回復正常。而且現在大多數路由器都會在很短時間內不停廣播自己的正確ARP，使受騙的機器回復正常。但是如果出現攻擊性ARP欺騙(其實就是時間很短的量很大的欺騙ARP，1秒有個幾百上千的)，他是不斷的通過非常大量ARP欺騙來阻止內網機器上網，即使路由器不斷廣播正確的包也會被他大量的錯誤信息給淹沒。2.打開被騙機器的DOS界面，輸入ARP -A命令會看到相關的ARP表，通過看到的網關的MAC地址可以去判別是否出現ARP欺騙，但是由于時限性，這個工作必須在機器回復正常之前完成。如果出現欺騙問題，ARP表里面會出現錯誤的網關MAC地址，和真實的網關MAC一對黑白立分。

下面在談談幾款ARP防火墻的使用感受：

安全狗

我首先想到的是安全狗，在服務器這塊很出名，ARP攻擊后，我第一時間裝上了，這也是我悲催的開始。裝好軟件后，點“體檢”，當初我還以為是查到木馬了要重啟，結果服務器開不了機了，反反復復好幾次，我就意識到這不是殺毒呢，而是服務器關機了。

由于是周末，IDC值班人少，反復的關機、開機浪費了整整4個小時。最后才明白應該就是安全狗和服務器什么東西有沖突導致的。

網站地址：http://www.safedog.cn/

D盾

好幾個朋友向我推薦了D盾，尤其是他的Web查殺工具，這款工具能夠非常詳細的檢查每一個程序文件是否被掛馬。正是因為用了這款工具檢查后，我才意識到盧松松博客程序沒有問題，

網站地址：http://d99net.net/

360ARP防火墻

上面兩個都有ARP防火墻的，裝上之后發現沒一個管用的(也許是不會用的關系)，后面裝了360ARP之后，iframe掛馬立刻消失。為了確定到底能否使用，我反復啟動和關閉軟件幾次，可以確定360ARP確實起作用了。

通過追蹤ARP攻擊來源，發現是同局域網下另一臺服務器總是向我發送ARP欺騙請求，后面通過IP查到域名，通過域名找到了郵件，給她發了封郵件告訴她服務器被黑了。

盡管360口碑不是那么好，但它能解決問題，還是推薦一下360ARP：下載地址是：http://dl.360.cn/360AntiArp.exe

寫在最后：

說一千道一萬，還是服務器安全做的不到位，ZSX告訴我：你博客真遭人黑，通過日志查到了各種掃描器。

來源：盧松松博客

Public @ 2014-03-08 15:37:53

Categories

Tags

服務器ARP的欺騙攻擊與防范

網站被DDOS攻擊的防御方法

網站換域名注意事項

服務器ARP的欺騙攻擊與防范

關于網站、服務器受攻擊問題的相關說明

更多您感興趣的搜索

Categories

Tags

服務器ARP的欺騙攻擊與防范

網站被DDOS攻擊的防御方法

網站換域名注意事項

服務器ARP的欺騙攻擊與防范

關于網站、服務器受攻擊問題的相關說明

更多您感興趣的搜索

關于網站、服務器受攻擊問題的相關說明