ARP掛馬的原理

　　計(jì)算機(jī)木馬也發(fā)展的愈發(fā)強(qiáng)烈了，很多時(shí)候我們可能還用到他們，那么你們知道ARP掛馬的原理嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于ARP掛馬的原理的相關(guān)資料，供你參考。

　　什么是掛馬?

　　所謂的掛馬，就是黑客通過(guò)各種手段，包括SQL注入，網(wǎng)站敏感文件掃描，服務(wù)器漏洞，網(wǎng)站程序0day, 等各種方法獲得網(wǎng)站管理員賬號(hào)，然后登陸網(wǎng)站后臺(tái)，通過(guò)數(shù)據(jù)庫(kù)“備份/恢復(fù)”或者上傳漏洞獲得一個(gè)webshell。利用獲得的webshell修改網(wǎng)站頁(yè)面的內(nèi)容，向頁(yè)面中加入惡意轉(zhuǎn)向代碼。也可以直接通過(guò)弱口令獲得服務(wù)器或者網(wǎng)站FTP，然后直接對(duì)網(wǎng)站頁(yè)面直接進(jìn)行修改。當(dāng)你訪問(wèn)被加入惡意代碼的頁(yè)面時(shí)，你就會(huì)自動(dòng)的訪問(wèn)被轉(zhuǎn)向的地址或者下載木馬病毒。

　　ARP掛馬的原理：

　　目的：通過(guò)arp欺騙來(lái)直接掛馬

　　優(yōu)點(diǎn):可以直接通過(guò)arp欺騙來(lái)掛馬.

　　通常的arp欺騙的攻擊方式是在同一vlan下,控制一臺(tái)主機(jī)來(lái)監(jiān)聽(tīng)密碼,或者結(jié)合ssh中間人攻擊來(lái)監(jiān)聽(tīng)ssh1的密碼.

　　但這樣存在局限性:

　　1.管理員經(jīng)常不登陸,那么要很久才能監(jiān)聽(tīng)到密碼

　　2.目標(biāo)主機(jī)只開(kāi)放了80端口,和一個(gè)管理端口,且80上只有靜態(tài)頁(yè)面,那么很難利用.而管理端口,如果是3389終端,或者是ssh2,那么非常難監(jiān)聽(tīng)到密碼.

　　優(yōu)點(diǎn):

　　1.可以不用獲得目標(biāo)主機(jī)的權(quán)限就可以直接在上面掛馬

　　2.非常隱蔽,不改動(dòng)任何目標(biāo)主機(jī)的頁(yè)面或者是配置,在網(wǎng)絡(luò)傳輸?shù)倪^(guò)程中間直接插入掛馬的語(yǔ)句.

　　3.可以最大化的利用arp欺騙,從而只要獲取一臺(tái)同一vlan下主機(jī)的控制權(quán),就可以最大化戰(zhàn)果.

　　原理：arp中間人攻擊，實(shí)際上相當(dāng)于做了一次代理。

　　正常時(shí)候: A---->B ,A是訪問(wèn)的正常客戶,B是要攻擊的服務(wù)器,C是被我們控制的主機(jī)

　　arp中間人攻擊時(shí)候: A---->C---->B

　　B---->C---->A

　　實(shí)際上,C在這里做了一次代理的作用

　　那么HTTP請(qǐng)求發(fā)過(guò)來(lái)的時(shí)候,C判斷下是哪個(gè)客戶端發(fā)過(guò)來(lái)的包,轉(zhuǎn)發(fā)給B,然后B返回HTTP響應(yīng)的時(shí)候,在HTTP響應(yīng)包中,插入一段掛馬的代碼,比如<iframe>...之類,再將修改過(guò)的包返回的正常的客戶A,就起到了一個(gè)掛馬的作用.在這個(gè)過(guò)程中,B是沒(méi)有任何感覺(jué)的,直接攻擊的是正常的客戶A,如果A是管理員或者是目標(biāo)單位,就直接掛上馬了.

　　什么是ARP?

　　地址解析協(xié)議，即ARP(Address Resolution Protocol)，是根據(jù)IP地址獲取物理地址的一個(gè)TCP/IP協(xié)議。主機(jī)發(fā)送信息時(shí)將包含目標(biāo)IP地址的ARP請(qǐng)求廣播到網(wǎng)絡(luò)上的所有主機(jī)，并接收返回消息，以此確定目標(biāo)的物理地址;收到返回消息后將該IP地址和物理地址存入本機(jī)ARP緩存中并保留一定時(shí)間，下次請(qǐng)求時(shí)直接查詢ARP緩存以節(jié)約資源。地址解析協(xié)議是建立在網(wǎng)絡(luò)中各個(gè)主機(jī)互相信任的基礎(chǔ)上的，網(wǎng)絡(luò)上的主機(jī)可以自主發(fā)送ARP應(yīng)答消息，其他主機(jī)收到應(yīng)答報(bào)文時(shí)不會(huì)檢測(cè)該報(bào)文的真實(shí)性就會(huì)將其記入本機(jī)ARP緩存;由此攻擊者就可以向某一主機(jī)發(fā)送偽ARP應(yīng)答報(bào)文，使其發(fā)送的信息無(wú)法到達(dá)預(yù)期的主機(jī)或到達(dá)錯(cuò)誤的主機(jī)，這就構(gòu)成了一個(gè)ARP欺騙。ARP命令可用于查詢本機(jī)ARP緩存中IP地址和MAC地址的對(duì)應(yīng)關(guān)系、添加或刪除靜態(tài)對(duì)應(yīng)關(guān)系等。相關(guān)協(xié)議有RARP、代理ARP。NDP用于在IPv6中代替地址解析協(xié)議。

　　病毒傳播主要途徑有：瀏覽網(wǎng)頁(yè)、下載、局域網(wǎng)、U盤傳播等等。養(yǎng)成一個(gè)良好的上網(wǎng)習(xí)慣，殺毒軟件每天升級(jí)并且定期殺毒，局域網(wǎng)注意防護(hù)ARP病毒和蠕蟲(chóng)病毒。用U盤拷貝東西的時(shí)候注意關(guān)閉自動(dòng)更新，不要雙擊打開(kāi)盤符，最好插入U(xiǎn)盤的時(shí)候先對(duì)U盤進(jìn)行殺毒，江民的KV2008不光有U盤盾技術(shù)，還在軟件設(shè)置了保護(hù)密碼功能，里面就有移動(dòng)存儲(chǔ)設(shè)備控制這項(xiàng)，設(shè)置了密碼之后插入U(xiǎn)盤的時(shí)候就會(huì)提示輸入密碼，可以防止亂插U盤和病毒的傳播。

　　假如已經(jīng)中了ARP病毒，下載一個(gè)ARP防火墻單機(jī)版，它采用全新系統(tǒng)內(nèi)核層攔截技術(shù)，能徹底解決所有ARP攻擊帶來(lái)的問(wèn)題，能夠保證在受到ARP攻擊時(shí)網(wǎng)絡(luò)仍然正常，能徹底解決在受到攻擊時(shí)出現(xiàn)的丟包現(xiàn)象。能自動(dòng)攔截并防御各類ARP攻擊程序、ARP病毒、ARP木馬、通過(guò)智能分析抑制所有ARP惡意程序發(fā)送虛假數(shù)據(jù)包。自動(dòng)識(shí)別ARP攻擊數(shù)據(jù)類型：外部攻擊、IP沖突、對(duì)外攻擊數(shù)據(jù)，并詳細(xì)記錄所有可疑數(shù)據(jù)包并追蹤攻擊者，軟件能自動(dòng)統(tǒng)計(jì)ARP廣播包發(fā)送接受數(shù)量。如果安裝有江民KV2008的防火墻的話，只要開(kāi)啟防御ARP功能，也可以通過(guò)可疑通訊找到中毒機(jī)器，之后去進(jìn)行單獨(dú)殺毒處理。

　　看過(guò)文章“ARP掛馬的原理"的人還看了：

　　1.怎么清理常見(jiàn)的木馬

　　2.關(guān)于電腦中了木馬的解決方法有哪些

　　3.電腦中了木馬后應(yīng)該怎么做以及解決方法

　　4.怎么清除電腦中的木馬

　　5.關(guān)于下一代遠(yuǎn)程控制木馬的思路探討

　　6.怎樣防范木馬及病毒的攻擊

　　7.Win7 Ghost SP1盜版內(nèi)置木馬的危害

　　8.電腦中了頑固木馬刪不掉的解決方法

　　9.電腦病毒知識(shí)

　　10.到2016為止著名的計(jì)算機(jī)病毒事件