※ [本文转录自 NTUGIEE_ric 看板] 作者: ric2k1 (Ric) 看板: NTUGIEE_ric 标题: [情报] APR Spoofing 时间: Thu Jan 3 20:35:36 2008 学校计中来函通知，以 ARP spoofing* 的方式进行攻击的电脑病毒，近来在学校几个院 系出现棘手的变种，主要最明显的症状是：在电脑所处的区域网路下的所有电脑，网路速 度都会变得很慢。该病毒感染扩散可以影响整个区域网路，灾情严重的话，每天出现 1~2 台问题主机，可以使整个区域网路瘫痪达到 1~2 周。 目前电机系尚未出现疫情，但电机系网路范围大、使用者多，如果出现疫情，除了个人的 机密资料可能遭窃外、也将使许多人面临近乎无网路可用的状况。所以还请大家尽快做好 主机的系统更新 (微软 Windows update)。 电机系网管 -------------------------------------------------------------------------------- * (以下片段摘自 台大计资中心电子报 第3期 「用户端资讯安全1--正在流行的恶意程式 」 一文) 「为何我想连上校内的xx网站被导向一个大陆网站？」，是我的电脑有问题还是xx网站中 木马了呢？但是，校内别的单位连xx网站却又正常。为何整个区域网路的网路速度变得非 常慢甚至於不通呢?难道这一切都是因为区域网路中毒了吗? 其实这不是区域网路中毒，而是区域网路中的某一台问题主机被植入木马程式所造成的。 该问题主机先对整个区域网路进行ARP Spoofing(实体地址解析协议欺骗)，再利用iframe 的技术让区域网路的所有主机向外连到具有恶意程式的网站。 说明ARP Spoofing行为之前我们需要先了解什麽是ARP。ARP(Address Resolution Protocol)是位址解析协定，也就是位址转换的协定，ARP负责将IP位址与MAC位址进行转 换。封包在乙太网路中传输只认得MAC位址，ARP需要将封包中目的端的IP位址转换成目的 端的MAC位址，管理这两种位址对应关系的是ARP表。如果封包目的端不在区域网路中，该 封包会被传送给路由器(router)，也就是主机的预设闸道(Default Gateway)。 近期发生的ARP Spoofing的运作模式为问题主机对区域网路发送大量的ARP封包，声称自 己是预设闸道，区域网路中的每台主机纷纷更新自己的ARP表，将问题主机的MAC位址记录 为预设闸道。问题主机同时也欺骗路由器，声称自己代表所有的主机，路由器将问题主机 的MAC位址纪录为区域网路中所有的主机。接下来，当区域网路中任何一台主机要连结xx 网站时，立刻被问题主机转址到大陆的网站，大陆网站利用主机的系统漏洞植入後门程式 。如果骇客结合了iframe (inline frame)手法，插入一行程式码或图片，但是将frame的 高度与宽度设为0，当使用者想连接xx网站时，连结xx网站的同时也连上具有恶意程式的 网站，使用者在完全不知情下被利用主机的系统漏洞植入木马程式。 解决ARP Spoofing的问题，请参考以下建议： (1)如果使用IE浏览器，请务必做好所有浏览器的修正程式。另外一个选择是使用其他浏 览器，如Mozilla Firefox与Opera。 (2)IP位址与MAC位址的绑定(binding)工作，在交换器(Switch, Router)和客户端(个人电 脑)都要做才行。 (3)网管人员必须保存一份内部网路的IP位址与MAC位址对照表，当ARP Spoofing 发生时 ，可以很快找到问题主机。 (4)网管人员也可以监控区域网路ARP的封包数量，当ARP Spoofing发生时，区域网路充斥 着大量的ARP封包。 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 140.112.5.65 ※ 编辑: yellowfishie 来自: 140.112.5.65 (01/03 22:05)