在 T00ls.Net 看到一个帖子,原帖内容如下:

以下是引用片段:

ARP攻击大家都知道,以前偶总以为它的目的就是破坏一下网络,限制网速,还有嗅探。。。

也有听说ARP挂马这一说。。可从来没遇到

不过,前段时间,管理的服务器被ARP,所有网页头部都被挂马。。。这才亲身体验了下ARP挂马的强大。。。

还有,也是前段时间,我电脑总是莫明其妙的弹出广告。。。开始以为是中了插件,可是查来查去都没有任何的不正常。。。一怒之下重做了系统,结果还在弹,

以为中了传说中的鬼影。。可是专杀用了,引导刷了。。还是没个结果。。。广告照样弹

后来,安装了彩影ARP防火墙,发现再也没有弹过。。。所以猜测,是被ARP攻击了

这里想知道下,ARP挂马的详细流程到底是怎么一回事? 网上大都在这里一笔带过,可用的信息太少了。。。所以看看大牛们有何高见?

ARP挂马。。牛啊。。网上好像有一款ARP挂马工具。。。6月份传说新出了一种ARP挂马工具。。。它们究竟是怎么改的包,怎么实现的挂马。。。大家一起来讨论下啊

    现在确实有很多同学不了解 Arp 攻击的原理,还有很多同学一知半解,仅仅会用几个基于 Arp 攻击的工具,例如:Cain 系列、Zxarp、幻境网盾、网络执法官等软件,而对原理几乎不懂,我在这里简单的介绍一下 Arp 欺骗挂马、嗅探、监听、攻击的原理,以及 Arp 防火墙的原理解析。

    实际上 Arp 攻击这都是06年、07年、08年盛行的技术了,从09年开始逐渐淡出了,想当年Arp挂马横飞,C段Arp那叫个火,各种Arp攻防技术,记得还有很多木马、下载者、远控自带Arp局域网传播功能,当时很厉害的,一个网吧中一台,整个局域网沦陷,全被挂马,很疯狂的。


Arp 流程:

    1.主动发Arp包到网关、局域网,说哥是网关(或受害机器)。

    2.So,所有的机器都认为你是网关或者受害机器,那么那些通讯数据就发到你这里来了。

    3.So,得到数据包,可以提取密码等资料,或者修改下,再发出去,充当中间人,在这个环节就任人鱼肉了。。

    4.伪造的数据包发出去后,整个网络通讯看似正常,如果你不把包发出去,那么就是掉线攻击了,目标机器就掉线了。

    5.实际上在你冒充网关或者受害机器的时候,受害机器就掉线了,因为所有数据都发到你这里来了,那么你还可以将数据包修改加工后再发回去,就是所说的中间人攻击。

    6.在修改数据包的过程中,HTTP数据包完全是明文的,修改起来很简单,可以很容易的加入挂马代码。


    参考资料:http://www.beike.cn/ztarp.html,这里用很简单的语言,给你讲得很详细,可以看一下。


传说中的突破 Arp 防火墙的嗅探技术,流程如下:

    Arp 防火墙的原理,就是不停地发包到网关(每秒几十次),对网关说我是真的机器,避免其他机器冒充本机。

    当然,还有很多是基于网卡驱动层,直接拦截Arp攻击包的,这个目前是主流。

    破墙原理:你发包?我也发!我比你发的还快,你每秒发50次,我每秒发一百次!

    口水淹没大法,把网关搞的不知道哪个是了,由于你发的频率高,所以在很短的时间周期内,网关认为你是受害机器,So,目标机器的正常数据包就发过来啦。。

    此法缺点:极容易引起机房掉线、自己和目标机器掉线,几率80%以上。。


附上:

    目前国内最强的 Arp 防火墙是彩影ARP防火墙,官网:http://www.antiarp.com/

    彩影ARP防火墙有两个版本:一个单机版、一个服务器版,现在把两个版本做成一个安装文件了,安装的时候自动识别系统,安装对应的版本。

    单机版本身就免费(需要把主页改成他们的百度推广地址,就是百度的网址后边多了个参数,是推广代码,不影响使用),而且还有破解的。

    服务器版破解的,我十分仔细的找了好几个月,没找到……

    其次就是金山贝壳Arp防火墙效果也是刚刚的,而且是完全免费的,还没有任何广告,界面简洁,无插件,强烈推荐用这个。官网地址:http://www.beike.cn/

留言评论(旧系统):

yuluo @ 2011-07-12 09:34:14

以前听到过这个 还在冰河洗剑的【黑客入侵手记】一书中看过 始终没遇到过这种情况 老大 你够lucky

本站回复:

晕,Arp 好几年的东西了。