ARP掛馬的原理

　　計(jì)算機(jī)木馬也發(fā)展的愈發(fā)強(qiáng)烈了，很多時候我們可能還用到他們，那么你們知道ARP掛馬的原理嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于ARP掛馬的原理的相關(guān)資料，供你參考。

　　什么是掛馬?

　　所謂的掛馬，就是黑客通過各種手段，包括SQL注入，網(wǎng)站敏感文件掃描，服務(wù)器漏洞，網(wǎng)站程序0day, 等各種方法獲得網(wǎng)站管理員賬號，然后登陸網(wǎng)站后臺，通過數(shù)據(jù)庫“備份/恢復(fù)”或者上傳漏洞獲得一個webshell。利用獲得的webshell修改網(wǎng)站頁面的內(nèi)容，向頁面中加入惡意轉(zhuǎn)向代碼。也可以直接通過弱口令獲得服務(wù)器或者網(wǎng)站FTP，然后直接對網(wǎng)站頁面直接進(jìn)行修改。當(dāng)你訪問被加入惡意代碼的頁面時，你就會自動的訪問被轉(zhuǎn)向的地址或者下載木馬病毒。

　　ARP掛馬的原理：

　　目的：通過arp欺騙來直接掛馬

　　優(yōu)點(diǎn):可以直接通過arp欺騙來掛馬.

　　通常的arp欺騙的攻擊方式是在同一vlan下,控制一臺主機(jī)來監(jiān)聽密碼,或者結(jié)合ssh中間人攻擊來監(jiān)聽ssh1的密碼.

　　但這樣存在局限性:

　　1.管理員經(jīng)常不登陸,那么要很久才能監(jiān)聽到密碼

　　2.目標(biāo)主機(jī)只開放了80端口,和一個管理端口,且80上只有靜態(tài)頁面,那么很難利用.而管理端口,如果是3389終端,或者是ssh2,那么非常難監(jiān)聽到密碼.

　　優(yōu)點(diǎn):

　　1.可以不用獲得目標(biāo)主機(jī)的權(quán)限就可以直接在上面掛馬

　　2.非常隱蔽,不改動任何目標(biāo)主機(jī)的頁面或者是配置,在網(wǎng)絡(luò)傳輸?shù)倪^程中間直接插入掛馬的語句.

　　3.可以最大化的利用arp欺騙,從而只要獲取一臺同一vlan下主機(jī)的控制權(quán),就可以最大化戰(zhàn)果.

　　原理：arp中間人攻擊，實(shí)際上相當(dāng)于做了一次代理。

　　正常時候: A---->B ,A是訪問的正?？蛻?B是要攻擊的服務(wù)器,C是被我們控制的主機(jī)

　　arp中間人攻擊時候: A---->C---->B

　　B---->C---->A

　　實(shí)際上,C在這里做了一次代理的作用

　　那么HTTP請求發(fā)過來的時候,C判斷下是哪個客戶端發(fā)過來的包,轉(zhuǎn)發(fā)給B,然后B返回HTTP響應(yīng)的時候,在HTTP響應(yīng)包中,插入一段掛馬的代碼,比如<iframe>...之類,再將修改過的包返回的正常的客戶A,就起到了一個掛馬的作用.在這個過程中,B是沒有任何感覺的,直接攻擊的是正常的客戶A,如果A是管理員或者是目標(biāo)單位,就直接掛上馬了.

　　什么是ARP?

　　地址解析協(xié)議，即ARP(Address Resolution Protocol)，是根據(jù)IP地址獲取物理地址的一個TCP/IP協(xié)議。主機(jī)發(fā)送信息時將包含目標(biāo)IP地址的ARP請求廣播到網(wǎng)絡(luò)上的所有主機(jī)，并接收返回消息，以此確定目標(biāo)的物理地址;收到返回消息后將該IP地址和物理地址存入本機(jī)ARP緩存中并保留一定時間，下次請求時直接查詢ARP緩存以節(jié)約資源。地址解析協(xié)議是建立在網(wǎng)絡(luò)中各個主機(jī)互相信任的基礎(chǔ)上的，網(wǎng)絡(luò)上的主機(jī)可以自主發(fā)送ARP應(yīng)答消息，其他主機(jī)收到應(yīng)答報(bào)文時不會檢測該報(bào)文的真實(shí)性就會將其記入本機(jī)ARP緩存;由此攻擊者就可以向某一主機(jī)發(fā)送偽ARP應(yīng)答報(bào)文，使其發(fā)送的信息無法到達(dá)預(yù)期的主機(jī)或到達(dá)錯誤的主機(jī)，這就構(gòu)成了一個ARP欺騙。ARP命令可用于查詢本機(jī)ARP緩存中IP地址和MAC地址的對應(yīng)關(guān)系、添加或刪除靜態(tài)對應(yīng)關(guān)系等。相關(guān)協(xié)議有RARP、代理ARP。NDP用于在IPv6中代替地址解析協(xié)議。

　　病毒傳播主要途徑有：瀏覽網(wǎng)頁、下載、局域網(wǎng)、U盤傳播等等。養(yǎng)成一個良好的上網(wǎng)習(xí)慣，殺毒軟件每天升級并且定期殺毒，局域網(wǎng)注意防護(hù)ARP病毒和蠕蟲病毒。用U盤拷貝東西的時候注意關(guān)閉自動更新，不要雙擊打開盤符，最好插入U(xiǎn)盤的時候先對U盤進(jìn)行殺毒，江民的KV2008不光有U盤盾技術(shù)，還在軟件設(shè)置了保護(hù)密碼功能，里面就有移動存儲設(shè)備控制這項(xiàng)，設(shè)置了密碼之后插入U(xiǎn)盤的時候就會提示輸入密碼，可以防止亂插U盤和病毒的傳播。

　　假如已經(jīng)中了ARP病毒，下載一個ARP防火墻單機(jī)版，它采用全新系統(tǒng)內(nèi)核層攔截技術(shù)，能徹底解決所有ARP攻擊帶來的問題，能夠保證在受到ARP攻擊時網(wǎng)絡(luò)仍然正常，能徹底解決在受到攻擊時出現(xiàn)的丟包現(xiàn)象。能自動攔截并防御各類ARP攻擊程序、ARP病毒、ARP木馬、通過智能分析抑制所有ARP惡意程序發(fā)送虛假數(shù)據(jù)包。自動識別ARP攻擊數(shù)據(jù)類型：外部攻擊、IP沖突、對外攻擊數(shù)據(jù)，并詳細(xì)記錄所有可疑數(shù)據(jù)包并追蹤攻擊者，軟件能自動統(tǒng)計(jì)ARP廣播包發(fā)送接受數(shù)量。如果安裝有江民KV2008的防火墻的話，只要開啟防御ARP功能，也可以通過可疑通訊找到中毒機(jī)器，之后去進(jìn)行單獨(dú)殺毒處理。

　　看過文章“ARP掛馬的原理"的人還看了：

　　1.怎么清理常見的木馬

　　2.關(guān)于電腦中了木馬的解決方法有哪些

　　3.電腦中了木馬后應(yīng)該怎么做以及解決方法

　　4.怎么清除電腦中的木馬

　　5.關(guān)于下一代遠(yuǎn)程控制木馬的思路探討

　　6.怎樣防范木馬及病毒的攻擊

　　7.Win7 Ghost SP1盜版內(nèi)置木馬的危害

　　8.電腦中了頑固木馬刪不掉的解決方法

　　9.電腦病毒知識

　　10.到2016為止著名的計(jì)算機(jī)病毒事件