最近收到了一位it行業朋友的來信,說他遇到了這麼乙個現象,百思不得其解。
<<<
我昨天遇到了乙個非常鬱悶的問題,我們公司有乙個部門的pc只要開啟ie賽門鐵克就會就會提示我中毒,下面是中毒的日誌:
但是並沒有彈出網頁,後來過了幾個小時整個部門的這個現象就自動消失了,開ie也不會中毒了,上面的那行**也不再顯示了,首先要宣告那個部門沒有做過任何操作。
>>>
這種現象背後的原因,就是arp快取汙染(cache poison)加上iframe 嵌入(injection)的攻擊。arp cache poison這種攻擊理論上提出了很久了,但是直到最近才開始比較多的被病毒程式所應用。
http://www.grc.com/nat/arp.htm是一篇非常好的介紹arp快取汙染的文章。
簡單的說,就是如果你的區域網中的一台機器被感染上病毒(例如通過乙個ie的安全漏洞等等),病毒程式可以以這台機器(a),在區域網內部發起arp cache poison的攻擊,來把這台機器作為中間人插入到其它的機器(假設為b)和閘道器中。(典型的man-in-the-middle攻擊)。然後,機器b的所有的http網路訪問,都可以被a截獲並插入iframe資訊,以試圖感染機器b。在這裡,攻擊者試圖通過iframe讓ie訪問乙個惡意站點。這個站點往往會利用微軟最近的安全漏洞,如ani安全漏洞等等。如果b的系統沒有及時安裝最新的安全補丁的話,就會被感
染。 當
a發現攻擊無效,或
a上的病毒被刪除了的話,在機器
b上你看到的這些奇怪的現象就會消失了。
如果存有網路活動記錄,檢視網路中的
arp的資料報,就可以確定是從那台機器發起的攻擊。
我的微軟的乙個同事neil carpenter也有一篇不錯的文章討論這個問題。
監控ARP快取
我對c不是太懂,為了完成上級的任務,組合了幾個函式,目的是監控arp快取,對arp條目的刪除時出現了問題,刪除不了想要刪除的ip位址,麻煩各位幫指導一下 int main 獲取ip位址表,以便根據它將arp表項中的介面索引轉化為ip位址 pmib ipaddrtable pipaddrtable m...
10 5 arp 管理系統的arp快取
用於操作本機的arp快取區,它可以顯示arp快取區中的所有條目 刪除指定的條目或者新增靜態的ip位址與mac位址的對應關係。什麼是arp?即位址解析協議 arp,address resolution protocol 其主要功能是根據ip位址獲取實體地址 mac位址 n 顯示數字ip位址 s 主機 ...
顯示arp快取的程式
從freebsd4.5的arp命令的源 中獲得,可以在macos10.6上編譯,執行。gcc o arp wall arp.c include include include include include include include include include include includ...