逍遥的BLOG

本文原创授权发布站点:
站  长  网:http://www.admin5.com/html/2/4/20070413/40689.html
中国站长站:http://www.chinaz.com/Server/Safe/07414112630I3KB.html
海  特  网:http://www.itdowns.com/edu/safe/20070414/2031.html

    最近不少朋友及客户的服务器遇到arp欺骗攻击,造成站点被挂木马.
由于是采用ARP技术欺骗,所以主机并没入侵,在服务器里查看网页源码也
是没任何挂马代码,但是网站在访问时候却全部被挂马!

   开始我也不懂这就是网络传说中的ARP欺骗,后来查了下资料才知道这
就是ARP欺骗.ARP欺骗我们要先从ARP工作原理讲起.

   我们先熟悉下ARP,大学计算机网络基础课学过,ARP就是地址解析协议.
OSI参考模型里将整个网络通信的功能划分为七个层次.由低到高分别是:
物理层、链路层、网络层、传输层、会议层、表示层、应用层.第四层到
第七层主要负责互操作性，第一层到三层则用于创造两个网络设备间的物
理连接.

   而ARP欺骗就是一种用于会话劫持攻击中的常见手法。地址解析协议(ARP)
利用第2层物理MAC地址来映射第3层逻辑IP地址，如果设备知道了IP地址，
但不知道被请求主机的MAC地址，它就会发送ARP请求。ARP请求通常以广播
形式发送，以便所有主机都能收到.

   在电信一般接终端的交换机都是2层交换机,交换原理是通过ip寻找对应
的mac网卡地址,由于TCP/IP协议决定了只会通过mac寻址到对应的交换机的
物理端口,所以才会遭到arp欺骗攻击.

   现在我们做下比方,更能形象点解释ARP欺骗过程及原理:

   假设有肉鸡A，被ARP欺骗的主机B。肉鸡A不断告诉主机B它是网关,结果
主机B也认为它是网关,于是把连接数据发送给它.肉鸡A再做一个连接的角色，
把主机B的信息包加上木马发到真正的网关,结果用户得到的信息都是带了木
马的网页,而主机B本身没木马.
 
   目前IDC机房可以将类似思科2950及华为3026之类以上的交换机并启动ARP
广播屏蔽功能的话,应该可以阻止ARP欺骗.

   另外,我们根据解析协议(ARP)的工作原理,将网关IP和MAC地址绑定成静态
不可修改,这样就不会出现arp欺骗了,因为地址解析协议(ARP)是利用第2层物
理MAC地址来映射第3层逻辑IP地址,也就是mac寻址来实现的.当然在我们每一个
主机上也要绑定网关的mac和ip，命令很简单,
如: arp -s 58.66.176.29 00-aa-00-62-c6-09

    关于arp欺骗原理及防范就先写到这吧,我本人是从事网络服务器安全的,对
计算机网络物理工作原理了解并不多,只是大学课本学过点,所以写这篇文章时
查了不少资料,期待高手们的指正及讲解!