※ [本文轉錄自 NTUGIEE_ric 看板] 作者: ric2k1 (Ric) 看板: NTUGIEE_ric 標題: [情報] APR Spoofing 時間: Thu Jan 3 20:35:36 2008 學校計中來函通知，以 ARP spoofing* 的方式進行攻擊的電腦病毒，近來在學校幾個院 系出現棘手的變種，主要最明顯的癥狀是：在電腦所處的區域網路下的所有電腦，網路速 度都會變得很慢。該病毒感染擴散可以影響整個區域網路，災情嚴重的話，每天出現 1~2 台問題主機，可以使整個區域網路癱瘓達到 1~2 週。 目前電機系尚未出現疫情，但電機系網路範圍大、使用者多，如果出現疫情，除了個人的 機密資料可能遭竊外、也將使許多人面臨近乎無網路可用的狀況。所以還請大家盡快做好 主機的系統更新 (微軟 Windows update)。 電機系網管 -------------------------------------------------------------------------------- * (以下片段摘自 台大計資中心電子報 第3期 「用戶端資訊安全1--正在流行的惡意程式 」 一文) 「為何我想連上校內的xx網站被導向一個大陸網站？」，是我的電腦有問題還是xx網站中 木馬了呢？但是，校內別的單位連xx網站卻又正常。為何整個區域網路的網路速度變得非 常慢甚至於不通呢?難道這一切都是因為區域網路中毒了嗎? 其實這不是區域網路中毒，而是區域網路中的某一台問題主機被植入木馬程式所造成的。 該問題主機先對整個區域網路進行ARP Spoofing(實體地址解析協議欺騙)，再利用iframe 的技術讓區域網路的所有主機向外連到具有惡意程式的網站。 說明ARP Spoofing行為之前我們需要先了解什麼是ARP。ARP(Address Resolution Protocol)是位址解析協定，也就是位址轉換的協定，ARP負責將IP位址與MAC位址進行轉 換。封包在乙太網路中傳輸只認得MAC位址，ARP需要將封包中目的端的IP位址轉換成目的 端的MAC位址，管理這兩種位址對應關係的是ARP表。如果封包目的端不在區域網路中，該 封包會被傳送給路由器(router)，也就是主機的預設閘道(Default Gateway)。 近期發生的ARP Spoofing的運作模式為問題主機對區域網路發送大量的ARP封包，聲稱自 己是預設閘道，區域網路中的每台主機紛紛更新自己的ARP表，將問題主機的MAC位址記錄 為預設閘道。問題主機同時也欺騙路由器，聲稱自己代表所有的主機，路由器將問題主機 的MAC位址紀錄為區域網路中所有的主機。接下來，當區域網路中任何一台主機要連結xx 網站時，立刻被問題主機轉址到大陸的網站，大陸網站利用主機的系統漏洞植入後門程式 。如果駭客結合了iframe (inline frame)手法，插入一行程式碼或圖片，但是將frame的 高度與寬度設為0，當使用者想連接xx網站時，連結xx網站的同時也連上具有惡意程式的 網站，使用者在完全不知情下被利用主機的系統漏洞植入木馬程式。 解決ARP Spoofing的問題，請參考以下建議： (1)如果使用IE瀏覽器，請務必做好所有瀏覽器的修正程式。另外一個選擇是使用其他瀏 覽器，如Mozilla Firefox與Opera。 (2)IP位址與MAC位址的綁定(binding)工作，在交換器(Switch, Router)和客戶端(個人電 腦)都要做才行。 (3)網管人員必須保存一份內部網路的IP位址與MAC位址對照表，當ARP Spoofing 發生時 ，可以很快找到問題主機。 (4)網管人員也可以監控區域網路ARP的封包數量，當ARP Spoofing發生時，區域網路充斥 著大量的ARP封包。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.112.5.65 ※ 編輯: yellowfishie 來自: 140.112.5.65 (01/03 22:05)