2012/04/02

ARP 詐騙? ARP spoofing or ARP 攻擊 or ARP Poison or ARP 掛馬


圖片來自 ithome`

我遇到的症狀一開始只是以為簡單普通的ARP攻擊,只要把作亂的那台機器抓出來就可以解決問題。最初發現的是 win7 的pc有搶ip的狀況發生,一般使用者只有ip衝突的問題,拿不到dhcp 發放的 ip,造成整個網路無法自動取得ip及上網。抓出 win7 後仔細檢查,發現這台電腦沒有中毒、也沒有被埋入任何程式、安全性更新也更新到最新的。

本來還以為是 3/13 微軟發佈的那個安全性更新漏洞衍生出的病毒造成的,但是發現全部都不是,電腦即使重新安裝OS及更新系統後只要在病毒發作的區段插上網路線後也會有這樣的情況。
就這樣,發現一台鎖一台10天鎖了快30台,但發現所有的狀況都一樣。都只有 win7 異常,其他OS都正常,這就神奇了根據以往的經驗,windows 軟體相容性最好的就是病毒,這次竟然有例外??

後來有同事協助努力的分析封包、分析程式,發現了一個重要的特徵。只要在該網段(VLAN)發送 arp 要 ip 的 arp 總是有一台電腦會在正確的 ip回應前,發出一個arp 的回應。這可真是個關鍵點呀!!後來找出作亂發假封包的設備,發現他是一台很便宜的Linux 嵌入式 NAS server 被植入 irc bot ,並且發送假封包及做 arp 竊聽。就這樣在這台機器 turn off 後就在也沒有其他災情發生了。


結論:在一個群體中「不怕神一樣的敵人,只怕豬一樣的隊友」。這句名言再次證明,trouble maker 之所以能夠成為 maker 必有他過人之 處。 NAS沒設定帳號密碼你也敢插上網線........oooxxxx 怒.......


節錄資安人的文章其中一段說明,當初一直看不太懂。直到親身體驗後恍然大悟,文章有必要寫的那麼委婉嗎?....XD

ARP Poison手法
ARP 掛馬在台灣雖然不太常見,但並不是新的攻擊手法。在大陸此種攻擊手法極為常見,2007年Norton大陸網站即曾被ARP掛馬攻擊,於2008年底也有許多知名網站代管區域遭到入侵,被放置ARP攻擊套件,不但監聽Switch網路環境,也進行ARP掛馬攻擊,這些事件若非因ARP掛馬而讓大家產生警覺,可能至今仍潛伏在各機房區網內,持續竊取伺服器連線資料。ARP掛馬工具種類繁多,相對地,也有ARP掛馬防火牆等防護方案,包括免費工具包或是商品化產品,這方面由其可以在大陸網站看到,反倒是國內、甚至國外的此類資訊明顯弱了許多。
在過去,區域網路在Hub環境底下,這種廣播式的封包傳送方式,可輕易竊聽到旁邊傳送的封包,安全性問題眾所皆知。到後來隨著交換器的普及,交換器埠與埠之間,彼此阻隔了廣播封包的傳送,因此駭客無法利用原本的方式來竊聽區域網路,但只要利用ARP這個協定,則可透過ARP request封包,來強制欺騙特定主機,使其誤認傳遞目標,進而達到所謂的中間人(Man-in-the-middle)攻擊手法。而ARP掛馬正是利用此一技巧,駭客主機處在傳輸兩者的中間,可達成竊聽或穿插惡意封包的目的。
我們來看看這種手法,流量大的網站主機(A主機)通常有較嚴密的防護,因此駭客未必能打下,他先入侵相同網段中防護較差的B主機,接著這台B主機就偽裝為假A主機,並對往來的封包注入一段惡意程式碼,藉此欲連線到A主機的用戶端電腦(C電腦)就可能遭殃,因此這就形成中間人攻擊。
與網頁掛馬不同,由於惡意程式是注入在往來傳輸的封包當中,因此目標主機網頁內容上不會留有任何iframe掛馬X痕跡,就算大費周章,利用各種檢查方法在該網站主機上查詢,也都是徒勞無功。



ref:
http://itb-learn.blogspot.com/2009/06/arp.html
http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=4927
http://zh.wikipedia.org/wiki/ARP%E6%AC%BA%E9%A8%99
張貼留言

like