信息中心
设为首页  |  加入收藏
 网站首页  中心概况  校园网建设  规章制度  校园一卡通  服务指南  常见问题  联系我们 
网络安全
当前位置: 网站首页>>网络安全>>正文
ARP网页劫持病毒分析报告
2012-04-12 00:00   审核人:

转 ARP网页劫持病毒分析报告
1. 病毒介绍
原理:
ARP网页劫持病毒会向网络内发送ARP欺骗数据包,挟持网关(或内部网站)MAC地址,导致同一网段内的主机访问指定的web地址(内部或外部)时,会话会首先通过受病毒感染的主机,该主机会寻找HTTP响应包,在包中加入代码,使得访问正常网站时被指向到病毒网站。
2. 技术分析
1) ARP欺骗
病毒会枚举本计算机所在的网段或者指定一些搜集到的主机,发送ARP(Address Resolution Protocol)数据包,挟持了本网段的网关地址或者内部web站点的地址,使本网段的所有的数据包或访问指定地址的数据包经过该计算机
2) 修改特定数据包
病毒会对所有的数据包进行分析,过滤出HTTP应答包,并在包里面插入一段代码,使用户访问正常网站时被指向到了病毒网站,此时防病毒软件如果可能会报告发现病毒,需要注意的是,事实上此时主机并没有感染病毒。受影响的主机访问网页不正常时可以看到的网页的源代码最前面被插入病毒网站地址的代码,该网页会利用ANI漏洞(MS07-017)下载并运行木马程序,建议用户及时补上计算机上已知的漏洞
此处附图 arp欺骗病毒类型.jpg

点此在新窗口浏览图片
3. 感染后处理办法
1) 定位病毒源
a) 如果arp欺骗病毒在进行整个网段欺骗时,那么发送的arp数据包必定为广播包,那么在受影响的网段中任意的主机上部署Sinffer软件进行监听,发现arp欺骗源
b) 如果arp欺骗病毒在有选择的欺骗时,可以在受影响的主机上部署Sinffer软件进行监听,发现arp欺骗源
2) 断开病毒源
断开受感染主机
3) 病毒处理
由于arp欺骗病毒存在诸多变种,并没有固定的查杀方法。建议升级防病毒软件至最新,重新启动到安全模式底下进行全盘扫描。
以下为已知的一些arp病毒
点此在新窗口浏览图片
4. 防护措施
1) 安装ARPFIX等软件进行.可以有效的防范ARP.在
http://forum.ccert.edu.cn上可以找到.
2) 在终端进行网关和重要服务器的MAC地址绑定,但是此方法在DHCP环境无效
3) 在交换机上进行网关和重要服务器的MAC,IP绑定,但是如果以后网关或者服务器发生变更,将会造成潜在的隐患



关闭窗口

兰州交通大学现代信息技术与教育中心

地址:甘肃省兰州市安宁区安宁西路88号     邮编:730070