最近收到了一位IT行业朋友的来信,说他遇到了这么一个现象,百思不得其解。
<<<
我昨天遇到了一个非常郁闷的问题,我们公司有一个部门的PC只要打开IE赛门铁克就会就会提示我中毒,下面是中毒的日志:
Scan type:Auto-Protect Scan
Event:Security Risk Found!
Threat: Trojan.Exploit.131
File:C:\Documents and Settings\<username>\Local Settings\Temporary Internet Files\Content.IE5\...\ad2[1].c
Location:Unknown Storage
Action taken:Clean failed : Quarantine failed : Access denied
并且更奇怪的是只要开启IE在源代码里面就能在第一行看到如下一行代码:
<iframe src=http:<malicious URL> width=100 height=0 frameborder=0></iframe>
但是并没有弹出网页,后来过了几个小时整个部门的这个现象就自动消失了,开IE也不会中毒了,上面的那行代码也不再显示了,首先要声明那个部门没有做过任何操作。
>>>
这种现象背后的原因,就是ARP缓存污染(cache poison)加上IFrame 嵌入(Injection)的攻击。ARP cache poison这种攻击理论上提出了很久了,但是直到最近才开始比较多的被病毒程序所应用。
简单的说,就是如果你的局域网中的一台机器被感染上病毒(例如通过一个IE的安全漏洞等等),病毒程序可以以这台机器(A),在局域网内部发起ARP cache poison的攻击,来把这台机器作为中间人插入到其它的机器(假设为B)和网关中。(典型的man-in-the-middle攻击)。然后,机器B的所有的http网络访问,都可以被A截获并插入IFRAME信息,以试图感染机器B。在这里,攻击者试图通过iframe让IE访问一个恶意站点。这个站点往往会利用微软最近的安全漏洞,如ANI安全漏洞等等。如果B的系统没有及时安装最新的安全补丁的话,就会被感染。
当A发现攻击无效,或A上的病毒被删除了的话,在机器B上你看到的这些奇怪的现象就会消失了。
如果存有网络活动记录,查看网络中的ARP的数据包,就可以确定是从那台机器发起的攻击。
分享到:
相关推荐
2.3.4 ARP 缓存污染 - Wireshark 数据包分析实战(第 3 版) - 知乎书店 1.3.3单播流量 1.4结 2.1混杂模式 2.2在
Win7下如何清除arp缓存防止被arp攻击和arp欺骗.docx
一旦MAC地址和IP地址之间的映射被解析为执行ARP协议的结果,映射将被缓存。因此,如果映射已经在缓存中,则不需要重复ARP协议。然而,由于ARP协议是无状态的,所以高速缓存可能会被恶意制作的ARP消息中毒(篡改)。...
该命令用于操作主机的arp缓存,它可以显示arp缓存中的所有条目、删除指定的条目或者添加静态的ip地址与MAC地址对应关系。 语法格式: arp [参数] [IP] 常用参数: -a 显示arp缓存的所有条目,主机位可选参数 -H...
ARP攻击防护工具ARP攻击防护工具ARP攻击防护工具ARP攻击防护工具
电脑基础攻击防范ARP攻击防范实例ARP攻击防范实例ARP攻击防范实例ARP攻击防范实例ARP攻击防范实例ARP攻击防范实例
在这个背景下,我们从通信序列中发现了些奇怪的事情,参图12-16。先,数据包54是MAC地址为00:25:b3:bf:91:ee的攻击者发送的AR
该文档为ARP投毒攻击的原理步骤以及防御对策的概括性总结
防止ARP 攻击的监控软件,我使用了一下,感觉还不错。
arp防御工具(防御arp攻击) 网络有用的工具!
局域网ARP地址欺骗和篡改网页攻击案例分析
一般的arp spoof是向被欺骗主机发送ARP REPLY数据报,把其中的源IP地址置为被欺骗主机要发包去的主机地址,源MAC地址却改为自己的MAC地址。假设有两台机器A,B,发送一个...直到一个正常的ARP包更改了A,B的arp缓存为止。
ARP 攻击源码和 防御ARP 攻击源码和 防御ARP 攻击源码和 防御ARP 攻击源码和 防御ARP 攻击源码和 防御ARP 攻击源码和 防御ARP 攻击源码和 防御
探讨ARP协议工作机理,通过对内部网络通信危害较大的ARP欺骗技术的分析,提出一种交换网络环境下基于ARP缓存超时机制的中间人攻击行为检测方法,研究Windows操作系统中ARP缓存超时机制的设置,并给出检测实现的方法...
arp攻击教程 arp攻击教程 arp攻击教程 arp攻击教程 arp攻击教程
局域网ARP攻击解决方案 局域网ARP攻击解决方案
ARP缓存中毒[参考].pdf
ARP攻击防御解决方案ARP攻击防御解决方案ARP攻击防御解决方案
ARP攻击相关资料ARP攻击相关资料ARP攻击相关资料ARP攻击相关资料ARP攻击相关资料ARP攻击相关资料ARP攻击相关资料
(1)按照以下方法查看是否受到ARP攻击:①查看ARP缓存表。在命令提示符下,输入"arp-a"查看ARP缓存表中内容。发现自己电脑网关对应MAC地址与其他正常上网电脑中存储网关MAC地址不一样就是受到ARP攻击,假网关MAC地址对应