首頁 > 資安知識庫 > 系統與平台安全 > 弱點與修補管理及更新

別讓鄰居害死你 談ARP掛馬攻擊

作者:傑默 -2009 / 04 / 27 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪

你以為將重要伺服器管好就天下太平嗎?ARP掛馬從你的鄰居伺服器下手,同樣間接駭到你。
3月初,知名網站包含MSN台灣、cnet在內均傳出使用者瀏覽網頁時,遭轉址到大陸某惡意網站的情形。由於影響層面廣,一時之間引發各界討論,事發當初原因還不得而知,因此許多資安專家紛紛對事件提出不同的解讀。初期有一派認為是DNS伺服器遭入侵,後來有人深入分析封包後,認為是利用網路協定漏洞而發動攻擊,到後來也有人提出是ARP掛馬(ARP Spoofing / ARP Poisoning)等不同看法。
網頁掛馬並不稀奇,但究竟什麼是ARP掛馬?又該如何防範?在調查水落石出之前,本文不對MSN網站轉址事件究竟為何進行評析,但僅藉此說明ARP掛馬的手法,提醒讀者注意,這種極為可怕的區域網路威脅。

ARP Poison手法
ARP掛馬在台灣雖然不太常見,但並不是新的攻擊手法。在大陸此種攻擊手法極為常見,2007年Norton大陸網站即曾被ARP掛馬攻擊,於2008年底也有許多知名網站代管區域遭到入侵,被放置ARP攻擊套件,不但監聽Switch網路環境,也進行ARP掛馬攻擊,這些事件若非因ARP掛馬而讓大家產生警覺,可能至今仍潛伏在各機房區網內,持續竊取伺服器連線資料。ARP掛馬工具種類繁多,相對地,也有ARP掛馬防火牆等防護方案,包括免費工具包或是商品化產品,這方面由其可以在大陸網站看到,反倒是國內、甚至國外的此類資訊明顯弱了許多。
在過去,區域網路在Hub環境底下,這種廣播式的封包傳送方式,可輕易竊聽到旁邊傳送的封包,安全性問題眾所皆知。到後來隨著交換器的普及,交換器埠與埠之間,彼此阻隔了廣播封包的傳送,因此駭客無法利用原本的方式來竊聽區域網路,但只要利用ARP這個協定,則可透過ARP request封包,來強制欺騙特定主機,使其誤認傳遞目標,進而達到所謂的中間人(Man-in-the-middle)攻擊手法。而ARP掛馬正是利用此一技巧,駭客主機處在傳輸兩者的中間,可達成竊聽或穿插惡意封包的目的。
我們來看看這種手法,流量大的網站主機(A主機)通常有較嚴密的防護,因此駭客未必能打下,他先入侵相同網段中防護較差的B主機,接著這台B主機就偽裝為假A主機,並對往來的封包注入一段惡意程式碼,藉此欲連線到A主機的用戶端電腦(C電腦)就可能遭殃,因此這就形成中間人攻擊。
與網頁掛馬不同,由於惡意程式是注入在往來傳輸的封包當中,因此目標主機網頁內容上不會留有任何iframe掛馬的痕跡,就算大費周章,利用各種檢查方法在該網站主機上查詢,也都是徒勞無功。

推薦此文章
6
人推薦此新聞
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…

ARP協定介紹
Address Resolution Protocol(ARP): 在乙太網路架構中,ARP可用來查詢IP位址與Mac Address的對應。當發送主機有目的主機的IP位址,但想知道目的主機的Mac Address時,即可發送一個查詢封包,包含自己的IP位址與Mac Address,這時網段中所有主機都會收到此封包,若是IP為自己,便會回應ARP reply,詢問者收到後,會更新自己ARP Table資訊,也就是覆蓋原來的資料。這樣的過程並無任何信任安全機制,因為當初設計這個協定時,並未考慮區域網路中會有這樣的威脅,所以一旦有惡意人士在區域網路......《未完》
如欲閱讀完整內容,請成為《進階會員》