标题：利用 IPSec 阻截 ARP Frame 欺骗式挂马攻击
出处：gOxiA=苏繁=SuFan Blog
时间：Wed, 05 Sep 2007 18:04:48 +0000
作者：gOxiA
地址：https://goxia.maytide.net/read.php/106.htm

内容：
      如今的黑客可是了不得，什么办法都能想出来，这不最近就遭遇到了这种挂马攻击方法，它通过 ARP Frame 来实现的。也就是说通过 ARP 来实现网关欺骗之后在 TCP/IP 中加入 Frame，而这个 Frame 中则包含了恶意的代码，可以使每个用户在打开页面后自动在当前页面中加入木马程序。
      起初发现的时候是很多用户报自己的运营系统只要打开就会提示有病毒，很奇怪！服务器本身做过了安全加固，虽然不能说绝对符合某个级别的安全标准但是应对一些伪客们还是绰绰有余的。难道有人蓄意入侵了服务器在其上安插了rootkit？！赶忙登录服务器进行检查并未发现可疑的进程，察看了进程的模块信息也未发现有可疑的rootkit模块，问题出在哪里了呢？此时有大量用户通知数台服务器均在访问中提示有病毒，赶忙察看发现截获的木马网址都是同一个，真是有意思，难道是有人蓄意攻击？
      重新对服务器进行了检查，排查范围小至可疑的文件日期，但是直觉告诉自己问题应该不是出在服务器，于是立刻是用“arp -a”命令获取到了默认网关的 MAC 地址，联络线路运维中心的工作人员进行查证，得知默认网关的 MAC 地址是错误的，看来找到了原因，子网内有服务器感染了 ARP 病毒！并且通过 ARP 欺骗后在 Frame 中添加了恶意代码，才会导致所有访问的用户会收到病毒的提示，并且用户下载后的页面中确实存在恶意代码，但是在服务器上看反而没有！通过 MAC 地址找到了被感染的机器 ban 掉后，子网恢复了正常！BS 机房线路运维，技术知识有待提高，服务质量有待增强，网管系统迫切需要升级！垃圾，他们之前压根就检测不到有 ARP 真服了。
      今天又出现了这个问题，通知了线路运维那边没有任何反应，看来只能自己想办法了，首先要解决的就是保证用户们访问运营系统的时候不会提示有病毒，仔细想一下病毒的原理，顿悟！它既然要在 Frame 中加入恶意代码，那么必然要将数据报返回给我的服务器，OK!
      使用 IPSec 阻止同子网所有服务器访问本机，切断联系！但是为了保证同子网可信赖服务器能够正常访问本机还要添加一条允许规则。这样以来除了可以阻截 ARP Frame 的欺骗攻击还可以杜绝其他安全威胁！为了实施这项步骤工作，我们需要运行“gpedit.msc”打开GPO管理器，之后在“计算机配置”下找到“Windows 设置”，展开其下的“安全设置”，点击“IP 安全策略，在本地计算机”，然后我们创建一条新的IP 安全策略，之后添加IP安全规则，首先为了确保不出现意外，应当先添加允许信赖的计算机访问本机的任何或指定的协议，最后再添加阻止特定子网的计算机访问本机所有或指定的协议。配置完毕之后，鼠标右击该安全策略并点击“指派”，为了让 IPSEC 立刻生效，建议在 cmd 环境下执行“gpupdate /force”。
      另外需要注意的是这些操作都是在工作组环境下进行的。
      如果要配置的IP比较多，可以使用微软 Support Tools 工具集中的“IPSeccmd”命令来进行配置。可以参考这个网址：http://support.microsoft.com/kb/813878/zh-cn



Generated by Bo-blog 2.1.1 Release