6
回答
我要尽力告诉大家!现在机房里头的ARP攻击已经没那么简单了!!!很严重!!!
百度AI开发者大赛带你边学边开发,赢100万奖金,加群:418589053   

我跟很多有托管服务器的朋友告诫了,如果托管的机房客户比较杂,千百个建议,必须在机器上预先绑定网关的 mac 地址。

现在的 ARP 攻击已经不单单是会让你服务器断网。
而是会直接绑架你首页的代码,插入 iframe 或者其他带有木马的链接!!!如下图:

这么轻则让你首页风格错乱,重则直接会让访客杀毒软件警告发现木马。
如果没有安装杀毒软件的,恐怕会直接中招了。
而且例如 360 这些杀毒软件,会直接把发现木马的站点信息上传到云。
这么即使问题解决了,下次再访问站点,也会弹出木马警告提示,其他未经访问的访客也会。
同一台服务器,所有站点都会遭殃。

如何确诊是被 ARP 欺骗攻击:

1,发现首页面源代码上第一行有 iframe 字段,但服务器本地源文件确没有。
2,获取 http 头,发现首页没有了你的 httpd 服务器的信息。如:

HTTP/1.1 200 OK
Content-Type: text/html
Accept-Ranges: bytes

除非你特意屏蔽,不然应该是会有一些较为详细的 httpd 服务器信息,例如:

HTTP/1.1 200 OK
Server: nginx
Date: Wed, 29 Jun 2011 04:35:29 GMT
Content-Type: text/html
Content-Length: 20095
Last-Modified: Wed, 29 Jun 2011 02:18:40 GMT
Connection: keep-alive
Keep-Alive: timeout=20
Vary: Accept-Encoding
Accept-Ranges: bytes

3,在服务器中执行 arp -a 查看网关当前 mac 地址。

如:(219.136.252.254) at 00:19:30:0B:30:C2 [ether] on eth0

然后联系托管商客服,咨询其网关设备 IP 地址对应 mac 是否与您服务器中查询的一致。
如果并非一致,可以确诊受到了ARP欺骗攻击。

解决方式:

1,通过咨询托管商客服,得到正确的网关设备 mac 地址。

2,把其 mac 地址通过以下方式在你服务器上与网关 IP 进行绑定。Linux 方法如下:

[root]# vim /etc/ip-mac 
创建 mac 绑定列表

219.136.252.254 00:19:30:0B:30:C2 #内内容举例

:wq 保存退出

[root]# arp -f /etc/ip-mac 
手动执行列表地址绑定

[root]# vim /etc/rc.local
修改开机执行文件,填入以下路径

/sbin/arp -f /etc/ip-mac  

:wq 保存退出

然后使用 arp -a 查看当前 arp 列表中,网关所属 ip 对应 mac 地址是否已经是你修改的。
完成后再获取以下 http 头,看看信息能否恢复正常。

 

举报
范堡
发帖于7年前 6回/1K+阅
顶部