ARP 缓存污染和IFRAME嵌入攻击

最新推荐文章于 2024-02-29 10:46:41 发布
最新推荐文章于 2024-02-29 10:46:41 发布
阅读量6.9k 收藏 2
点赞数
分类专栏: 安全软件开发 文章标签: iframe cache ie internet security 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chengyun_chu/article/details/1710789
版权
最近收到了一位IT行业朋友的来信,说他遇到了这么一个现象,百思不得其解。
<<<
 
我昨天遇到了一个非常郁闷的问题,我们公司有一个部门的PC只要打开IE赛门铁克就会就会提示我中毒,下面是中毒的日志:
Scan type: Auto-Protect Scan
Event: Security Risk Found!
Threat: Trojan.Exploit.131
File: C:/Documents and Settings/<username>/Local Settings/Temporary Internet Files/Content.IE5/.../ad2[1].c
Location: Unknown Storage
Action taken: Clean failed : Quarantine failed : Access denied
 
并且更奇怪的是只要开启IE在源代码里面就能在第一行看到如下一行代码:
<iframe src=http:<malicious URL> width=100 height=0 frameborder=0></iframe>
 
但是并没有弹出网页,后来过了几个小时整个部门的这个现象就自动消失了,开IE也不会中毒了,上面的那行代码也不再显示了,首先要声明那个部门没有做过任何操作。
>>>
 
这种现象背后的原因,就是ARP缓存污染(cache poison)加上IFrame 嵌入(Injection)的攻击。ARP cache poison这种攻击理论上提出了很久了,但是直到最近才开始比较多的被病毒程序所应用。
http://www.grc.com/nat/arp.htm是一篇非常好的介绍ARP缓存污染的文章。
 
简单的说,就是如果你的局域网中的一台机器被感染上病毒(例如通过一个IE的安全漏洞等等),病毒程序可以以这台机器(A),在局域网内部发起ARP cache poison的攻击,来把这台机器作为中间人插入到其它的机器(假设为B)和网关中。(典型的man-in-the-middle攻击)。然后,机器B的所有的http网络访问,都可以被A截获并插入IFRAME信息,以试图感染机器B。在这里,攻击者试图通过iframe让IE访问一个恶意站点。这个站点往往会利用微软最近的安全漏洞,如ANI安全漏洞等等。如果B的系统没有及时安装最新的安全补丁的话,就会被感 染。
  
A 发现攻击无效,或 A 上的病毒被删除了的话,在机器 B 上你看到的这些奇怪的现象就会消失了。
 
如果存有网络活动记录,查看网络中的 ARP 的数据包,就可以确定是从那台机器发起的攻击。
 
我的微软的一个同事Neil Carpenter也有一篇不错的文章讨论这个问题。 http://blogs.technet.com/neilcar/archive/2007/06/28/arp-cache-poisoning-incident.aspx
 
chengyun_chu
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
解决ARP欺骗和攻击的方法.docx
10-24
解决ARP欺骗和攻击的方法
监听网络线路
Ymm的博客
10-05 1664
进行高效的数据包分析的一个关键决策是在哪里放置数据包嗅探器,以恰当地捕捉网络数据。通常把这个过程称为。安置嗅探器首先需要考虑到种类繁多的用来连接网络的硬件设备,由于网络上主要的3种设备(集线器,交换机,路由器)对网络流量的处理方式都不相同,因此你必须非常清楚所分析网络使用的是哪些硬件设备。
理解 arp以及大致的原理 + 存在的安全隐患
L的博客
04-05 1211
ARP协议是地址解析协议(Address Resolution Protocol)是通过解析IP地址得到MAC地址,所有ARP协议在网络层被应用,它是网络层与链路层连接的重要枢纽每台主机都会在自己的ARP缓冲区中建立一个ARP列表,ARP列表表示的是IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机的时候,会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址,如果有的话直接讲数据包发送到该MAC地址,如果没有就向本地网络发送广播。在这里插入代码片。
arp表被污染怎么办?
最新发布
m0_51729057的博客
02-29 361
局域网主机间通信的时候,是需要先通过arp广播请求获取到主机的mac地址的,拿到mac地址后才能通信,如果本机有arp缓存,就直接用缓存里的,不用广播。 正常不存在如上ip冲突的情况下, arp缓存不用去修改的,它会自动维护,但有时如果遇到问题,我们通过查看本机arp缓存,能更好地定位问题。
17.ARP协议(工作过程、毒化过程与原理、防御方法)
✍千里之行,始于足下 ^,^
09-02 816
16. 什么是ARP? 地址解析协议 是根据IP地址获取MAC地址的TCP/IP协议 工作过程 主机A的IP地址为192.168.1.1,MAC地址为0A-11-22-33-44-01; 主机B的IP地址为192.168.1.2,MAC地址为0A-11-22-33-44-02; 当主机A要与主机B通信时,地址解析协议可以将主机B的IP地址(192.168.1.2)解析成主机B的MAC地址,以下...
安全学习篇:ARP缓存中毒攻击
城南以南花亦开
07-24 6656
个人博客主页:https://www.boolo.top 【本文博客同步地址】 了解ARP的基础知识,逐步讲解ARP缓存中毒攻击的原理,并进行相应的攻击演示。 一、ARP基础知识 1. ARP简介 ARP即地址解析协议(Address Resolution Protocol)的简称,该协议是TCP/IP协议簇里面的一个协议。ARP的主要作用是根据IP
ARP缓存中毒实验报告.docx
10-15
一旦MAC地址和IP地址之间的映射被解析为执行ARP协议的结果,映射将被缓存。因此,如果映射已经在缓存中,则不需要重复ARP协议。然而,由于ARP协议是无状态的,所以高速缓存可能会被恶意制作的ARP消息中毒(篡改)。...
2.3.4 ARP 缓存污染 - Wireshark 数据包分析实战(第 3 版) - 知乎书店1
08-04
2.3.4 ARP 缓存污染 - Wireshark 数据包分析实战(第 3 版) - 知乎书店 1.3.3单播流量 1.4结 2.1混杂模式 2.2在
Win7下如何清除arp缓存防止被arp攻击arp欺骗.docx
09-27
Win7下如何清除arp缓存防止被arp攻击arp欺骗.docx
arp命令 操纵系统arp缓存
01-20
该命令用于操作主机的arp缓存,它可以显示arp缓存中的所有条目、删除指定的条目或者添加静态的ip地址与MAC地址对应关系。 语法格式: arp [参数] [IP] 常用参数: -a 显示arp缓存的所有条目,主机位可选参数 -H...
ARP Cache Poisoning Attack Lab(SEED实验)
l4kjih3gfe2dcba1的博客
08-25 1726
ARP缓存区的污染真的很可怕呢。这次实验中我们仅使用了ARP的请求报文来进行污染缓存,效果并不是很理想,A有时仍会收到B的请求而造成攻击短时性失效。如果task1中的三种报文都被利用来进行污染的话,可以想象得到这种攻击将会万无一失。但与此同时,使用python进行MITM或许有可能是受限于虚拟机的效率,或在真实环境下的网络波动都会造成一定程度的延迟。受害者双方如果能够基于时延进行判断,或许能够一定程度减少攻击的成功概率;与此同时,攻击者也可以修改报文的时间戳,或通过镜像转发,实现自己的攻击目标。
页面嵌入dom与被嵌入iframe的攻防
weixin_33936401的博客
09-26 187
1.情景一:自己的页面被引入(嵌入)至别人的页面iframe中   if(window.self != window.top){ //url是自己页面的url window.top.location.href = url } 通过顶层框架的判断,得知自己所在的框架是否是顶层框架。来判断自己页面所在的情况。   知识点:不同域中的iframe不能相互访问。 比...
网络监听
lemonalla的博客
04-18 450
实验四 网络监听 一、网络监听的监测 检测局域⽹中的异常终端 实验目的 交换机状态查看(可⽹管的交换机) –CAM表变化情况 在发送者和接收者主机上分别抓包分析 —检测⽹卡是否处于混杂模式使用的数据包内容有 什么区别 实验先修知识 无线网卡监听模式和混杂模式有什么不同: 监听模式允许网卡不用连接wifi就可以抓取特性频道的数据,就是在空气中抓取某个波段的数据。可以用在破解wifi密码上 混...
iframe安全问题
yanner_的博客
08-05 8172
1.iframe 有些时候我们的前端页面需要用到第三方提供的页面组件,通常会以iframe的方式引入。典型的例子是使用iframe在页面上添加第三方提供的广告、天气预报、社交分享插件等等。 iframe在给我们的页面带来更多丰富的内容和能力的同时,也带来了不少的安全隐患。因为iframe中的内容是由第三方来提供的,默认情况下他们不受我们的控制,他们可以在iframe中运行JavaScirpt脚...
浅谈iframe的优缺点及应用场景
lin_m的博客
05-20 2675
浅谈iframe的优缺点及应用场景 对iframe的优缺点及应用场景的一点小结 浅谈iframe的优缺点及应用场景 iframe 创建包含另外一个文档的内联框架(即行内框架),简而言之,iframe标签是框架的一种形式,一般用来包含别的页面。 一、使用iframe的优缺点 优点: 1.iframe能够把嵌入的网页原样展现出来; 2.模块分离,便于更改,如果有多个网页引用iframe,只需要修改iframe的内容,就可以实现调用的每一个页面内容的更改,方便快捷; 3.网页如果为了统一风格,头部和版本都是一样的
iframe的安全问题
weixin_30847271的博客
02-06 1764
今天尝试在iframe嵌入外部网站, 碰到了一些小问题. 如何让自己的网站不被其他网站的iframe引用? 我测试的时候发现我把iframe的src指定到github不起作用. 原来是它把X-Frame-Options设置为了DENY, 这样就禁用了别的网站的iframe引用, 避免点击劫持(clickjacking). X-Frame-Options有三个可能值: DENY, SAM...
iframe嵌套其它网站页面及相关知识点详解
热门推荐
Quentin0823的博客
01-31 1万+
在一个页面中嵌套另外一个页面,就要使用到框架 标签。 标签规定一个内联框架。一个内联框架被用来在当前 HTML 文档中嵌入另一个文档。
网页内嵌第三方iframe的注意事项
qq_43478725的博客
01-28 743
flask配置cookie的SameSite属性
arp 缓存中毒实验
10-17
ARP缓存中毒是一种网络攻击方法,攻击者通过发送伪造的ARP(地址解析协议)...ARP缓存中毒实验是为了模拟和研究网络攻击的一种手段,我们强烈不建议未经授权地进行ARP缓存中毒攻击,以免造成不必要的损失和法律责任。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值