ARP攻击
ARP地址解析协议是一种常用的网络协议,每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址一一对应,如果这个表被修改,则会出现网络无法连通,或者访问的网页被劫持。
在普通用户看来,只要小区内有一台机器中毒,则自己访问新浪、百度等大网站就都会带毒,危害极为严重。根据统计,ARP类病毒给全国用户造成了巨大影响,在上半年十大病毒中排在第六位。
黑客利用ARP协议存在的缺陷,侵入某台电脑之后发送ARP欺骗攻击数据包,造成局域网内所有用户在访问网络时,收到的都是带毒的网页。如果中毒电脑是位于数据中心内的服务器,则其所在vlan内的其他网站服务器在响应用户的http请求时,返回的页面也将带毒,这样遭受危害的客户端机器会以几何级数迅速增多,危害极为严重。
典型攻击过程图示:
图6
黑客侵入一台Web服务器后植入网页木马,使用ARP病毒感染该服务器,该服务器开始向网络内其他服务器发起ARP欺骗攻击,修改同一网络内其他服务器向客户端响应的服务数据,导致其他服务器本身虽然没有感染病毒,但是通过网关向客户端返回的http数据均被插入网页木马。
位于一个企业网络内的主机A在访问该中毒服务器时,被网页木马所带的ARP病毒感染,于是也在企业网络内发起ARP欺骗攻击,ARP病毒修改了本网内所有主机访问外部网络的http数据,在所有http页面中插入了网页木马,主机A成为传播ARP病毒的帮凶,通过这种方式,该病毒将会迅速传播。
再加上病毒制造者结合电子邮件传播、USB设备传播、IM软件传播、局域网共享传播、入侵大型网站“挂马”等传播方式,病毒可以在很短的时间内影响整个互联网。在感染用户计算机以后与安全软件对抗,窃取用户资料、破坏计算机系统是该类蠕虫的危害所在,可以造成极大的经济损失。
C、利用浏览器漏洞进行“钓鱼网站”诈骗
无论IE还是firefox(火狐),都在不断出现各种各样的漏洞,例如:有的浏览器漏洞可以让黑客在网页中插入恶意代码,有的可以让浏览器显示错误的网址。黑客可以向用户发送邮件或者QQ消息,让他点击某个网址。这个网址的URL看上去是个著名网站,打开之后显示的页面也像那个网站,但其实是黑客自己建立的钓鱼网站。
黑客往往会搭建虚假的银行、购物(如Ebay、taobao)等钓鱼网站,骗取用户的账号、密码等信息谋取利益。
3-2、网络下载软件
随着迅雷、快车、BT、电驴等新兴下载方式的流行,黑客也开始把其当作重要的病毒传播手段。这三种下载方式有着共同的技术特点,在先天设计上就存在安全上的薄弱性:
无中心神经网络结构
这些软件没有关键节点(中心服务器),任何点都有可能向外传播病毒,即使删除某些源病毒文件,这些文件也会在整个P2P网络中存在,不易清除。
任何一个节点都有可能从相邻的节点感染病毒,大大增加了用户感染病毒的几率。
传播快速有效
由于具备网状的特殊结构,病毒的传播很方便。
利用社会工程学的病毒,传播得更加有效。黑客只要把病毒文件起一个诱惑性名称(如性感照片),自然会有人搜索到,然后进行下载。
每台计算机既能下载,又能共享自己的文件给别人,有些病毒会自动把自己伪装成热门资源,放在共享文件夹里欺骗用户下载。
针对三种软件不同的特点,黑客也采用了不同的利用手法:
BT一般用来下载网络电影,而BT种子的发布网站,轻易就能有数十万、上百万的浏览量,黑客往往会在这些BT种子站植入木马,用户浏览后就会中毒。有时黑客干脆把病毒伪装为BT种子,起个《激情***》、《劲爆***》等诱惑性的名字,诱骗用户下载。
电驴的搜索功能比较强,如果用热门搜索词当作病毒文件的名字,则有很大可能被搜索到并下载,用户下载后就会中毒。
迅雷和快车的下载速度非常快,黑客往往会把病毒和热门软件、热门电影捆绑在一起,用户在下载前无法辨别其中是否含有病毒,下载运行后即会被感染。同时,热门的资源发布站点可以聚集大量的人气,而这些网站往往是个人成立的中小型网站,很容易被黑客攻破植入病毒。
对于病毒利用下载软件进行传播的问题,很多厂商并没有提起应有的重视,致使一些带毒文件长期存在,被数以万计的人下载。由于P2P软件本身的特点,即使源带毒文件被删除,其他用户还可以从别人的电脑下载到,这大大增加了病毒存在的时间。黑客使用P2P软件当作传播途径,不用攻击网站、不用付出很大代价,就可以把病毒散播出去。
尽管目前下载软件厂商在安全方面也采取了一定的措施,例如提供专门的木马查杀工具、病毒清除模块,但是他们缺乏安全技术积累,缺乏针对恶性病毒快速响应的技术实力,也提供不了整体的安全解决方案,用户面临的安全问题亟待解决。