JavaEye主機(jī)遭ARP攻擊 官方切換網(wǎng)段應(yīng)對(duì)
【51CTO.com綜合報(bào)道】國(guó)內(nèi)著名Java站點(diǎn)JavaEye托管的主機(jī)近日遭遇ARP攻擊,導(dǎo)致網(wǎng)站訪(fǎng)問(wèn)出現(xiàn)多次中斷,還有用戶(hù)報(bào)告被掛馬。近日J(rèn)avaEye在網(wǎng)站上發(fā)布聲明,解釋了本次事件的來(lái)龍去脈及應(yīng)對(duì)措施,并對(duì)國(guó)內(nèi)IDC及技術(shù)人員的素質(zhì)進(jìn)行抨擊。
以下是JavaEye的聲明原文。標(biāo)注為51CTO.com編者所加。
從7曰5日開(kāi)始,很多JavaEye用戶(hù)可能都發(fā)現(xiàn)了JavaEye網(wǎng)站出現(xiàn)了間歇性無(wú)法訪(fǎng)問(wèn),或者頁(yè)面出現(xiàn)亂碼的問(wèn)題,還有用戶(hù)報(bào)告所謂的JavaEye網(wǎng)站被掛木馬的報(bào)告,我們感覺(jué)非常有必要向用戶(hù)及時(shí)解釋事情的真相和來(lái)龍去脈。
要搞清楚這究竟是怎么回事,我們先要了解什么叫做“ARP欺騙”。【51CTO.com注:關(guān)于ARP欺騙和ARP攻擊的詳細(xì)原理和防范方法,有興趣的朋友可以參考51CTO關(guān)于ARP的技術(shù)專(zhuān)題。】
ARP是路由器維護(hù)的一個(gè)服務(wù)器網(wǎng)卡IP地址和網(wǎng)卡Mac地址的對(duì)照表,根據(jù)這個(gè)ARP對(duì)照表,路由器才能決定將外網(wǎng)請(qǐng)求過(guò)來(lái)的數(shù)據(jù)發(fā)給網(wǎng)段內(nèi)的哪臺(tái)服務(wù)器。但是ARP往往并不是路由器靜態(tài)寫(xiě)死的(如果靜態(tài)寫(xiě)死,那路由器管理員會(huì)累死),而是由服務(wù)器自己不停的把自己的ARP數(shù)據(jù)發(fā)送給路由器,通知路由器更新ARP對(duì)照表。因此ARP對(duì)照表的正確與否往往取決于服務(wù)器的自覺(jué)性。
說(shuō)到這里大家就可以明白了,ARP機(jī)制有非常大的漏洞!如果有臺(tái)叫做Fake的服務(wù)器心懷不軌,他想攻擊JavaEye服務(wù)器,他就可以瘋狂的向路由器發(fā)送更新ARP的通知,不停的告訴路由器,我才是JavaEye,我才是JavaEye,由于他發(fā)送欺騙性ARP數(shù)據(jù)包頻率非常高,在路由器刷新 ARP對(duì)照表的瞬間,他搶在JavaEye服務(wù)器之前通知了路由器,那么他就得逞了。
從這個(gè)時(shí)候開(kāi)始,凡是用戶(hù)訪(fǎng)問(wèn)JavaEye的請(qǐng)求,路由器都會(huì)錯(cuò)誤的發(fā)給fake服務(wù)器,而fake服務(wù)器會(huì)把請(qǐng)求路由給真正的JavaEye服務(wù)器,然后再添加上早已準(zhǔn)備好的木馬js,于是用戶(hù)的瀏覽器接收到的網(wǎng)頁(yè)就被掛馬了!
這僅僅是一個(gè)最簡(jiǎn)單的ARP欺騙,實(shí)際的ARP攻擊手段多種多樣,但是最基本的解決ARP攻擊的手段需要路由器具有足夠好的安全性,正確的識(shí)別和拒絕異常的ARP數(shù)據(jù)欺騙包。但遺憾的是中國(guó)的IDC機(jī)房的網(wǎng)絡(luò)安全性,中國(guó)IDC網(wǎng)管的技術(shù)水平都是慘不忍睹的!截止目前,中國(guó)IDC機(jī)房的網(wǎng)管們對(duì)付 ARP欺騙的唯一手段還僅僅只是在出現(xiàn)問(wèn)題的時(shí)候,一個(gè)IP一個(gè)IP的拔網(wǎng)線(xiàn)的方式去排查fake服務(wù)器。
然而這還不是最糟糕的情況,最糟糕的情況是這個(gè)網(wǎng)段并不是屬于某個(gè)服務(wù)器托管商的,而是分配給好幾個(gè)不同的托管商。這些托管商都沒(méi)有權(quán)限去登錄整個(gè)網(wǎng)段的路由器。于是在v01托管商機(jī)柜里面的JavaEye服務(wù)器被fake服務(wù)器冒名頂替之后,v01托管商根本找不出來(lái)fake究竟在哪里,因?yàn)樗麤](méi)有權(quán)限去拔別人機(jī)柜的網(wǎng)線(xiàn)尋找fake服務(wù)器,他只能判斷出來(lái)fake不在自己的機(jī)柜之內(nèi),要求別的托管商去自查。
這里就引出了第二個(gè)問(wèn)題?為什么cracker對(duì)JavaEye的服務(wù)器這么敢興趣?因?yàn)镴avaEye服務(wù)器流量大用戶(hù)多,可以最大化達(dá)到它控制木馬的目的。
試想你是一個(gè)卑鄙齷齪的人,你想控制盡可能多的桌面電腦,盜竊他們的帳號(hào)、密碼和其他有價(jià)值的數(shù)據(jù),那么你必須想辦法給他們的桌面安裝木馬。要做到這一點(diǎn),你就必須挑選一個(gè)訪(fǎng)問(wèn)量龐大用戶(hù)多的網(wǎng)站掛馬,這樣用戶(hù)訪(fǎng)問(wèn)這個(gè)網(wǎng)站的時(shí)候就會(huì)被下木馬,否則你等于白費(fèi)功夫。所以當(dāng)JavaEye服務(wù)器所在的網(wǎng)段地址之內(nèi)出現(xiàn)了某臺(tái)存在安全缺陷的Windows服務(wù)器,這臺(tái)Windows服務(wù)器就成了cracker的肉雞了。
當(dāng)然cracker并不是和JavaEye有宿怨,但是當(dāng)它一旦控制了一臺(tái)肉雞,它想最大化的發(fā)揮肉雞的作用,就肯定要逐個(gè)調(diào)查該網(wǎng)段的每臺(tái)服務(wù)器,看看究竟哪臺(tái)服務(wù)器流量大,那臺(tái)流量最大的服務(wù)器就是它理想的冒名頂替的對(duì)象了。
這就是JavaEye服務(wù)器目前面臨的問(wèn)題!
首先這個(gè)問(wèn)題并不是JavaEye服務(wù)器本身的問(wèn)題,而是服務(wù)器所在的網(wǎng)段的網(wǎng)關(guān)被ARP攻擊欺騙了,因此JavaEye服務(wù)器本身無(wú)論做什么工作都不解決問(wèn)題。(當(dāng)然JavaEye如果自己發(fā)起ARP攻擊是可以自衛(wèi)的,但是也有很大的風(fēng)險(xiǎn)被弱智的管理員發(fā)現(xiàn)以后拔掉網(wǎng)線(xiàn),所以這種以 cracker對(duì)cracker的手段不解決根本的問(wèn)題)
其次這個(gè)問(wèn)題的解決依賴(lài)于路由器的安全性和網(wǎng)管們的技術(shù)素養(yǎng),不過(guò)可嘆的是,中國(guó)網(wǎng)絡(luò)技術(shù)水平之低劣是令人發(fā)指的!以我這種對(duì)網(wǎng)絡(luò)技術(shù)外行的人都可以去指點(diǎn)他們?cè)趺醋觯憔筒灰獙?duì)他們能夠解決問(wèn)題報(bào)任何希望。
更令人可恥的是他們的職業(yè)道德水平問(wèn)題,當(dāng)晚上再次出現(xiàn)ARP攻擊的時(shí)候,該托管商技術(shù)人員說(shuō)下班了已經(jīng)回家,明天上班以后再給你解決!
經(jīng)過(guò)和服務(wù)器托管商的多次協(xié)商,我們將采取如下解決方案:JavaEye網(wǎng)站的服務(wù)器將于7月7日)點(diǎn)左右,切換到另外一個(gè)比較安全的網(wǎng)段之內(nèi),避開(kāi)這個(gè)已經(jīng)被ARP攻擊控制的網(wǎng)關(guān)。
由于切換服務(wù)器IP導(dǎo)致的DNS域名失效,特別是由于NS記錄需要修改和刷新,JavaEye網(wǎng)站將從今天下午(7月7日)5點(diǎn)左右開(kāi)始無(wú)法訪(fǎng)問(wèn),NS記錄的刷新需要至少24小時(shí)時(shí)間,因此DNS的完全刷新大概需要24-48小時(shí)時(shí)間。預(yù)計(jì)從周四上午開(kāi)始完全恢復(fù)JavaEye網(wǎng)站的訪(fǎng)問(wèn)。
在此無(wú)法訪(fǎng)問(wèn)JavaEye網(wǎng)站的期間,你可以通過(guò)手工修改本地的hosts文件解析來(lái)訪(fǎng)問(wèn)JavaEye,具體的IP地址列表和修改方法,請(qǐng)隨時(shí)查看JavaEye網(wǎng)站臨時(shí)IP地址解析列表,并將這個(gè)地址告知其他無(wú)法訪(fǎng)問(wèn)的用戶(hù)。
如果您使用Windows操作系統(tǒng),請(qǐng)修改C:\WINDOWS\system32\drivers\etc\hosts文件,添加如下內(nèi)容,然后重新啟動(dòng)瀏覽器。如果您使用Linux或者M(jìn)acOSX操作系統(tǒng),請(qǐng)使用root權(quán)限修改/etc/hosts文件,添加如下內(nèi)容,然后重新啟動(dòng)瀏覽器。
……
51CTO編者按:實(shí)際訪(fǎng)問(wèn)過(guò)程中發(fā)現(xiàn)javaeye至今還被北京一處DNS服務(wù)器所劫持,所有訪(fǎng)問(wèn)都被轉(zhuǎn)發(fā)到一個(gè)垃圾站上。讓人頗為不爽。如圖所示。
 |
| 圖1 |
【編輯推薦】
