JavaEye主機遭ARP攻擊 官方切換網段應對

【51CTO.com綜合報道】國內著名Java網站JavaEye託管的主機近日遭遇ARP攻擊，導致網站訪問出現多次中斷，還有使用者報告被掛馬。近日JavaEye在網站上發布聲明，解釋了本次事件的來龍去脈及應對措施，並對國內IDC及技術人員的素質進行抨擊。

 

以下是JavaEye的聲明原文。標註為51CTO.com編者所加。

從7曰5日開始，很多JavaEye使用者可能都發現了JavaEye網站出現了間歇性無法訪問，或者頁面出現亂碼的問題，還有使用者報告所謂的JavaEye網站被掛木馬的報告，我們感覺非常有必要向使用者及時解釋事情的真相和來龍去脈。

 

要搞清楚這究竟是怎麼回事，我們先要瞭解什麼叫做“ARP欺騙”。【51CTO.com註：關於ARP欺騙和ARP攻擊的詳細原理和防範方法，有興趣的朋友可以參考51CTO關於ARP的技術專題。】

ARP是路由器維護的一個伺服器網卡IP地址和網卡Mac地址的對照表，根據這個ARP對照表，路由器才能決定將外網請求過來的資料發給網段內的哪台伺服器。但是ARP往往並不是路由器靜態寫死的（如果靜態寫死，那路由器管理員會累死），而是由伺服器自己不停的把自己的ARP資料發送給路由器，通知路由器更新ARP對照表。因此ARP對照表的正確與否往往取決於伺服器的自覺性。

 

說到這裡大家就可以明白了，ARP機制有非常大的漏洞！如果有台叫做Fake的伺服器心懷不軌，他想攻擊JavaEye伺服器，他就可以瘋狂的向路由器發送更新ARP的通知，不停的告訴路由器，我才是JavaEye，我才是JavaEye，由於他發送欺騙性ARP資料包頻率非常高，在路由器重新整理 ARP對照表的瞬間，他搶在JavaEye伺服器之前通知了路由器，那麼他就得逞了。

 

從這個時候開始，凡是使用者訪問JavaEye的請求，路由器都會錯誤的發給fake伺服器，而fake伺服器會把請求路由給真正的JavaEye伺服器，然後再添加上早已準備好的木馬js，於是使用者的瀏覽器接收到的網頁就被掛馬了！

 

這僅僅是一個最簡單的ARP欺騙，實際的ARP攻擊手段多種多樣，但是最基本的解決ARP攻擊的手段需要路由器具有足夠好的安全性，正確的識別和拒絕異常的ARP資料欺騙包。但遺憾的是中國的IDC機房的網路安全性，中國IDC網管的技術水平都是慘不忍睹的！截止目前，中國IDC機房的網管們對付 ARP欺騙的唯一手段還僅僅只是在出現問題的時候，一個IP一個IP的拔網線的方式去排查fake伺服器。

 

然而這還不是最糟糕的情況，最糟糕的情況是這個網段並不是屬於某個伺服器託管商的，而是分配給好幾個不同的託管商。這些託管商都沒有許可權去登入整個網段的路由器。於是在v01託管商機櫃裡面的JavaEye伺服器被fake伺服器冒名頂替之後，v01託管商根本找不出來fake究竟在哪裡，因為他沒有許可權去拔別人機櫃的網線尋找fake伺服器，他只能判斷出來fake不在自己的機櫃之內，要求別的託管商去自查。

 

這裡就引出了第二個問題？為什麼cracker對JavaEye的伺服器這麼敢興趣？因為JavaEye伺服器流量大使用者多，可以最大化達到它控制木馬的目的。

 

試想你是一個卑鄙齷齪的人，你想控制儘可能多的案頭電腦，盜竊他們的帳號、密碼和其他有價值的資料，那麼你必須想辦法給他們的案頭安裝木馬。要做到這一點，你就必須挑選一個訪問量龐大使用者多的網站掛馬，這樣使用者訪問這個網站的時候就會被下木馬，否則你等於白費功夫。所以當JavaEye伺服器所在的網段地址之內出現了某台存在安全缺陷的Windows伺服器，這台Windows伺服器就成了cracker的肉雞了。

當然cracker並不是和JavaEye有宿怨，但是當它一旦控制了一台肉雞，它想最大化的發揮肉雞的作用，就肯定要逐個調查該網段的每台伺服器，看看究竟哪台伺服器流量大，那台流量最大的伺服器就是它理想的冒名頂替的對象了。

 

這就是JavaEye伺服器目前面臨的問題！

 

首先這個問題並不是JavaEye伺服器本身的問題，而是伺服器所在的網段的網關被ARP攻擊欺騙了，因此JavaEye伺服器本身無論做什麼工作都不解決問題。（當然JavaEye如果自己發起ARP攻擊是可以自衛的，但是也有很大的風險被弱智的管理員發現以後拔掉網線，所以這種以 cracker對cracker的手段不解決根本的問題）

 

其次這個問題的解決依賴於路由器的安全性和網管們的技術素養，不過可歎的是，中國網路技術水平之低劣是令人髮指的！以我這種對網路技術外行的人都可以去指點他們怎麼做，你就不要對他們能夠解決問題報任何希望。

 

更令人可恥的是他們的職業道德水平問題，當晚上再次出現ARP攻擊的時候，該託管商技術人員說下班了已經回家，明天上班以後再給你解決！

 

經過和伺服器託管商的多次協商，我們將採取如下解決方案：JavaEye網站的伺服器將於7月7日）點左右，切換到另外一個比較安全的網段之內，避開這個已經被ARP攻擊控制的網關。

 

由於切換伺服器IP導致的DNS網域名稱失效，特別是由於NS記錄需要修改和重新整理，JavaEye網站將從今天下午（7月7日）5點左右開始無法訪問，NS記錄的重新整理需要至少24小時時間，因此DNS的完全重新整理大概需要24-48小時時間。預計從周四上午開始完全恢複JavaEye網站的訪問。

 

在此無法訪問JavaEye網站的期間，你可以通過手工修改本地的hosts檔案解析來訪問JavaEye，具體的IP地址清單和修改方法，請隨時查看JavaEye網站臨時IP位址解析列表，並將這個地址告知其他無法訪問的使用者。

如果您使用Windows作業系統，請修改C:/WINDOWS/system32/drivers/etc/hosts檔案，添加如下內容，然後重新啟動瀏覽器。如果您使用Linux或者MacOSX作業系統，請使用root許可權修改/etc/hosts檔案，添加如下內容，然後重新啟動瀏覽器。

……

51CTO編者按：實際訪問過程中發現javaeye至今還被北京一處DNS伺服器所劫持，所有訪問都被轉寄到一個垃圾站上。讓人頗為不爽。。

 

圖1

 

原文地址：http://netsecurity.51cto.com/art/200907/134691.htm

              JavaEye主機遭ARP攻擊 官方切換網段應對