JavaEye無法通路與ARP攻擊

很多JavaEye使用者可能都發現了JavaEye網站出現了間歇性無法通路，或者頁面出現亂碼的問題，還有使用者報告所謂的JavaEye網站被挂木馬的報告，我們感覺非常有必要向使用者及時解釋事情的真相和來龍去脈。

要搞清楚這究竟是怎麼回事，我們先要了解什麼叫做“ARP欺騙”.

ARP是路由器維護的一個伺服器網卡IP位址和網卡Mac位址的對照表，根據這個ARP對照表，路由器才能決定将外網請求過來的資料發給網段内的哪台伺服器。但是ARP往往并不是路由器靜态寫死的（如果靜态寫死，那路由器管理者會累死），而是由伺服器自己不停的把自己的ARP資料發送給路由器，通知路由器更新ARP對照表。是以ARP對照表的正确與否往往取決于伺服器的自覺性。

說到這裡大家就可以明白了，ARP機制有非常大的漏洞！如果有台叫做Fake的伺服器心懷不軌，他想攻擊JavaEye伺服器，他就可以瘋狂的向路由器發送更新ARP的通知，不停的告訴路由器，我才是JavaEye，我才是JavaEye，由于他發送欺騙性ARP資料包頻率非常高，在路由器重新整理 ARP對照表的瞬間，他搶在JavaEye伺服器之前通知了路由器，那麼他就得逞了。

從這個時候開始，凡是使用者通路JavaEye的請求，路由器都會錯誤的發給fake伺服器，而fake伺服器會把請求路由給真正的JavaEye伺服器，然後再添加上早已準備好的木馬js，于是使用者的浏覽器接收到的網頁就被挂馬了！

這僅僅是一個最簡單的ARP欺騙，實際的ARP攻擊手段多種多樣，但是最基本的解決ARP攻擊的手段需要路由器具有足夠好的安全性，正确的識别和拒絕異常的ARP資料欺騙包。但遺憾的是中國的IDC機房的網絡安全性，中國IDC網管的技術水準都是慘不忍睹的！截止目前，中國IDC機房的網管們對付 ARP欺騙的唯一手段還僅僅隻是在出現問題的時候，一個IP一個IP的拔網線的方式去排查fake伺服器。

然而這還不是最糟糕的情況，最糟糕的情況是這個網段并不是屬于某個伺服器托管商的，而是配置設定給好幾個不同的托管商。這些托管商都沒有權限去登入整個網段的路由器。于是在v01托管商機櫃裡面的JavaEye伺服器被fake伺服器冒名頂替之後，v01托管商根本找不出來fake究竟在哪裡，因為他沒有權限去拔别人機櫃的網線尋找fake伺服器，他隻能判斷出來fake不在自己的機櫃之内，要求别的托管商去自查。

這裡就引出了第二個問題？為什麼cracker對JavaEye的伺服器這麼敢興趣？因為JavaEye伺服器流量大使用者多，可以最大化達到它控制木馬的目的。

試想你是一個卑鄙龌龊的人，你想控制盡可能多的桌面電腦，盜QIE他們的帳号、密碼和其他有價值的資料，那麼你必須想辦法給他們的桌面安裝木馬。要做到這一點，你就必須挑選一個通路量龐大使用者多的網站挂馬，這樣使用者通路這個網站的時候就會被下木馬，否則你等于白費功夫。是以當JavaEye伺服器所在的網段位址之内出現了某台存在安全缺陷的Windows伺服器，這台Windows伺服器就成了cracker的殭屍電腦了。

當然cracker并不是和JavaEye有宿怨，但是當它一旦控制了一台殭屍電腦，它想最大化的發揮殭屍電腦的作用，就肯定要逐個調查該網段的每台伺服器，看看究竟哪台伺服器流量大，那台流量最大的伺服器就是它理想的冒名頂替的對象了。

這就是JavaEye伺服器目前面臨的問題！

首先這個問題并不是JavaEye伺服器本身的問題，而是伺服器所在的網段的網關被ARP攻擊欺騙了，是以JavaEye伺服器本身無論做什麼工作都不解決問題。（當然JavaEye如果自己發起ARP攻擊是可以自衛的，但是也有很大的風險被弱智的管理者發現以後拔掉網線，是以這種以 cracker對cracker的手段不解決根本的問題）

其次這個問題的解決依賴于路由器的安全性和網管們的技術素養，不過可歎的是，中國網絡技術水準之低劣是令人發指的！以我這種對網絡技術外行的人都可以去指點他們怎麼做，你就不要對他們能夠解決問題報任何希望。

更令人可恥的是他們的職業道德水準問題，當晚上再次出現ARP攻擊的時候，該托管商技術人員說下班了已經回家，明天上班以後再給你解決！

經過和伺服器托管商的多次協商，我們将采取如下解決方案：JavaEye網站的伺服器，切換到另外一個比較安全的網段之内，避開這個已經被ARP攻擊控制的網關。

由于切換伺服器IP導緻的DNS域名失效，特别是由于NS記錄需要修改和重新整理，JavaEye網站将無法通路，NS記錄的重新整理需要至少1小時時間，是以DNS的完全重新整理大概需要1-2小時時間。

文章url：[url]http://javapub.iteye.com/admin/blogs/733495[/url]