MSN首頁遭轉址，疑為ARP掛馬

MSN首頁在3月初時，遭受到不明的轉址攻擊，部分連上該網頁的使用者，會被自動轉址至會植入惡意程式的大陸網站。然而微軟與ISP業者清查後，均表示雙方的系統皆沒有受到入侵，這使得整個攻擊手法與來源，蒙上一層神秘的面紗。之後更傳出包括Cnet、ZDnet等網站，也遭受到同樣的攻擊。

排除DNS投毒的可能性，矛頭指向連線途徑
在資訊不足的狀況下，各界開始猜測各種可能性，最早有部分專家認為，這樣的狀況應該是DNS投毒的手法。

但隨著此一攻擊的封包傳輸方式被公布，發現轉址的方式是在對方伺服器有回應時，從中截斷，而非DNS投毒的偽造DNS回應，這也使得DNS出問題的可能性開始被排除。

在這之後，部分資安專家開始猜測，是否是中華電信的路由器發生問題。關於這一點，中華電信數據分公司資安辦公室資安技術組組長李倫銓表示，事件爆發之後，他檢查過DNS與中華電信的路由器，確認沒有被感染的狀況。

那麼，問題到底出在哪裡呢？阿碼科技創辦人與執行長黃耀文在分析封包後表示，攻擊者插入的封包，有正確的s/n號碼，表示攻擊程式位於路由之上，可以看到封包的傳輸。「所以我認為，這是一種Session綁架的手法，而問題點應該是出在傳輸到新加坡（MSN和Cnet的網站主機都位在新加坡）的途徑上。」黃耀文說。

ARP掛馬為目前推測最有可能的手法
對此，長期觀察各種系統漏洞，並曾率先回報微軟Word漏洞的趨勢科技資深工程師翁世豪表示，目前看來最有可能的手法是ARP掛馬。ARP掛馬攻擊是這樣的，入侵者透過同一網域的某臺伺服器，偽裝該網路上的成員，取得IP與MAC address的資料，之後便可以做出各種不同的攻擊，包括試圖取得主機資料，或是對真正的路由器發送假封包等。翁世豪指出，這也是為什麼被入侵的網站都說自己的系統沒有受到入侵，因為ARP掛馬很多時候根本不需要入侵網站的主機，只需透過同一網域的其它伺服器就可以達成目的。「透過這樣的手法，就能以Session綁架或其他不同的方式，導引使用者轉向不同的網頁。」翁世豪說。

李倫銓也持同樣的看法，他表示，過去就曾處理過類似的ARP掛馬事件，狀況和此次攻擊的手法相當類似。他以過去的經驗為例，檢查被攻擊的網站主機後，卻未發現任何後門或掛馬，但連往該站卻又出現含有惡意掛馬的網頁，但並不是每次都出現，非常弔詭，經過抽絲剝繭的測試與網路環境檢查，才發現該手法為ARP掛馬攻擊，真正受駭的其實是該伺服器區周邊的某一臺主機，遭人放置ARP攻擊程式，使用Man-in-the-Middle的手法來攔截封包並插入特定惡意封包。「這也能解釋為什麼轉址不是每次都發生，因為ARP投毒的手法，本來就不是很穩定，尤其是以一臺受駭主機來充當攔截並竄改封包，等於擔任網站流量咽喉口，因此才會造成不是每次都會出現惡意網頁轉址的現象。此外，駭客為了手法不被快速破解，將攻擊工具開開關關可能也是原因之一。」李倫銓說。

李倫銓更進一步指出，ARP掛馬的攻擊已經非常成熟，大陸甚至有套裝的攻擊工具。翁世豪表示，ARP掛馬的手法在臺灣還不常見，許多人都不熟悉，這也是為什麼難以在攻擊之初就判別出其手法的原因。不過，直至目前為止，這些都還僅止於猜測，不過現在看來，ARP掛馬應該是本次事件最有可能的幕後元凶。文⊙劉哲銘