局域网内的霸道控制 ARP欺骗的心得

安全 黑客攻防
ARP欺骗实际就是刷新你本地的ARP缓存表,因为ARP表一般都是动态的,这就给欺骗者一个好的机会了,他们发的其实就是ARP的单播回复,也就是欺骗方主动发起回复来刷新被欺骗方的ARP表

ARP欺骗相信大家都不陌生吧,但有人知道欺骗的这2个字的真实意义吗?呵呵,那ARP欺骗发的都是些什么样的ARP包呢?ARP欺骗该如何防止呢?ARP欺骗对我门有什么有用价值呢?ARP欺骗对我门有什么坏处呢?好了和大家说说吧~

ARP欺骗实际就是刷新你本地的ARP缓存表,因为ARP表一般都是动态的,这就给欺骗者一个好的机会了,他们发的其实就是ARP的单播回复,也就是欺骗方主动发起回复来刷新被欺骗方的ARP表,你想一想在一个局网里,欺骗者把网关的IP与一个不存在的MAC映射好并且以回复方式发给你,那你的结果会如何呵呵,找不到网关的真实地址了。

注意回复是必须接受的因为协议没有规定要提出请求才会响应,这是一个缺陷哦,它仅仅发给被欺骗者,不信可以抓包看看并且,隐藏了自己的MAC也就是源MAC是个假地址(ARP-回复报文的源填的就是个假的)。所以根本发现不了欺骗者,除非利用一些工具来查看出某些网卡此时正处于混乱模式因为从它那里出来的每一个帧的源MAC都不一样,而它自身的MAC没有被发送过。
 
当你是被欺骗者你接收到了一个不存在的网关MAC时那你就与公网断开了。当你接收到的网关MAC是欺骗者的MAC时,那你就会把数据都指向欺骗者从而欺骗者利用一些密码绣探工具和抓包工具监视到你的明文密码以及你的访问信息。这是十分危险的,欺骗者接到了你门的数据时,它再提交给网关,网关会认为数据就是它发的,它会修改源MAC地址,当然源IP是不会变的,从而网关回应你时根本不会去找你,它会直接提交给欺骗者包过你要与外部建立的TCP连接都会经过欺骗者的MAC,这样的话你所与外部的通信完全是要经过欺骗者的监视,它可以采取任何手段管理你。包过流量限制,从而使其自身称霸整个局网。要防止这样的事ARP -s 网关IP  网关MAC  静态捆绑是个很不错的选择。在本机哦!

注意ARP欺骗有些利用工具是会发2份请求的,一份发给网关告诉网关,被欺骗的主机IP对应的MAC地址是(一个假的MAC)网关就被欺骗了,从而你起码要等20分钟因为这是一个刷新时间,如果这段时间内欺骗者不发假消息了,你可以得到恢复,但如果持续的话,那估计你一直都上不了就算你在本地ARP -s 捆绑了网关与网关自己的MAC,因为网关不知道你的位置,所以它不会发数据给你。这样的话我本必须在网关接口上把下面的主机IP与MAC地址绑定住,让网关不被欺骗,同时要在下面主机上把网关的IP与网关的MAC捆绑在一起。这样做就很安全了,同时防止了更高层的欺骗,如ICMP重定向。

在广网中一般不存在这样的问题,因为大多情况都是PPP 或是PPPOE,PPP根本没有物理地址字段,PPPOE则要看MAC地址,但它也是点对点的,也就是说对方只能看见你,不存在这样的欺骗手段了,最多就是能够把接受者对换一下,很多ADSL用户为了突破电信的限制使多人路由NAT上网,做的就是一个MAC地址克隆把原本接入的PCMAC 克垄到进行PPPOE拨号的设备上。对方首先要进行PPPOE的认证之后才会进行PPP协商的2个阶段LCP NCP!
 
另外有很多朋友都知道吧,2个MAC地址一样,也能上网并且不会提示冲突,这样是一种错误的方式,你会发现有时你依然会掉线,对方的ARP表里会缓存2个IP对应一个MAC的情况这不是关键,关键的地方是交换机的接口设计的时候是不允许同一个MAC地址出现在多个接口的,也就是说MAC表里不会存在2个接口对应一个MAC的情况,这样的做的后果是,交换机MAC表动荡,一会发给第1接口一会发给第2接口。或许 你在同一个交换机的接口下又接了一个交换机,但结果还是一样,2层交换机只认识MAC表,2个接口对应一个MAC将引起MAC动荡使数据时通时不通。建议不要这样使用,以为是突破认证实际无任何意义!

IP冲突,很多黑软都带有这个功能,原理上来说就是一个IP对应了2个MAC,在你的PC刚开机的时候你的PC会以广播方式告诉大家,我的IP192.168.1.1对应的MAC是BBBB ,这样如果还有个PC也发了一个IP192.168.1.1,MACAAAA,那这个IP就会出现2个MAC了这样的话就会提示有冲突,黑软就是利用了这一点,他发这样的免费ARP给大家,制造IP冲突,但它自己不会提示,说过了,它只是在伪造数据包,所以源地址那里写的根本就是个假的!这是无法解决的,除非那家伙觉得没乐趣了停止使用,但这样对你没有什么影响,只是烦人的提示!只要被更改你的ARP缓存就不会存在问题。

查找这样的欺骗者,我门只能通过抓包手段仔细分析,而且要有以前没混乱时IP与MAC的对应关系,从而一一对照。

记得一点看包流向是看源IP与目标IP,当然经过地址翻译时有所改变,但对用户自己来说是透明的操作。我依然可以抓到外网的源IP,提示一下源地址转换其实就是转换的我门本身内网的IP为我门的出口地址,当回来的时候,目标的IP是我门的出口并且端口也是在出口处开放的端口不满足这2个条件的我门就会扔了!所以反向NAT实际上只是固定了一些关系固定了内部端口与出口端口的关系让出口不改变我门的接口,而后允许可更多的外部地址能访问出口处,从而出口原版的将数据递交给内网中。大家抓包分析就能发现,其实ping是不带端口的,别人ping不到你内网只是因为没有到内部的路由!

呵呵扯了点题外话!大家看帧的流向是看MAC地址这个东西是每经过一次转发就要改变的。它才是网络的基础!如果有人扰乱它的流向,那就是一种欺骗以及入侵方式。

推荐大家的软件密码监听器2.5绿色版,该软件使用了ARP欺骗方式让整个局网的数据都投递到欺骗者这里,从而对数据过滤取得明文密码。同时我门利用它,加上一个P2P网络终结者2.07企业绿色版。就能对整个局网进行管理,结合局网QQ绣探工具!甚至可以管理别人的QQ。(P2P网络终结者选择交换模式就可以实现强制ARP代理了!)补充一点,我门是在交换网络,共享的半双工方式已经过时了老套的方法是不能上战场的。

以上工具本人都有网上也有下载的,大家看清楚版本,小心中招。

【编辑推荐】

  1. 专题:ARP攻击防范与解决方案
  2. ARP Sinffer攻防实例讲解
  3. 教你使用Anti ARP Sniffer查找ARP攻击者
  4. ARP欺骗攻击原理也可以这样理解
责任编辑:老杨 来源: 51CTO技术论坛
相关推荐

2013-06-20 09:03:21

流量管理局域网管理网络管理

2010-09-16 13:42:34

2013-05-13 18:49:04

2018-02-05 09:52:08

运维局域网YUM仓库

2013-05-02 09:55:08

局域网远程连接失败

2011-07-29 11:10:38

2011-09-02 15:10:52

2012-12-13 10:34:35

ARP欺骗

2011-07-28 20:22:17

2009-10-28 10:20:24

2010-09-16 15:39:18

2011-07-29 10:57:41

2011-08-25 14:48:40

2011-11-30 17:42:14

2011-07-29 12:50:52

2009-06-30 18:14:20

2009-05-10 15:44:33

2009-07-15 15:07:09

Sniffer局域网安全

2010-09-07 10:44:14

2010-07-06 16:22:01

点赞
收藏

51CTO技术栈公众号