局網內的霸道控制
arp欺騙相信大家都不陌生吧,但有人知道欺騙的這2個字的真實意義嗎?呵呵,那arp欺騙發的都是些什麼樣的arp包呢?arp欺騙該如何防止呢? arp欺騙對我門有什麼有用價值呢?arp欺騙對我門有什麼壞處呢?好了和大家說說吧~
arp欺騙實際就是刷新你本地的arp緩存表,因爲arp表一般都是動態的,這就給欺騙者一個好的機會了,他們發的其實就是arp的單播回覆,也就是欺騙方主動發起回覆來刷新被欺騙方的arp表,你想一想在一個局網裏,欺騙者把網關的IP與一個不存在的MAC映射好並且以回覆方式發給你,那你的結果會如何呵呵,找不到網關的真實地址了,
注意回覆是必須接受的因爲協議沒有規定要提出請求才會響應,這是一個缺陷哦,它僅僅發給被欺騙者,不信可以抓包看看並且,隱藏了自己的MAC也就是源MAC是個假地址(arp-回覆報文的源填的就是個假的)。所以根本發現不了欺騙者,除非利用一些工具來查看出某些網卡此時正處於混亂模式因爲從它那裏出來的每一個幀的源MAC都不一樣,而它自身的MAC沒有被髮送過。
當你是被欺騙者你接收到了一個不存在的網關MAC時那你就與公網斷開了。當你接收到的網關MAC是欺騙者的MAC時,那你就會把數據都指向欺騙者從而欺騙者利用一些密碼繡探工具和抓包工具監視到你的明文密碼以及你的訪問信息。這是十分危險的,欺騙者接到了你門的數據時,它再提交給網關,網關會認爲數據就是它發的,它會修改源MAC地址,當然源IP是不會變的,從而網關回應你時根本不會去找你,它會直接提交給欺騙者包過你要與外部建立的TCP連接都會經過欺騙者的MAC,這樣的話你所與外部的通信完全是要經過欺騙者的監視,它可以採取任何手段管理你。包過流量限制,從而使其自身稱霸整個局網。要防止這樣的事arp -s 網關IP 網關MAC 靜態捆綁是個很不錯的選擇。在本機哦!
注意ARP欺騙有些利用工具是會發2份請求的,一份發給網關告訴網關,被欺騙的主機IP對應的MAC地址是(一個假的MAC)網關就被欺騙了,從而你起碼要等20分鐘因爲這是一個刷新時間,如果這段時間內欺騙者不發假消息了,你可以得到恢復,但如果持續的話,那估計你一直都上不了就算你在本地arp -s 捆綁了網關與網關自己的MAC,因爲網關不知道你的位置,所以它不會發數據給你。這樣的話我本必須在網關接口上把下面的主機IP與MAC地址綁定住,讓網關不被欺騙,同時要在下面主機上把網關的IP與網關的MAC捆綁在一起。這樣做就很安全了,同時防止了更高層的欺騙,如ICMP重定向。
在廣網中一般不存在這樣的問題,因爲大多情況都是PPP 或是PPPOE,PPP根本沒有物理地址字段,PPPOE則要看MAC地址,但它也是點對點的,也就是說對方只能看見你,不存在這樣的欺騙手段了,最多就是能夠把接受者對換一下,很多ADSL用戶爲了突破電信的限制使多人路由NAT上網,做的就是一個MAC地址克隆把原本接入的PCMAC 克壟到進行PPPOE撥號的設備上。對方首先要進行PPPOE的認證之後纔會進行PPP協商的2個階段LCP NCP!
另外有很多朋友都知道吧,2個MAC地址一樣,也能上網並且不會提示衝突,這樣是一種錯誤的方式,你會發現有時你依然會掉線,對方的arp表裏會緩存2個IP對應一個MAC的情況這不是關鍵,關鍵的地方是交換機的接口設計的時候是不允許同一個MAC地址出現在多個接口的,也就是說MAC表裏不會存在2個接口對應一個MAC的情況,這樣的做的後果是,交換機MAC表動盪,一會發給第1接口一會發給第2接口。或許 你在同一個交換機的接口下又接了一個交換機,但結果還是一樣,2層交換機只認識MAC表,2個接口對應一個MAC將引起MAC動盪使數據時通時不通。建議不要這樣使用,以爲是突破認證實際無任何意義!
IP衝突,很多黑軟都帶有這個功能,原理上來說就是一個IP對應了2個MAC,在你的PC剛開機的時候你的PC會以廣播方式告訴大家,我的IP192.168.1.1對應的MAC是BBBB ,這樣如果還有個PC也發了一個IP192.168.1.1,MACAAAA
那這個IP就會出現2個MAC了這樣的話就會提示有衝突,黑軟就是利用了這一點,他發這樣的免費ARP給大家,製造IP衝突,但它自己不會提示,說過了,它只是在僞造數據包,所以源地址那裏寫的根本就是個假的!這是無法解決的,除非那傢伙覺得沒樂趣了停止使用,但這樣對你沒有什麼影響,只是煩人的提示!只要被更改你的arp緩存就不會存在問題。
查找這樣的欺騙者,我門只能通過抓包手段仔細分析,而且要有以前沒混亂時IP與MAC的對應關係,從而一一對照。
記得一點看包流向是看源IP與目標IP,當然經過地址翻譯時有所改變,但對用戶自己來說是透明的操作。我依然可以
抓到外網的源IP,提示一下源地址轉換其實就是轉換的我門本身內網的IP爲我門的出口地址,當回來的時候,目標的IP
是我門的出口並且端口也是在出口處開放的端口不滿足這2個條件的我門就會扔了!所以反向NAT實際上只是固定了一些關係
固定了內部端口與出口端口的關係讓出口不改變我門的接口,而後允許可更多的外部地址能訪問出口處,從而出口原版的將
數據遞交給內網中。大家抓包分析就能發現,其實ping是不帶端口的,別人ping不到你內網只是因爲沒有到內部的路由!
呵呵扯了點題外話!大家看幀的流向是看MAC地址這個東西是每經過一次轉發就要改變的。它纔是網絡的基礎!如果有人擾亂
它的流向,那就是一種欺騙以及***方式。
推薦大家的軟件密碼監聽器2.5綠色版,該軟件使用了arp欺騙方式讓整個局網的數據都投遞到欺騙者這裏,從而對數據過濾取得明文密碼。
同時我門利用它,加上一個P2P網絡終結者2.07企業綠色版。就能對整個局網進行管理,結合局網QQ繡探工具!甚至可以管理別人的QQ。(P2P網絡終結者選擇交換模式就可以實現強制arp代理了!)補充一點,我門是在交換網絡,共享的半雙工方式已經過時了老套的方法是不能上戰場的。
以上工具本人都有網上也有下載的,大家看清楚版本 綠色版否則小心中招,
呵呵,以上是個人理解高手請多多指教
arp欺騙相信大家都不陌生吧,但有人知道欺騙的這2個字的真實意義嗎?呵呵,那arp欺騙發的都是些什麼樣的arp包呢?arp欺騙該如何防止呢? arp欺騙對我門有什麼有用價值呢?arp欺騙對我門有什麼壞處呢?好了和大家說說吧~
arp欺騙實際就是刷新你本地的arp緩存表,因爲arp表一般都是動態的,這就給欺騙者一個好的機會了,他們發的其實就是arp的單播回覆,也就是欺騙方主動發起回覆來刷新被欺騙方的arp表,你想一想在一個局網裏,欺騙者把網關的IP與一個不存在的MAC映射好並且以回覆方式發給你,那你的結果會如何呵呵,找不到網關的真實地址了,
注意回覆是必須接受的因爲協議沒有規定要提出請求才會響應,這是一個缺陷哦,它僅僅發給被欺騙者,不信可以抓包看看並且,隱藏了自己的MAC也就是源MAC是個假地址(arp-回覆報文的源填的就是個假的)。所以根本發現不了欺騙者,除非利用一些工具來查看出某些網卡此時正處於混亂模式因爲從它那裏出來的每一個幀的源MAC都不一樣,而它自身的MAC沒有被髮送過。
當你是被欺騙者你接收到了一個不存在的網關MAC時那你就與公網斷開了。當你接收到的網關MAC是欺騙者的MAC時,那你就會把數據都指向欺騙者從而欺騙者利用一些密碼繡探工具和抓包工具監視到你的明文密碼以及你的訪問信息。這是十分危險的,欺騙者接到了你門的數據時,它再提交給網關,網關會認爲數據就是它發的,它會修改源MAC地址,當然源IP是不會變的,從而網關回應你時根本不會去找你,它會直接提交給欺騙者包過你要與外部建立的TCP連接都會經過欺騙者的MAC,這樣的話你所與外部的通信完全是要經過欺騙者的監視,它可以採取任何手段管理你。包過流量限制,從而使其自身稱霸整個局網。要防止這樣的事arp -s 網關IP 網關MAC 靜態捆綁是個很不錯的選擇。在本機哦!
注意ARP欺騙有些利用工具是會發2份請求的,一份發給網關告訴網關,被欺騙的主機IP對應的MAC地址是(一個假的MAC)網關就被欺騙了,從而你起碼要等20分鐘因爲這是一個刷新時間,如果這段時間內欺騙者不發假消息了,你可以得到恢復,但如果持續的話,那估計你一直都上不了就算你在本地arp -s 捆綁了網關與網關自己的MAC,因爲網關不知道你的位置,所以它不會發數據給你。這樣的話我本必須在網關接口上把下面的主機IP與MAC地址綁定住,讓網關不被欺騙,同時要在下面主機上把網關的IP與網關的MAC捆綁在一起。這樣做就很安全了,同時防止了更高層的欺騙,如ICMP重定向。
在廣網中一般不存在這樣的問題,因爲大多情況都是PPP 或是PPPOE,PPP根本沒有物理地址字段,PPPOE則要看MAC地址,但它也是點對點的,也就是說對方只能看見你,不存在這樣的欺騙手段了,最多就是能夠把接受者對換一下,很多ADSL用戶爲了突破電信的限制使多人路由NAT上網,做的就是一個MAC地址克隆把原本接入的PCMAC 克壟到進行PPPOE撥號的設備上。對方首先要進行PPPOE的認證之後纔會進行PPP協商的2個階段LCP NCP!
另外有很多朋友都知道吧,2個MAC地址一樣,也能上網並且不會提示衝突,這樣是一種錯誤的方式,你會發現有時你依然會掉線,對方的arp表裏會緩存2個IP對應一個MAC的情況這不是關鍵,關鍵的地方是交換機的接口設計的時候是不允許同一個MAC地址出現在多個接口的,也就是說MAC表裏不會存在2個接口對應一個MAC的情況,這樣的做的後果是,交換機MAC表動盪,一會發給第1接口一會發給第2接口。或許 你在同一個交換機的接口下又接了一個交換機,但結果還是一樣,2層交換機只認識MAC表,2個接口對應一個MAC將引起MAC動盪使數據時通時不通。建議不要這樣使用,以爲是突破認證實際無任何意義!
IP衝突,很多黑軟都帶有這個功能,原理上來說就是一個IP對應了2個MAC,在你的PC剛開機的時候你的PC會以廣播方式告訴大家,我的IP192.168.1.1對應的MAC是BBBB ,這樣如果還有個PC也發了一個IP192.168.1.1,MACAAAA
那這個IP就會出現2個MAC了這樣的話就會提示有衝突,黑軟就是利用了這一點,他發這樣的免費ARP給大家,製造IP衝突,但它自己不會提示,說過了,它只是在僞造數據包,所以源地址那裏寫的根本就是個假的!這是無法解決的,除非那傢伙覺得沒樂趣了停止使用,但這樣對你沒有什麼影響,只是煩人的提示!只要被更改你的arp緩存就不會存在問題。
查找這樣的欺騙者,我門只能通過抓包手段仔細分析,而且要有以前沒混亂時IP與MAC的對應關係,從而一一對照。
記得一點看包流向是看源IP與目標IP,當然經過地址翻譯時有所改變,但對用戶自己來說是透明的操作。我依然可以
抓到外網的源IP,提示一下源地址轉換其實就是轉換的我門本身內網的IP爲我門的出口地址,當回來的時候,目標的IP
是我門的出口並且端口也是在出口處開放的端口不滿足這2個條件的我門就會扔了!所以反向NAT實際上只是固定了一些關係
固定了內部端口與出口端口的關係讓出口不改變我門的接口,而後允許可更多的外部地址能訪問出口處,從而出口原版的將
數據遞交給內網中。大家抓包分析就能發現,其實ping是不帶端口的,別人ping不到你內網只是因爲沒有到內部的路由!
呵呵扯了點題外話!大家看幀的流向是看MAC地址這個東西是每經過一次轉發就要改變的。它纔是網絡的基礎!如果有人擾亂
它的流向,那就是一種欺騙以及***方式。
推薦大家的軟件密碼監聽器2.5綠色版,該軟件使用了arp欺騙方式讓整個局網的數據都投遞到欺騙者這裏,從而對數據過濾取得明文密碼。
同時我門利用它,加上一個P2P網絡終結者2.07企業綠色版。就能對整個局網進行管理,結合局網QQ繡探工具!甚至可以管理別人的QQ。(P2P網絡終結者選擇交換模式就可以實現強制arp代理了!)補充一點,我門是在交換網絡,共享的半雙工方式已經過時了老套的方法是不能上戰場的。
以上工具本人都有網上也有下載的,大家看清楚版本 綠色版否則小心中招,
呵呵,以上是個人理解高手請多多指教
-------------------------------------------------------------------------------
補充一下IP衝突的原理,現在一個局網已經有一個192.168.1.1的IP存在了,而我現在又把自己的IP更改爲192.168.1.1,結果提示了IP衝突,發生了些什麼呢?首先是本機封裝一個ARP的包格式爲:硬件類型 協議類型 硬件地址長度 協議地址長度 操作類型(請求或迴應) 發送者MAC 發送者IP(192.168.1.1更改以後) 想要得到的MAC(0.0.0.0沒有) 想要得到的IP(192.168.1.1我想得到它但要發出去看看網絡中是不是已經有了) 以上就是我本機更改IP時發的 ARP包格式.
再這之後我門加上以太幀頭,目標是FFF的MAC地址,源是我本網卡的MAC地址(黑軟可修改此MAC爲一個假的所以很難發現),此時我想要得到的IP已經在網絡中存在瞭如192.168.1.1 這時,就會提示IP衝突.爲什麼,因爲你要得到的這個IP192.168.1.1對應的MAC在網絡中還有一個.也就是一IP對應了2個MAC!!注意如果你把MAC地址也改爲192.168.1.1所對應的那個MAC,那結果是不會提示衝突,因爲對方根本不會處理這個ARP的免費查詢信息了而是忽略了,它根本不知道網絡中還存在一個192.168.1.1因此沒有提示衝突.
IP衝突就是這樣.
cisco有命令可以完美防止ARP欺騙,就是3個.
詳細情況請看 http://www.pconline.com.cn/pcjob ... rs/0510/710235.html
內容太多.
在這個基礎上如果你能讓別人認爲網關的MAC 是FFFFFFFF。整個局網的PC都在發廣播,那後果。就是廣播風暴又來了!
經過測試發現ARP -S 根本不能解決ARP欺騙的問題,必須ARP-D 一秒中100次,這樣刷新,我估計是WINDOWS的BUG了,
已經測試,使用ARP保護神,發現ARP表裏總是空的,但也可以ping到對方,原因可能是每次都發了廣播去請求對方了的MAC了
關於華爲如何解決ARP的問題
ARP欺騙的攻與防。ARP欺騙是一種利用ARP協議自身進行的一種MAC地址僞裝的***手段,也是駭客經常使用的***方式。實際上該種方式在局網內,經常發生,尤其是小區,學校,網吧。那此***能實現的效果是什麼?能實現在任何局網的用戶斷開與網關,或與局網之間的聯通性,從而迫使該用戶脫網。
還可以實現的是,改變數據發送方向,可以讓整個局網的用戶數據發往***者的機器,此時***者可以利用嗅探工具從大量的數據中查出敏感字段如:密碼,帳戶,卡號等…. 具體如圖:
解:圖中黑線表示數據發送方向被更改,紅線表示正常發送的數據。欺騙之後效果因該是PC2 PC3不能通信 但PC2 PC3可以和PC1通信。
關實現以及工具:
SINNFER4.5版,用來抓包分析,當然此辦法太過專業。因此我門爲大家準備了一款小巧的工具,網絡特攻1.9版或P2P網絡終結者綠色版免安裝。以上工具
僅可以實現欺騙或改變數據發送,但不是屬於防止工具。
ARP守護者1.5,ARP欺騙防與查。都是屬於防類工具這裏也爲大家準備了。
但此類工具並不能從根本上解決ARP欺騙,只要對方發送欺騙包的速度快過你防止的頻率,以上工具便會失去效果。從而想真正解決這樣的問題那只有使用網絡設備,交換機!且一定要是能夠對其進行管理的。
華爲交換機做發如下:
申明該手冊裏牽涉到的地址是針對與本TOP圖內,實際情況請根據需要改變。
分析:PC1是***者,它的目的是想阻止PC2與PC3之間的通信,那它具體是想告訴PC2,PC3的IP地址對應MAC是PC1的MAC這樣就是欺騙PC2,那我門要阻止的是什麼,很顯然要防的是PC1不能發出ARP的回覆數據包,只要是PC1發的且(注意)IP爲PC3的192.168.10.252的話我門就過濾掉注意該條件,否則PC1將任何回覆的ARP都不能發了,那交換機上如何去實現呢?具體看如下命令:
<quidway>sys
[quidway]acl 5000
[quidway-acl-5000] rule 0 deny 0806 ffff 24 c0a80afc ffffffff 40
[quidway-acl-5000] rule 1 permit 0806 ffff 24 00030d20d5a0 ffffffffffff 3
[quidway] packet-filter user-group 5000
命令解釋,在該交換機建立一條5000的用戶列表,之後內容爲
0806是ARP協議的代碼,24是偏移位,FFFF是反MASK當然這些都是專業內容大家學要的是更多的學習。
RUEL0的意思是阻止所有的IP爲c0a80afc這個是16進制=192.168.10.252,好阻止掉IP是它的,但要注意的是RULE1的內容 ,允許MAC地址爲 00030d20d5a0這樣的MAC其實就是192.168.10.252本身的MAC,意思是除了該MAC地址所發送的ARP的迴應包,其他想冒充192.168.10.252的IP做ARP回覆都會被阻止掉。
當然這裏的IP可以替換掉,但需要計算。好了這是HW的解決辦法
再這之後我門加上以太幀頭,目標是FFF的MAC地址,源是我本網卡的MAC地址(黑軟可修改此MAC爲一個假的所以很難發現),此時我想要得到的IP已經在網絡中存在瞭如192.168.1.1 這時,就會提示IP衝突.爲什麼,因爲你要得到的這個IP192.168.1.1對應的MAC在網絡中還有一個.也就是一IP對應了2個MAC!!注意如果你把MAC地址也改爲192.168.1.1所對應的那個MAC,那結果是不會提示衝突,因爲對方根本不會處理這個ARP的免費查詢信息了而是忽略了,它根本不知道網絡中還存在一個192.168.1.1因此沒有提示衝突.
IP衝突就是這樣.
cisco有命令可以完美防止ARP欺騙,就是3個.
詳細情況請看 http://www.pconline.com.cn/pcjob ... rs/0510/710235.html
內容太多.
在這個基礎上如果你能讓別人認爲網關的MAC 是FFFFFFFF。整個局網的PC都在發廣播,那後果。就是廣播風暴又來了!
經過測試發現ARP -S 根本不能解決ARP欺騙的問題,必須ARP-D 一秒中100次,這樣刷新,我估計是WINDOWS的BUG了,
已經測試,使用ARP保護神,發現ARP表裏總是空的,但也可以ping到對方,原因可能是每次都發了廣播去請求對方了的MAC了
關於華爲如何解決ARP的問題
ARP欺騙的攻與防。ARP欺騙是一種利用ARP協議自身進行的一種MAC地址僞裝的***手段,也是駭客經常使用的***方式。實際上該種方式在局網內,經常發生,尤其是小區,學校,網吧。那此***能實現的效果是什麼?能實現在任何局網的用戶斷開與網關,或與局網之間的聯通性,從而迫使該用戶脫網。
還可以實現的是,改變數據發送方向,可以讓整個局網的用戶數據發往***者的機器,此時***者可以利用嗅探工具從大量的數據中查出敏感字段如:密碼,帳戶,卡號等…. 具體如圖:
解:圖中黑線表示數據發送方向被更改,紅線表示正常發送的數據。欺騙之後效果因該是PC2 PC3不能通信 但PC2 PC3可以和PC1通信。
關實現以及工具:
SINNFER4.5版,用來抓包分析,當然此辦法太過專業。因此我門爲大家準備了一款小巧的工具,網絡特攻1.9版或P2P網絡終結者綠色版免安裝。以上工具
僅可以實現欺騙或改變數據發送,但不是屬於防止工具。
ARP守護者1.5,ARP欺騙防與查。都是屬於防類工具這裏也爲大家準備了。
但此類工具並不能從根本上解決ARP欺騙,只要對方發送欺騙包的速度快過你防止的頻率,以上工具便會失去效果。從而想真正解決這樣的問題那只有使用網絡設備,交換機!且一定要是能夠對其進行管理的。
華爲交換機做發如下:
申明該手冊裏牽涉到的地址是針對與本TOP圖內,實際情況請根據需要改變。
分析:PC1是***者,它的目的是想阻止PC2與PC3之間的通信,那它具體是想告訴PC2,PC3的IP地址對應MAC是PC1的MAC這樣就是欺騙PC2,那我門要阻止的是什麼,很顯然要防的是PC1不能發出ARP的回覆數據包,只要是PC1發的且(注意)IP爲PC3的192.168.10.252的話我門就過濾掉注意該條件,否則PC1將任何回覆的ARP都不能發了,那交換機上如何去實現呢?具體看如下命令:
<quidway>sys
[quidway]acl 5000
[quidway-acl-5000] rule 0 deny 0806 ffff 24 c0a80afc ffffffff 40
[quidway-acl-5000] rule 1 permit 0806 ffff 24 00030d20d5a0 ffffffffffff 3
[quidway] packet-filter user-group 5000
命令解釋,在該交換機建立一條5000的用戶列表,之後內容爲
0806是ARP協議的代碼,24是偏移位,FFFF是反MASK當然這些都是專業內容大家學要的是更多的學習。
RUEL0的意思是阻止所有的IP爲c0a80afc這個是16進制=192.168.10.252,好阻止掉IP是它的,但要注意的是RULE1的內容 ,允許MAC地址爲 00030d20d5a0這樣的MAC其實就是192.168.10.252本身的MAC,意思是除了該MAC地址所發送的ARP的迴應包,其他想冒充192.168.10.252的IP做ARP回覆都會被阻止掉。
當然這裏的IP可以替換掉,但需要計算。好了這是HW的解決辦法
