局域網(wǎng)攻擊原理與防備

網(wǎng)上關(guān)于ARP的資料已經(jīng)很多了， 就不用我都說了。

用某一位高手的話來說， “我們能做的事情很多， 唯一受

限制的是我們的創(chuàng)造力和想象力”。

ARP也是如此。

以下討論的機(jī)子有:

一個要攻擊的機(jī)子：10.5.4.178

硬件地址：52:54:4C:98:EE:2F

我的機(jī)子： :10.5.3.69

硬件地址：52:54:4C:98:ED:C5

網(wǎng)關(guān)： 10.5.0.3

硬件地址：00:90:26:3D:0C:F3

一臺交換機(jī)另一端口的機(jī)子：10.5.3.3

硬件地址：52:54:4C:98:ED:F7

一:   用ARP破WINDOWS的屏保

原理：利用IP沖突的級別比屏保高， 當(dāng)有沖突時， 就會

跳出屏保。

關(guān)鍵:     ARP包的數(shù)量適當(dāng)。

[root@sztcww tools]# ./send_arp 10.5.4.178 00:90:26:3D:0C:F3 /

10.5.4.178 52:54:4C:98:EE:2F 40

二：用ARP導(dǎo)致IP沖突， 死機(jī)

原理：WINDOWS 9X， NT4在處理IP沖突時， 處理不過來， 導(dǎo)致死機(jī)。

注： 對WINDOWS 2K， LINUX相當(dāng)于flooding,只是比一般的FLOODING

有效的多.對LINUX， 明顯系統(tǒng)被拖慢。

[root@sztcww tools]# ./send_arp 10.5.4.178 00:90:26:3D:0C:F3 /

10.5.4.178 52:54:4C:98:EE:2F 999999999

三：用ARP欺騙網(wǎng)關(guān)， 可導(dǎo)致局域網(wǎng)的某臺機(jī)子出不了網(wǎng)關(guān)。

原理:             用ARP應(yīng)答包去刷新對應(yīng)著要使之出不去的機(jī)子。

[root@sztcww tools]# ./send_arp 10.5.4.178 52:54:4C:98:EE:22 /

10.5.4.178 00:90:26:3D:0C:F3 1

注意：如果單單如上的命令， 大概只能有效幾秒鐘， 網(wǎng)關(guān)機(jī)子里的ARP

高速緩存會被被攻擊的機(jī)子正確刷新， 于是只要...

四：用ARP欺騙交換機(jī)， 可監(jiān)聽到交換機(jī)另一端的機(jī)子。

可能需要修改一下send_arp.C , 構(gòu)造如下的數(shù)據(jù)包。

ethhdr

srchw:52:54:4C:98:ED:F7--->dsthw:FF:FF:FF:FF:FF:FF proto:806H

arphdr

hwtype:1 protol:800H hw_size:6 pro_size:4 op:1

s_ha:52:54:4C:98:ED:F7 s_ip:10.5.3.3

d_ha:00:00:00:00:00:00 d_ip:10.5.3.3

然后就可以sniffer了。

原理:

交換機(jī)是具有記憶MAC地址功能的 , 它維護(hù)一張MAC地址和它的口號表

所以你可以先來個ARP 欺騙, 然后就可以監(jiān)聽了

不過需要指出 , 欺騙以后, 同一個MAC地址就有兩個端口號

yuange說， “這樣其實就是一個競爭問題。 ”

好象ARP 以后, 對整個網(wǎng)絡(luò)會有點影響, 不過我不敢確定

既然是競爭 , 所以監(jiān)聽也只能監(jiān)聽一部分, 不象同一HUB下的監(jiān)聽。

對被監(jiān)聽者會有影響， 因為他掉了一部分?jǐn)?shù)據(jù)。

當(dāng)然還有其他一些應(yīng)用， 需要其他技術(shù)的配合。

解決方法:

方法一:

網(wǎng)段A(192.168.0.x) 通過------> 網(wǎng)關(guān)服務(wù)器（192.168.0.1；192.168.10.1） -----〉

和網(wǎng)段B（192.168.10.x)通信。

假設(shè)架設(shè) CS服務(wù)器在 網(wǎng)段B 192.168.10.88 機(jī)器上，

現(xiàn)在 在 網(wǎng)關(guān)服務(wù)器上架著一個端口轉(zhuǎn)發(fā)程序（有很多的自己找）

比如定義 網(wǎng)關(guān)服務(wù)器的27015端口 轉(zhuǎn)發(fā) 指定 192.168.0.10.88 的27015端口

現(xiàn)在在網(wǎng)段A(192.168.0.x) 的玩家只要的 互聯(lián)網(wǎng)游戲地址處加入 192.168.0.1:27015 就可以找到

192.168.10.88 的CS服務(wù)器了

個人認(rèn)為比較好的 辦法是 把網(wǎng)段分開 ， 在網(wǎng)關(guān)服務(wù)器上做端口轉(zhuǎn)發(fā)服務(wù)

來達(dá)到 共享CS服務(wù)器等 功能， 就可以解決了~

方法二:

捆綁MAC和IP地址 杜絕IP地址盜用現(xiàn)象

到代理服務(wù)器端讓網(wǎng)絡(luò)管理員把您上網(wǎng)的靜態(tài)IP地址與所記錄計算機(jī)的網(wǎng)卡地址進(jìn)行捆綁。 具體命令是:

　　ARP -s 192.168.0.4 00-EO-4C-6C-08-75

　　這樣， 就將您上網(wǎng)的靜態(tài)IP地址192.168.0.4與網(wǎng)卡地址為00-EO-4C-6C-08-75的計算機(jī)綁定在一起了， 即使別人盜用您的IP地址192.168.0.4也無法通過代理服務(wù)器上網(wǎng)。 其中應(yīng)注意的是此項命令僅在局域網(wǎng)中上網(wǎng)的代理服務(wù)器端有用， 還要是靜態(tài)IP地址， 像一般的Modem撥號上網(wǎng)是動態(tài)IP地址就不起作用。 接下來我們對各參數(shù)的功能作一些簡單的介紹：

    ARP�� -s�牑� - d�牑� - a��

　　-s——將相應(yīng)的IP地址與物理地址的捆綁。

　　-d——刪除所給出的IP地址與物理地址的捆綁。

　　-a——通過查詢Arp協(xié)議表來顯示IP地址和對應(yīng)物理地址情況。

方法三:

網(wǎng)絡(luò)執(zhí)法官這個軟件相信大家都聽說過了。 功能不錯， 可以禁止局域網(wǎng)任意機(jī)器連接網(wǎng)絡(luò)。 這個功能對網(wǎng)管來說的確不錯。 不過如果這個軟件落到那些卑鄙小人的手里---那后果就不堪設(shè)想了。 輕則把你封了上不了網(wǎng)， 重則可以導(dǎo)致整個局域網(wǎng)癱瘓。 。

廢話不說了， 切入正題吧。 現(xiàn)在教大家兩招輕松防范網(wǎng)絡(luò)執(zhí)法官！！

NO 0.1

首先呢， 最穩(wěn)妥的一個辦法就是修改機(jī)器的MAC地址， 只要把MAC地址改為別的， 就可以欺騙過網(wǎng)絡(luò)執(zhí)法官， 從而達(dá)到突破封鎖的目的。 下面是修改MAC地址的方法：

linux環(huán)境下:

需要用

#ifconfig eth0 down

先把網(wǎng)卡禁用

再用ifconfig eth0 hw ether 1234567890ab

這樣就可以改成功了

要想永久改就這樣

在/etc/rc.d/rc.local里加上這三句(也可以在/etc/init.d/network里加下面三行)

ifconfig eth0 down

ifconfig eth0 hw ether 1234567890ab

ifconfig eth0 up

另:

在win2000中改MAC地址的方法:

打開注冊表編輯器， 找到HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Class/{4D36E972-E325-11CE-BFC1-08002BE10318}子鍵， 在該子鍵下的0000， 0001， 0002等分支中查找DriverDesc， 在0000子鍵下天一個字符串項， 命名為NetworkAddress， 鍵值設(shè)為修改后的MAC地址， 要求為連續(xù)的12個16進(jìn)制數(shù)， 如1234567890AB(注意位數(shù)要對！不能是000000000000， 不能與別的機(jī)器重復(fù))。 然后在0000下的NDI/params中加一項名為NetworkAddress的子鍵， 在該子鍵下添加名為defau

lt的字符串， 鍵值為修改后的MAC地址， 與上面的數(shù)值相同。 在NetworkAddress的主鍵下繼續(xù)添加命名為ParamDesc的字符串， 其作用是制定NetworkAddress主鍵的描述， 其值可為“MAC

地址”， 這樣以后打開網(wǎng)絡(luò)屬性， 雙擊相應(yīng)的網(wǎng)卡會發(fā)現(xiàn)有一個高級設(shè)置， 其下坐在“MAC地址”的選項， 在此修改MAC地址就可以了， 修改后需重啟。

Windows環(huán)境:

用dos， 8139的可以改， 用realtek的pg8139.exe,比如

是8139c網(wǎng)卡， 就改寫8139c.cfg文件， 第一行就是網(wǎng)卡mac,想怎么改就怎么改

NO 0.2

另外一種方法， 我沒有試， 一種設(shè)想， 有條件的朋友幫忙試一下。

由于網(wǎng)絡(luò)執(zhí)法官的原理是通過ARP欺騙發(fā)給被攻擊的電腦一個假的網(wǎng)關(guān)IP地址對應(yīng)的MAC， 使其找不到網(wǎng)關(guān)真正的MAC， 那么我們可以自己修改IP->MAC的映射， 使網(wǎng)絡(luò)執(zhí)法官ARP欺騙失效。 具體做法如下：

在還沒有被封鎖的時候進(jìn)入CMD執(zhí)行如下命令

e:/>ping 192.168.9.1 (假設(shè)此地址位網(wǎng)關(guān)。 )

Pinging 192.168.9.1 with 32 bytes of data:

Reply from 192.168.9.1: bytes=32 time<10ms TTL=64

Reply from 192.168.9.1: bytes=32 time<10ms TTL=64

Reply from 192.168.9.1: bytes=32 time<10ms TTL=64

Reply from 192.168.9.1: bytes=32 time<10ms TTL=64

Ping statistics for 192.168.9.1:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 0ms, Average = 0ms

e:/>arp -a

Interface: 192.168.9.1 on Interface 0x5000003

Internet Address Physical Address Type

192.168.9.1 00-0E-70-32-f1-02 dynamic

(上面的就是網(wǎng)關(guān)的MAC)

然后作這樣一個批處理文件保存起來。 。 注意�。。〉刂芬獡Q為你自己的網(wǎng)關(guān)的IP和MAC

arp -s 192.168.9.1 00-0E-70-32-f1-02

然后呢， 在你被封鎖的時候， 就執(zhí)行這個批處理吧。

NO 0.3

如果解除了網(wǎng)絡(luò)執(zhí)法官的封鎖可不可以查到使用網(wǎng)絡(luò)執(zhí)法官的人究竟是誰呢?答案是可以！(感謝zva提供方法)利用arpkiller的sniffer殺手掃描整個局域網(wǎng)IP段查找處在“混雜”(監(jiān)聽)模式下的計算機(jī)， 應(yīng)該就是他了！��！(注意， 掃描的時候自己也處在混雜模式， 自己不能算哦)

之后做什么呢？就不用我說了吧？哈哈， 以毒攻毒， 用網(wǎng)絡(luò)執(zhí)法官把她封了！

防止這種攻擊最好的辦法就是MAC地址和IP地址綁定， 也可以防止用黑白名單時盜用白名單的IP， 對于一些單位的網(wǎng)絡(luò)控制也有點用處。 不會查MAC地址的初學(xué)者用 ipconfig/all 就可以顯示了