|
ARP欺騙相信大家都不陌生吧,但有人知道欺騙的這2個(gè)字的真實(shí)意義嗎����?呵呵,那ARP欺騙發(fā)的都是些什么樣的ARP包呢����?ARP欺騙該如何防止呢�?ARP欺騙對(duì)我門(mén)有什么有用價(jià)值呢����?ARP欺騙對(duì)我門(mén)有什么壞處呢?好了和大家說(shuō)說(shuō)吧~
ARP欺騙實(shí)際就是刷新你本地的ARP緩存表�,因?yàn)锳RP表一般都是動(dòng)態(tài)的,這就給欺騙者一個(gè)好的機(jī)會(huì)了���,他們發(fā)的其實(shí)就是ARP的單播回復(fù)��,也就是欺騙方主動(dòng)發(fā)起回復(fù)來(lái)刷新被欺騙方的ARP表����,你想一想在一個(gè)局網(wǎng)里�����,欺騙者把網(wǎng)關(guān)的IP與一個(gè)不存在的MAC映射好并且以回復(fù)方式發(fā)給你�,那你的結(jié)果會(huì)如何呵呵,找不到網(wǎng)關(guān)的真實(shí)地址了��。
注意回復(fù)是必須接受的因?yàn)閰f(xié)議沒(méi)有規(guī)定要提出請(qǐng)求才會(huì)響應(yīng)�����,這是一個(gè)缺陷哦��,它僅僅發(fā)給被欺騙者����,不信可以抓包看看并且,隱藏了自己的MAC也就是源MAC是個(gè)假地址(ARP-回復(fù)報(bào)文的源填的就是個(gè)假的)�����。所以根本發(fā)現(xiàn)不了欺騙者�,除非利用一些工具來(lái)查看出某些網(wǎng)卡此時(shí)正處于混亂模式因?yàn)閺乃抢锍鰜?lái)的每一個(gè)幀的源MAC都不一樣,而它自身的MAC沒(méi)有被發(fā)送過(guò)����。
當(dāng)你是被欺騙者你接收到了一個(gè)不存在的網(wǎng)關(guān)MAC時(shí)那你就與公網(wǎng)斷開(kāi)了。當(dāng)你接收到的網(wǎng)關(guān)MAC是欺騙者的MAC時(shí)�����,那你就會(huì)把數(shù)據(jù)都指向欺騙者從而欺騙者利用一些密碼繡探工具和抓包工具監(jiān)視到你的明文密碼以及你的訪問(wèn)信息�����。這是十分危險(xiǎn)的����,欺騙者接到了你門(mén)的數(shù)據(jù)時(shí)����,它再提交給網(wǎng)關(guān)�����,網(wǎng)關(guān)會(huì)認(rèn)為數(shù)據(jù)就是它發(fā)的�,它會(huì)修改源MAC地址,當(dāng)然源IP是不會(huì)變的��,從而網(wǎng)關(guān)回應(yīng)你時(shí)根本不會(huì)去找你���,它會(huì)直接提交給欺騙者包過(guò)你要與外部建立的TCP連接都會(huì)經(jīng)過(guò)欺騙者的MAC�����,這樣的話你所與外部的通信完全是要經(jīng)過(guò)欺騙者的監(jiān)視�����,它可以采取任何手段管理你�����。包過(guò)流量限制���,從而使其自身稱霸整個(gè)局網(wǎng)。要防止這樣的事ARP -s 網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC 靜態(tài)捆綁是個(gè)很不錯(cuò)的選擇��。在本機(jī)哦��!
注意ARP欺騙有些利用工具是會(huì)發(fā)2份請(qǐng)求的��,一份發(fā)給網(wǎng)關(guān)告訴網(wǎng)關(guān)��,被欺騙的主機(jī)IP對(duì)應(yīng)的MAC地址是(一個(gè)假的MAC)網(wǎng)關(guān)就被欺騙了�����,從而你起碼要等20分鐘因?yàn)檫@是一個(gè)刷新時(shí)間��,如果這段時(shí)間內(nèi)欺騙者不發(fā)假消息了����,你可以得到恢復(fù),但如果持續(xù)的話����,那估計(jì)你一直都上不了就算你在本地ARP -s 捆綁了網(wǎng)關(guān)與網(wǎng)關(guān)自己的MAC����,因?yàn)榫W(wǎng)關(guān)不知道你的位置�,所以它不會(huì)發(fā)數(shù)據(jù)給你。這樣的話我本必須在網(wǎng)關(guān)接口上把下面的主機(jī)IP與MAC地址綁定住���,讓網(wǎng)關(guān)不被欺騙��,同時(shí)要在下面主機(jī)上把網(wǎng)關(guān)的IP與網(wǎng)關(guān)的MAC捆綁在一起��。這樣做就很安全了�����,同時(shí)防止了更高層的欺騙��,如ICMP重定向�。
在廣網(wǎng)中一般不存在這樣的問(wèn)題�����,因?yàn)榇蠖嗲闆r都是PPP 或是PPPOE��,PPP根本沒(méi)有物理地址字段,PPPOE則要看MAC地址����,但它也是點(diǎn)對(duì)點(diǎn)的���,也就是說(shuō)對(duì)方只能看見(jiàn)你�����,不存在這樣的欺騙手段了��,最多就是能夠把接受者對(duì)換一下�����,很多ADSL用戶為了突破電信的限制使多人路由NAT上網(wǎng)��,做的就是一個(gè)MAC地址克隆把原本接入的PCMAC 克壟到進(jìn)行PPPOE撥號(hào)的設(shè)備上����。對(duì)方首先要進(jìn)行PPPOE的認(rèn)證之后才會(huì)進(jìn)行PPP協(xié)商的2個(gè)階段LCP NCP�����!
另外有很多朋友都知道吧,2個(gè)MAC地址一樣����,也能上網(wǎng)并且不會(huì)提示沖突,這樣是一種錯(cuò)誤的方式��,你會(huì)發(fā)現(xiàn)有時(shí)你依然會(huì)掉線�����,對(duì)方的ARP表里會(huì)緩存2個(gè)IP對(duì)應(yīng)一個(gè)MAC的情況這不是關(guān)鍵��,關(guān)鍵的地方是交換機(jī)的接口設(shè)計(jì)的時(shí)候是不允許同一個(gè)MAC地址出現(xiàn)在多個(gè)接口的���,也就是說(shuō)MAC表里不會(huì)存在2個(gè)接口對(duì)應(yīng)一個(gè)MAC的情況�,這樣的做的后果是�,交換機(jī)MAC表動(dòng)蕩,一會(huì)發(fā)給第1接口一會(huì)發(fā)給第2接口��������;蛟S 你在同一個(gè)交換機(jī)的接口下又接了一個(gè)交換機(jī)�����,但結(jié)果還是一樣�,2層交換機(jī)只認(rèn)識(shí)MAC表,2個(gè)接口對(duì)應(yīng)一個(gè)MAC將引起MAC動(dòng)蕩使數(shù)據(jù)時(shí)通時(shí)不通��。建議不要這樣使用�,以為是突破認(rèn)證實(shí)際無(wú)任何意義!
IP沖突�,很多黑軟都帶有這個(gè)功能���,原理上來(lái)說(shuō)就是一個(gè)IP對(duì)應(yīng)了2個(gè)MAC���,在你的PC剛開(kāi)機(jī)的時(shí)候你的PC會(huì)以廣播方式告訴大家,我的IP192.168.1.1對(duì)應(yīng)的MAC是BBBB ���,這樣如果還有個(gè)PC也發(fā)了一個(gè)IP192.168.1.1�,MACAAAA�,那這個(gè)IP就會(huì)出現(xiàn)2個(gè)MAC了這樣的話就會(huì)提示有沖突,黑軟就是利用了這一點(diǎn)����,他發(fā)這樣的免費(fèi)ARP給大家��,制造IP沖突�����,但它自己不會(huì)提示����,說(shuō)過(guò)了���,它只是在偽造數(shù)據(jù)包�,所以源地址那里寫(xiě)的根本就是個(gè)假的����!這是無(wú)法解決的,除非那家伙覺(jué)得沒(méi)樂(lè)趣了停止使用����,但這樣對(duì)你沒(méi)有什么影響,只是煩人的提示��!只要被更改你的ARP緩存就不會(huì)存在問(wèn)題��。
查找這樣的欺騙者����,我門(mén)只能通過(guò)抓包手段仔細(xì)分析��,而且要有以前沒(méi)混亂時(shí)IP與MAC的對(duì)應(yīng)關(guān)系����,從而一一對(duì)照�。
記得一點(diǎn)看包流向是看源IP與目標(biāo)IP,當(dāng)然經(jīng)過(guò)地址翻譯時(shí)有所改變�,但對(duì)用戶自己來(lái)說(shuō)是透明的操作。我依然可以抓到外網(wǎng)的源IP�,提示一下源地址轉(zhuǎn)換其實(shí)就是轉(zhuǎn)換的我門(mén)本身內(nèi)網(wǎng)的IP為我門(mén)的出口地址,當(dāng)回來(lái)的時(shí)候���,目標(biāo)的IP是我門(mén)的出口并且端口也是在出口處開(kāi)放的端口不滿足這2個(gè)條件的我門(mén)就會(huì)扔了!所以反向NAT實(shí)際上只是固定了一些關(guān)系固定了內(nèi)部端口與出口端口的關(guān)系讓出口不改變我門(mén)的接口�����,而后允許可更多的外部地址能訪問(wèn)出口處�,從而出口原版的將數(shù)據(jù)遞交給內(nèi)網(wǎng)中。大家抓包分析就能發(fā)現(xiàn)���,其實(shí)ping是不帶端口的���,別人ping不到你內(nèi)網(wǎng)只是因?yàn)闆](méi)有到內(nèi)部的路由��!
呵呵扯了點(diǎn)題外話����!大家看幀的流向是看MAC地址這個(gè)東西是每經(jīng)過(guò)一次轉(zhuǎn)發(fā)就要改變的����。它才是網(wǎng)絡(luò)的基礎(chǔ)!如果有人擾亂它的流向�,那就是一種欺騙以及入侵方式。
推薦大家的軟件密碼監(jiān)聽(tīng)器2.5綠色版����,該軟件使用了ARP欺騙方式讓整個(gè)局網(wǎng)的數(shù)據(jù)都投遞到欺騙者這里,從而對(duì)數(shù)據(jù)過(guò)濾取得明文密碼��。同時(shí)我門(mén)利用它���,加上一個(gè)P2P網(wǎng)絡(luò)終結(jié)者2.07企業(yè)綠色版�����。就能對(duì)整個(gè)局網(wǎng)進(jìn)行管理����,結(jié)合局網(wǎng)QQ繡探工具!甚至可以管理別人的QQ���。(P2P網(wǎng)絡(luò)終結(jié)者選擇交換模式就可以實(shí)現(xiàn)強(qiáng)制ARP代理了�����。┭a(bǔ)充一點(diǎn)�,我門(mén)是在交換網(wǎng)絡(luò)�,共享的半雙工方式已經(jīng)過(guò)時(shí)了老套的方法是不能上戰(zhàn)場(chǎng)的。
以上工具本人都有網(wǎng)上也有下載的�,大家看清楚版本,小心中招�。
如果有需要服務(wù)器的租用與托管的敬請(qǐng)聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)���!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商�����!15年品質(zhì)保障�����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
