|
ARP欺騙相信大家都不陌生吧�����,但有人知道欺騙的這2個(gè)字的真實(shí)意義嗎�����?呵呵����,那ARP欺騙發(fā)的都是些什么樣的ARP包呢����?ARP欺騙該如何防止呢�?ARP欺騙對(duì)我門(mén)有什么有用價(jià)值呢?ARP欺騙對(duì)我門(mén)有什么壞處呢�?好了和大家說(shuō)說(shuō)吧~
ARP欺騙實(shí)際就是刷新你本地的ARP緩存表,因?yàn)锳RP表一般都是動(dòng)態(tài)的��,這就給欺騙者一個(gè)好的機(jī)會(huì)了�,他們發(fā)的其實(shí)就是ARP的單播回復(fù)�,也就是欺騙方主動(dòng)發(fā)起回復(fù)來(lái)刷新被欺騙方的ARP表����,你想一想在一個(gè)局網(wǎng)里,欺騙者把網(wǎng)關(guān)的IP與一個(gè)不存在的MAC映射好并且以回復(fù)方式發(fā)給你����,那你的結(jié)果會(huì)如何呵呵,找不到網(wǎng)關(guān)的真實(shí)地址了��。
注意回復(fù)是必須接受的因?yàn)閰f(xié)議沒(méi)有規(guī)定要提出請(qǐng)求才會(huì)響應(yīng)����,這是一個(gè)缺陷哦,它僅僅發(fā)給被欺騙者�����,不信可以抓包看看并且����,隱藏了自己的MAC也就是源MAC是個(gè)假地址(ARP-回復(fù)報(bào)文的源填的就是個(gè)假的)。所以根本發(fā)現(xiàn)不了欺騙者����,除非利用一些工具來(lái)查看出某些網(wǎng)卡此時(shí)正處于混亂模式因?yàn)閺乃抢锍鰜?lái)的每一個(gè)幀的源MAC都不一樣��,而它自身的MAC沒(méi)有被發(fā)送過(guò)����。
當(dāng)你是被欺騙者你接收到了一個(gè)不存在的網(wǎng)關(guān)MAC時(shí)那你就與公網(wǎng)斷開(kāi)了��。當(dāng)你接收到的網(wǎng)關(guān)MAC是欺騙者的MAC時(shí)����,那你就會(huì)把數(shù)據(jù)都指向欺騙者從而欺騙者利用一些密碼繡探工具和抓包工具監(jiān)視到你的明文密碼以及你的訪問(wèn)信息。這是十分危險(xiǎn)的��,欺騙者接到了你門(mén)的數(shù)據(jù)時(shí)�����,它再提交給網(wǎng)關(guān)��,網(wǎng)關(guān)會(huì)認(rèn)為數(shù)據(jù)就是它發(fā)的��,它會(huì)修改源MAC地址���,當(dāng)然源IP是不會(huì)變的,從而網(wǎng)關(guān)回應(yīng)你時(shí)根本不會(huì)去找你����,它會(huì)直接提交給欺騙者包過(guò)你要與外部建立的TCP連接都會(huì)經(jīng)過(guò)欺騙者的MAC���,這樣的話你所與外部的通信完全是要經(jīng)過(guò)欺騙者的監(jiān)視,它可以采取任何手段管理你��。包過(guò)流量限制�����,從而使其自身稱霸整個(gè)局網(wǎng)���。要防止這樣的事ARP -s 網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC 靜態(tài)捆綁是個(gè)很不錯(cuò)的選擇��。在本機(jī)哦�!
注意ARP欺騙有些利用工具是會(huì)發(fā)2份請(qǐng)求的��,一份發(fā)給網(wǎng)關(guān)告訴網(wǎng)關(guān)�����,被欺騙的主機(jī)IP對(duì)應(yīng)的MAC地址是(一個(gè)假的MAC)網(wǎng)關(guān)就被欺騙了��,從而你起碼要等20分鐘因?yàn)檫@是一個(gè)刷新時(shí)間��,如果這段時(shí)間內(nèi)欺騙者不發(fā)假消息了,你可以得到恢復(fù)����,但如果持續(xù)的話,那估計(jì)你一直都上不了就算你在本地ARP -s 捆綁了網(wǎng)關(guān)與網(wǎng)關(guān)自己的MAC�,因?yàn)榫W(wǎng)關(guān)不知道你的位置,所以它不會(huì)發(fā)數(shù)據(jù)給你����。這樣的話我本必須在網(wǎng)關(guān)接口上把下面的主機(jī)IP與MAC地址綁定住,讓網(wǎng)關(guān)不被欺騙��,同時(shí)要在下面主機(jī)上把網(wǎng)關(guān)的IP與網(wǎng)關(guān)的MAC捆綁在一起�。這樣做就很安全了,同時(shí)防止了更高層的欺騙����,如ICMP重定向。
在廣網(wǎng)中一般不存在這樣的問(wèn)題�,因?yàn)榇蠖嗲闆r都是PPP 或是PPPOE,PPP根本沒(méi)有物理地址字段���,PPPOE則要看MAC地址,但它也是點(diǎn)對(duì)點(diǎn)的�����,也就是說(shuō)對(duì)方只能看見(jiàn)你,不存在這樣的欺騙手段了�,最多就是能夠把接受者對(duì)換一下,很多ADSL用戶為了突破電信的限制使多人路由NAT上網(wǎng)���,做的就是一個(gè)MAC地址克隆把原本接入的PCMAC 克壟到進(jìn)行PPPOE撥號(hào)的設(shè)備上��。對(duì)方首先要進(jìn)行PPPOE的認(rèn)證之后才會(huì)進(jìn)行PPP協(xié)商的2個(gè)階段LCP NCP�!
另外有很多朋友都知道吧�����,2個(gè)MAC地址一樣����,也能上網(wǎng)并且不會(huì)提示沖突,這樣是一種錯(cuò)誤的方式�����,你會(huì)發(fā)現(xiàn)有時(shí)你依然會(huì)掉線��,對(duì)方的ARP表里會(huì)緩存2個(gè)IP對(duì)應(yīng)一個(gè)MAC的情況這不是關(guān)鍵,關(guān)鍵的地方是交換機(jī)的接口設(shè)計(jì)的時(shí)候是不允許同一個(gè)MAC地址出現(xiàn)在多個(gè)接口的����,也就是說(shuō)MAC表里不會(huì)存在2個(gè)接口對(duì)應(yīng)一個(gè)MAC的情況,這樣的做的后果是���,交換機(jī)MAC表動(dòng)蕩�����,一會(huì)發(fā)給第1接口一會(huì)發(fā)給第2接口���。或許 你在同一個(gè)交換機(jī)的接口下又接了一個(gè)交換機(jī)�����,但結(jié)果還是一樣�,2層交換機(jī)只認(rèn)識(shí)MAC表,2個(gè)接口對(duì)應(yīng)一個(gè)MAC將引起MAC動(dòng)蕩使數(shù)據(jù)時(shí)通時(shí)不通�。建議不要這樣使用,以為是突破認(rèn)證實(shí)際無(wú)任何意義���!
IP沖突���,很多黑軟都帶有這個(gè)功能�,原理上來(lái)說(shuō)就是一個(gè)IP對(duì)應(yīng)了2個(gè)MAC��,在你的PC剛開(kāi)機(jī)的時(shí)候你的PC會(huì)以廣播方式告訴大家�,我的IP192.168.1.1對(duì)應(yīng)的MAC是BBBB ��,這樣如果還有個(gè)PC也發(fā)了一個(gè)IP192.168.1.1����,MACAAAA,那這個(gè)IP就會(huì)出現(xiàn)2個(gè)MAC了這樣的話就會(huì)提示有沖突�����,黑軟就是利用了這一點(diǎn)����,他發(fā)這樣的免費(fèi)ARP給大家,制造IP沖突��,但它自己不會(huì)提示���,說(shuō)過(guò)了�����,它只是在偽造數(shù)據(jù)包���,所以源地址那里寫(xiě)的根本就是個(gè)假的����!這是無(wú)法解決的���,除非那家伙覺(jué)得沒(méi)樂(lè)趣了停止使用��,但這樣對(duì)你沒(méi)有什么影響���,只是煩人的提示!只要被更改你的ARP緩存就不會(huì)存在問(wèn)題���。
查找這樣的欺騙者����,我門(mén)只能通過(guò)抓包手段仔細(xì)分析��,而且要有以前沒(méi)混亂時(shí)IP與MAC的對(duì)應(yīng)關(guān)系�,從而一一對(duì)照����。
記得一點(diǎn)看包流向是看源IP與目標(biāo)IP�,當(dāng)然經(jīng)過(guò)地址翻譯時(shí)有所改變,但對(duì)用戶自己來(lái)說(shuō)是透明的操作���。我依然可以抓到外網(wǎng)的源IP,提示一下源地址轉(zhuǎn)換其實(shí)就是轉(zhuǎn)換的我門(mén)本身內(nèi)網(wǎng)的IP為我門(mén)的出口地址�,當(dāng)回來(lái)的時(shí)候,目標(biāo)的IP是我門(mén)的出口并且端口也是在出口處開(kāi)放的端口不滿足這2個(gè)條件的我門(mén)就會(huì)扔了�����!所以反向NAT實(shí)際上只是固定了一些關(guān)系固定了內(nèi)部端口與出口端口的關(guān)系讓出口不改變我門(mén)的接口�����,而后允許可更多的外部地址能訪問(wèn)出口處����,從而出口原版的將數(shù)據(jù)遞交給內(nèi)網(wǎng)中。大家抓包分析就能發(fā)現(xiàn)���,其實(shí)ping是不帶端口的�����,別人ping不到你內(nèi)網(wǎng)只是因?yàn)闆](méi)有到內(nèi)部的路由�����!
呵呵扯了點(diǎn)題外話����!大家看幀的流向是看MAC地址這個(gè)東西是每經(jīng)過(guò)一次轉(zhuǎn)發(fā)就要改變的。它才是網(wǎng)絡(luò)的基礎(chǔ)����!如果有人擾亂它的流向,那就是一種欺騙以及入侵方式�����。
推薦大家的軟件密碼監(jiān)聽(tīng)器2.5綠色版����,該軟件使用了ARP欺騙方式讓整個(gè)局網(wǎng)的數(shù)據(jù)都投遞到欺騙者這里,從而對(duì)數(shù)據(jù)過(guò)濾取得明文密碼����。同時(shí)我門(mén)利用它���,加上一個(gè)P2P網(wǎng)絡(luò)終結(jié)者2.07企業(yè)綠色版。就能對(duì)整個(gè)局網(wǎng)進(jìn)行管理�,結(jié)合局網(wǎng)QQ繡探工具!甚至可以管理別人的QQ�。(P2P網(wǎng)絡(luò)終結(jié)者選擇交換模式就可以實(shí)現(xiàn)強(qiáng)制ARP代理了!)補(bǔ)充一點(diǎn)����,我門(mén)是在交換網(wǎng)絡(luò),共享的半雙工方式已經(jīng)過(guò)時(shí)了老套的方法是不能上戰(zhàn)場(chǎng)的��。
以上工具本人都有網(wǎng)上也有下載的��,大家看清楚版本��,小心中招����。
如果有需要服務(wù)器的租用與托管的敬請(qǐng)聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)�����!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障�����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
