ARP Sinffer攻防实例讲解

  • 来源: www.51cto.om 作者: xuqingzhong   2008-05-27/01:59
  •  

     

     

          ARP攻击是近几年黑客界才兴起来的一个在局域网络内部实施的攻击手段,通常利用安装arp-sniffer工具,捕获如帐户密码,ftp用户名,用户密码这样有价值的信息。这种攻击手段属于网络渗透攻击的范畴。子明分别以攻击和解决两个实例来帮助大家了解ARP欺骗攻击的本质,目的是为广大51CTO网友提供一些有价值的参考资料。

    大家都知道,真正的网络攻击80%-90%都发生自内网中,也就俗称的内网攻击,一般黑客的惯用手法一般不亚于以下几个步骤:踩点、扫描、查点、攻击、系统提权、内网嗅探、得到情报或资源、毁机灭证、隐匿山林。

    一、攻击实例
    为了更好的让大家知道如何实施ARP攻击,下面给大家介绍一个实际的攻击例子,目的是为了更好的防范ARP攻击:

    首先打开web站点,看服务器的操作系统是Windows还是Unix的,目的是要决定采用何种方式攻击,一般大多数网管为了维护方便都是采用Win2k和Win2003来做操作系统的,所以这里就以Windows系统为例,给大家展现如何利用ARP攻击站点。

    踩点和扫描

    应用Windows系统的Web服务器的代码结构多数都是asp加mssql,这些都存在sql injection隐患。主要是通过注射工具,如果是db-own的,可以通过配置黑客字典来跑用户名和密码,如果有论坛的话,看是否存在漏洞,如果存在就通过一句话木马来获得webshell,也可以通过老的扫描思路,利用x-scan,superscan等工具来查看对方主机开放了那些端口,得知该主机提供了那些服务,通过xscan的漏洞库比对,判断是否存在安全漏洞。

    查点、攻击和系统提权

    利用whois查点,得到该空间使用者的情况,用户名,联系方式,邮件列表,为社会工程做好铺垫。通过nslookup命令来查看邮件服务器信息,多数还是通过端口扫描来获得有价值的信息。如果对方用的软件存在缓冲区溢出的话,通过一些地下站点或安全站点公布的exp来做攻击,经过exp攻击,拿下主机权限。

    内网嗅探和盗取资料

    安装后门软件,通过注册表或输入命令把自己添加到admin group组中,接着上传nc(一个黑客工具)打开mstsc服务(3389服务),在命令行输入net user命令查看当前是否有管理员在线。安装winpcap软件,新版的winpcap不需要再重新启动就可以用,安装arp sniffer进行网络嗅探,我们这里简单介绍下arp siniffer的使用方法,在cmd(命令行)下输入arpsniffer ip1 ip2   logfile netadp /reset。这里ip1是指的该局域网网关 ip2指的是目标ip地址,logfile是保存嗅探得到的用户名和密码的一个本地文本文件,通过嗅探网关ip来捕获局域网的用户名和密码,利用反弹木马把资料下到自己的机器上面。

    以上就是整个ARP入侵嗅探攻击思路,非常简单,但思路是死的,人是活的,这里我只是简单介绍了最普通的入侵思路,还有其他很多入侵手段,我也不再一一列举,但万变不离其中,如果你能明白我举的这个例子,那其他的无非是用不同的手段实现踩点、扫描、查点、攻击、系统提权、内网嗅探、盗取资料等过程。

    二、解决实例
    对广大网友来说,了解如何攻击并不是目的,还是那句话,如何解决问题才是我们应该学习的,下面就再举一个例子说明,碰到ARP入侵攻击,应该如何解决,解决后应该怎样防范。

    受攻击现象

    2006年8月23日,下午4点,嫂子打来电话说她们教育学院的网络遭受了攻击,很多老师的机器上不去网,邮件也无发正常收发,一直提示IP地址冲突,交换机上的黄灯也是常亮不灭。这情况明显是有大量的数据包冲击网络。

    了解网路拓扑结构很重要

    根据嫂子的描述,我画出了网络拓扑图,并根据交换机部署和网络层次划分结构,判断故障影响的网络范围。这些看似没有用,其实是必须要做的分析,目的是合理的判断攻击原因和 方便查找攻击源头,以便彻底解决问题。

    抓包分析

    使用siniffer抓包,分析详细数据包情况。根据分析初步判断是遭受了ARP欺骗攻击,因为原本一个IP地址对应一个MAC地址,但在siniffer的数据报告上面显示的IP地址对应的MAC地址全部都成了一个。

    具体解决过程

    打开服务器,发现上面竟然安装了server-u5.0,还有代理服务器 ccproxy。前段时间还和朋友探讨这两个软件的溢出和提权,估计是已经被人成功拿下了,在服务器的c盘目录上发现了winpcap,还发现了arp siniffer这两个软件。前面已经讲过如何利用arp siniffer嗅探密码和资料了,这里就不再过多介绍。
    现在应该去抓这只鬼了,首先我们要搜索.txt文本文件,考虑到他既然如此大胆的把文件放在c盘根目录下,从黑客行为上分析,这个黑客的水平和技法也不怎么样,也有可能我小看了他。根据在c盘搜索到的txt文件,按时间倒序排列,找出最新生成的txt文档,果然一个名叫admin.txt的文本文档进入了我们的视线。打开一看,n多帐户和密码,经过嫂子的辨认,非常重要的一台办公服务器的用户名和密码都在上面,要知道它可是直接和省增值服务网络直接互通的,如果这个网络被入侵的话,那么损失将是不可估量的。
    现在做的只有迅速断开网络连接,更改密码,把server-u升级到6.0最新版本。关闭了ccproxy代理服务器,把这个arp sniffer这个垃圾清扫出去,给其他老师的机器打补丁,做漏洞扫描,这里说句题外话,在清理的过程中发现很多机器上面的用户名和密码都为空,ipc$,3389,远程协助全都是打开状态。
    至此,所有的问题都已经解决了,但并不是所有人都可以这样做,其实遭受攻击的原因很多是因为内部员工使用终端不当,抛开内部员工泄密不说,单说基本的安全常识,就有很多企业的员工不知道。这些都给黑客的各种入侵带来了极大的便利。

    据一些专业媒体调查,ARP欺骗攻击大多都发生在企业内部网络和办公网络,员工的好奇和网络开发,知识挖掘和资源共享,往往成为一些病毒和网络攻击的训练场,那么ARP欺骗究竟是怎么产生的?ARP又是依据怎样的原理实现攻击的呢?

    了解ARP地址解析协议

    我们先来简单描述下什么是ARP,ARP是地址解析协议,ARP协议主要负责将局域网中的32位IP地址转换为对应的48位物理地址,即网卡的MAC地址,比如IP地址为192.168.0.1计算机上网卡的MAC地址为00-03-0F-FD-1D-2B。整个转换过程是一台主机先向目标主机发送包含IP地址信息的广播数据包,即ARP请求,然后目标主机向该主机发送一个含有IP地址和MAC地址数据包,通过协商这两个主机就可以实现数据传输了。#p#分页标题#e#

    ARP缓存表

    在安装了以太网网络适配器(既网卡)的计算机中有一个或多个ARP缓存表,用于保存IP地址以及经过解析的MAC地址。在Windows中要查看或者修改ARP缓存中的信息,可以使用ARP命令来完成,比如在Windows XP的命令提示符窗口中键入“ARP -a”或“ARP -g”可以查看ARP缓存中的内容;键入“ARP -d IPaddress”表示删除指定的IP地址项(IPaddress表示IP地址)。ARP命令的其他用法可以键入“ARP /?”查看帮助信息。

    什么是ARP欺骗

    将ip地址转换为mac地址是ARP的工作,在网络中发送虚假的ARP respones,就是ARP欺骗。
    在现实中,我们都知道邮政机构的主要职责就是靠邮差来接收和收发包裹,我们只要填写两个正确信息:邮政编码和收件人地址,就可以吧邮件送达目的地。这中间邮政编码起到很大的作用,它的主要作用是把相应的地址信息用数字的形式统一编码,比如:10080,就代表了北京市某个行政地区。
    如果我们清楚的知道邮政系统是怎样把包裹送达目的地,就很容易立即ARP协议的处理过程。ARP同样处理需要两个信息来完成数据传输,一个是IP地址,一个是MAC地址。所以当ARP传输数据包到目的主机时,就好像邮局送包裹到目的地,IP地址就是邮政编码,MAC地址就是收件人地址。ARP的任务就是把已知的IP地址转换成MAC地址,这中间有复杂的协商过程,这就好像邮局内部处理不同目的地的邮件一样。我们都清楚邮局也有可能送错邮件,原因很简单,就是搞错了收件人地址,或是搞错了邮政编码,而这些都是人为的;同理,ARP解析协议也会产生这样的问题,只不过是通过计算机搞错,比如,在获得MAC地址时,有其他主机故意顶替目的主机的MAC地址,就造成了数据包不能准确到达。这就是所谓的ARP欺骗。

    ARP欺骗会导致什么问题

    假设,李四在北京,邮编是100080。朋友张三要给李四发一封信,当张三发现通讯录里没有李四的邮政编码,他就把信件发到了北京市邮局,于是邮局发了个广播给用户,问谁的地址邮编是10080,结果李四发现自己的邮编是10080,李四就会举手,说我是。这样,信件就发到李四那儿了。同时李四的地址信息也被张三记在自己的通信录里面了。

    问题来了,如果在广播的时候,有人假冒李四,发出应答……。那信件就发不到李四那儿,并且,张三的通信表里面记录了错误的邮编和地址对应的信息。

    李四收不到信件,就会给张三发信息询问,张三又重新发,但是他通信录里面的地址是错误的,所以,每次发信李四都收不到。如果这样反复询问,那必然的结果就是错误信件越发越多,邮件的错误邮件也越收越多,超过了正常的接收量,由于超负荷运转,而最终导致邮局彻底瘫痪,邮差也相继失业。可怜的李四,他始终没有收到过张三的邮件。

    这就好比是ARP欺骗造成的后果,错误信件就是错误数据包,当它越来越多时,就会导致网络瘫痪,从而导致主机不能上网,影响企业的正常业务运转。


    评论 {{userinfo.comments}}

    {{money}}

    {{question.question}}

    A {{question.A}}
    B {{question.B}}
    C {{question.C}}
    D {{question.D}}
    提交

    驱动号 更多