标题:SSClone无ARP嗅探原理分析 出处:大漠荒颜 时间:Wed, 03 Feb 2010 15:09:36 +0000 作者:北纬36度 地址:http://www.736202.com/read.php/180.htm 内容: 一台傻瓜交换机(就是不可管理的),一台笔记本(作为被攻击者),一台服务器(作为发动攻击者),还有一个网关(局域网通过NAT网关上网)。笔记本、服务器和网关通过那个傻瓜交换机连接。科来分析系统部署在服务器上,只捕获服务器本机网卡收发的数据包……服务器的地址:192.168.1.27 (00 D0 68 06 22 74)笔记本的地址:192.168.1.100 (00 11 5B CD E8 46)网关的地址:192.168.1.1 (00 0A EB DA 06 E0) 具体的环境介绍完了,下面我们开始分析攻击的过程。 1、首先看看抓包后分析的网关MAC下的IP地址,除了网关自己的内网IP,还有一个192.168.1.42,呵呵,只要对自己网络心中有数的管理员,都会觉得不正常吧! 2、我们打开了SSClone,开始搜索局域网内的所有IP地址。程序发出大量的ARP数据包查询局域网中存活的主机。这时可以看出,发送这些ARP请求的是操作者的真实主机,也就是说,如果要找用此程序捣乱的人,可以在此下手。 3、我们看到,笔记本(192.168.1.100)回答了这个请求。 4、在扫描结束后几秒钟,我们开始对笔记本的数据包进行劫持。 5、现在可以看到,攻击者的计算机正在冒用网关的MAC地址以及一个假IP,向外发送数据包。也就是向交换机宣称,攻击者所在的端口对应的是网关的MAC,在真正的网关发送一个数据包,或攻击者再次发送一个伪造数据包之前,这个错误的映射关系(网关MAC<——>攻击者端口)将一直存在。攻击者以每秒钟发送10个包的速度继续发送,不断地让交换机接收这个错误的映射关系。 6、交换机果然被欺骗了,将目标MAC为网关MAC的数据包,都发送到了攻击者的计算机上。我的科来只在服务器本地捕获,如果欺骗不成功,是不可能收到笔记本与网关的通信内容。 7、截获之后,必然要把数据包转发出去,否则网络就不通了嘛~可是现在交换机上对应网关MAC的端口是攻击者自己的端口,程序就开始用一个假冒的MAC和IP,通过ARP请求192.168.1.1(网关)的MAC地址,网关收到之后会产生一个回应。这样正确的根据第5条所述的原理,正确的映射关系就恢复了,于是攻击者的计算机可以把这些截获的数据继续传递给网关。之后,通过再进行第5条所述的方法,设置错误的映射关系。 8、第5条说的数据包的具体结构。 最后,关于这个方法的一些个人理解:设置错误映射关系的数据包,不一定是IGMP,其他的数据包也有可能,只要伪造一下MAC地址即可。找出攻击者,可以参考第2条的内容,但如果攻击者变通一下手法,也不一定管用。通过原理可以大致推断出,这个方法除了搞劫持,还能搞断网掉线……只要攻击者不转发数据包就可以了。解决方法,需要通过交换机的端口绑定来实现,MAC和IP双绑已经没有作用了。因为是基于交换机端口的,所以那种设置子网来屏蔽ARP泛滥的方法,也没用啦! Generated by Bo-blog 2.1.1 Release