ARP Sinffer用户攻防实例详解

  ARP攻击是近几年黑客界才鼓起来的一个在局域网络内部实施的攻击手段，通常利用安装arp-sniffer工具，捕获如帐户密码，ftp用户名，用户密码这样有价值的信息。这种攻击手段属于网络渗透攻击的范畴。子明分别以攻击和办理两个实例来帮助各人了解ARP欺骗攻击的本质。
  各人都晓得，真正的网络攻击80%-90%都发生自内网中，也就俗称的内网攻击，一般黑客的习用手法一般不亚于以下几个步调：踩点、扫描、查点、攻击、体系提权、内网嗅探、得到情报或资源、毁机灭证、躲避山林。
  一、攻击实例
  为了更好的让各人晓得如何实施ARP攻击，下面给各人介绍一个实际的攻击例子，目的是为了更好的防备ARP攻击：
  首先打开web站点，看服务器的操作体系是Windows照旧Unix的，目的是要决定接纳何种方法攻击，一般大多数网管为了维护方便都是接纳Win2k和Win2003来做操作体系的，以是这里就以Windows体系为例，给各人展现如何利用ARP攻击站点。
  踩点和扫描
  使用Windows体系的Web服务器的代码布局多数都是asp加mssql，这些都存在sql injection隐患。重要是通过注射工具，倘使是db-own的，可以通过配置黑客字典来跑用户名和密码，倘使有论坛的话，看能否存在毛病，倘使存在就通过一句话木马来得到webshell，也可以通过老的扫描思路，利用x-scan，superscan等工具来检察对方主机开放了那些端口，得知该主机提供了那些服务，通过xscan的毛病库比对，判定能否存在宁静毛病。
  查点、攻击和体系提权
  利用whois查点，得到该空间利用者的情况，用户名，接洽方法，邮件列表，为社会工程做好铺垫。通过nslookup命令来检察邮件服务器信息，多数照旧通过端口扫描来得到有价值的信息。倘使对方用的软件存在缓冲区溢出的话，通过一些地下站点或宁静站点公布的exp来做攻击，颠末exp攻击，拿下主机权限。
  内网嗅探和盗取资料
  安装后门软件，通过注册表或输入命令把本身添加到admin group组中，接着上传nc（一个黑客工具）打开mstsc服务（3389服务），在命令行输入net user命令检察当前能否有管理员在线。安装winpcap软件，新版的winpcap不需要再重新启动就可以用，安装arp sniffer举行网络嗅探，我们这里简单介绍下arp siniffer的利用方法，在cmd（命令行）下输入arpsniffer ip1 ip2 logfile netadp /reset。这里ip1是指的该局域网网关 ip2指的是目标ip地点，logfile是生存嗅探得到的用户名和密码的一个当地文本文件，通过嗅探网关ip来捕获局域网的用户名和密码，利用反弹木马把资料下到本身的机器下面。
  以上便是整个ARP入侵嗅探攻击思路，十分简单，但思路是死的，人是活的，这里我只是简单介绍了最平凡的入侵思路，另有其他许多入侵手段，我也不再逐一列举，但万变不离其中，倘使你能明白我举的这个例子，那其他的无非是用差别的手段完成踩点、扫描、查点、攻击、体系提权、内网嗅探、盗取资料等历程。
  二、办理实例
  对51CTO广大网友来说，了解如何攻击并不是目的，照旧那句话，如何办理问题才是我们应该学习的，下面就再举一个例子阐明，碰到ARP入侵攻击，应该如何办理，办理后应该怎样防备。
  受攻击征象
  2006年8月23日，下战书4点，嫂子打来德律风说她们教诲学院的网络遭受了攻击，许多老师的机器上不去网，邮件也无发正常收发，不停提示IP地点辩论，交换机上的黄灯也是常亮不灭。这情况显着是有少量的数据包打击网络。
  了解网路拓扑布局很紧张
  根据嫂子的描述，我画出了网络拓扑图，并根据交换机摆设和网络层次分别布局，判定妨碍影响的网络范围。这些看似没有效，其实是必需要做的分析，目的是合理的判定攻击原因和 方便查找攻击源头，以便彻底办理问题。
  抓包分析
  利用siniffer抓包，分析详细数据包情况。根据分析初步判定是遭受了ARP欺骗攻击，因为本来一个IP地点对应一个MAC地点，但在siniffer的数据陈诉下面显示的IP地点对应的MAC地点全部都成了一个。
  详细办理历程
  打开服务器，发明下面竟然安装了server-u5.0，另有代理服务器 ccproxy。前段工夫还和朋友探讨这两个软件的溢出和提权，预计是已经被人乐成拿下了，在服务器的c盘目次上发明了winpcap，还发明了arp siniffer这两个软件。后面已经讲过如何利用arp siniffer嗅探密码和资料了，这里就不再过多介绍。
  现在应该去抓这只鬼了，首先我们要搜刮.txt文本文件，考虑到他既然如此大胆的把文件放在c盘根目次下，从黑客行为上分析，这个黑客的水温和技法也不怎样样，也有大概我鄙视了他。根据在c盘搜刮到的txt文件，定工夫倒序分列，找出最新生成的txt文档，果然一个名叫admin.txt的文本文档进入了我们的视线。打开一看，n多帐户和密码，颠末嫂子的识别，十分紧张的一台办公服务器的用户名和密码都在下面，要晓得它但是间接和省增值服务网络间接互通的，倘使这个网络被入侵的话，那么损失将是不行估量的。
  现在做的只要敏捷断开网络毗连，更改密码，把server-u晋级到6.0最新版本。封闭了ccproxy代理服务器，把这个arp sniffer这个渣滓排除出去，给其他老师的机器打补丁，做毛病扫描，这里说句题外话，在清算的历程中发明许多机器下面的用户名和密码都为空，ipc$,3389，长途协助全都是打开形态。
  至此，全部的问题都已经办理了，但并不是全部人都可以这样做，其实遭受攻击的原因许多是因为内部员工利用终端不当，抛开内部员工泄密不说，单说基本的宁静常识，就有许多企业的员工不晓得。这些都给黑客的种种入侵带来了极大的便利。
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

评论加载中... 内容： 评论者： 验证码：