史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 網路軟硬體架設技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-05-08, 12:34 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 詳解傳奇盜號(區域網路受ARP欺騙攻擊)

詳解傳奇盜號(區域網路受ARP欺騙攻擊)

【故障現象】當區域網路內某台主機執行ARP欺騙的木馬程序時,會欺騙區域網路內所有主機和安全網路閘道,讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過安全網路閘道上網現在轉由通過病毒主機上網,切換的時候用戶會斷一次線。
  
  切換到病毒主機上網後,如果用戶已經登入了傳奇服務器,那麼病毒主機就會經常偽造斷線的假像,那麼用戶就得重新登入傳奇服務器,這樣病毒主機就可以盜號了。
  
  由於ARP欺騙的木馬程序發作的時候會發出大量的資料包導致區域網路通訊擁塞以及其自身處理能力的限制,用戶會感覺上網速度越來越慢。當ARP欺騙的木馬程序停止執行時,用戶會恢復從安全網路閘道上網,切換程序中用戶會再斷一次線。
  
  【快速搜尋】在WebUI->系統狀態->系統資訊->系統歷史記錄中,看到大量如下的訊息:
  
  MAC
SPOOF 192.168.16.200
  
  MAC Old 00:01:6c:36:d1:7f
  
  MAC New
00:05:5d:60:c7:18
  
  這個消息代表了用戶的MAC位址發生了變化,在ARP欺騙木馬開始執行的時候,區域網路所有主機的MAC位址更新為病毒主機的MAC位址(即所有訊息的MAC
New位址都一致為病毒主機的MAC位址)。
  
  同時在安全網路閘道的WebUI->進階組態->用戶管理->讀ARP表中看到所有用戶的MAC位址訊息都一樣,或者在WebUI->系統狀態->用戶統計中看到所有用戶的MAC位址訊息都一樣。
  
  如果是在WebUI->系統狀態->系統資訊->系統歷史記錄中看到大量MAC
Old位址都一致,則說明區域網路內曾經出現過ARP欺騙(ARP欺騙的木馬程序停止執行時,主機在安全網路閘道上恢復其真實的MAC位址)。
  
  在上面我們已經知道了使用ARP欺騙木馬的主機的MAC位址,那麼我們就可以使用NBTSCAN(下載位址:http://www.utt.com.cn/upload/nbtscan.rar)工具來快速搜尋它。
  
  NBTSCAN可以取到PC的真實IP位址和MAC位址,如果有」傳奇木馬」在做怪,可以找到裝有木馬的PC的IP/和MAC位址。
  
  指令:「nbtscan
-r 192.168.16.0/24」(搜尋整個192.168.16.0/24網段,
即192.168.16.1-192.168.16.254);或「nbtscan 192.168.16.25-137」搜尋192.168.16.25-137
網段,即192.168.16.25-192.168.16.137。輸出結果第一列是IP位址,最後一列是MAC位址。
  
  NBTSCAN的使用範例:
  
  假設搜尋一台MAC位址為「000d870d585f」的病毒主機。
  
  1)將壓縮包中的nbtscan.exe
和cygwin1.dll解壓縮放到c:\下。
  
  2)在Windows開始à執行à開啟,輸入cmd(windows98輸入「command」),在出現的DOS視窗中輸入:C:\nbtscan
-r 192.168.16.1/24(這裡需要根據用戶實際網段輸入),Enter鍵。
  
http://www.chinaitlab.com/www/imgfiles/2005.11.8.10.14.9.3.1.jpg
  3)通過查詢IP--MAC對應表,查出「000d870d585f」的病毒主機的IP位址為「192.168.16.223」。
  
  【解決辦法】
  
  採用雙向綁定的方法解決並且防止ARP欺騙。
  
  1、在PC上綁定安全網路閘道的IP和MAC位址:
  
  1)首先,獲得安全網路閘道的局局內網的MAC位址(例如HiPER網路閘道位址192.168.16.254的MAC位址為0022aa0022aa)。
  
  2)編寫一個批次處理文件rarp.bat內容如下:
  
  @echo
off
  
  arp -d
  
  arp -s 192.168.16.254
00-22-aa-00-22-aa
  
  將文件中的網路閘道IP位址和MAC位址更改為實際使用的網路閘道IP位址和MAC位址即可。
  
  將這個批次處理軟體拖到「windowsà開始à程序à啟動」中。
  
  3)如果是網咖,可以利用收費軟體服務端程序(pubwin或者萬象都可以)傳送批次處理文件rarp.bat到所有客戶端機的啟動目錄。Windows2000的預設啟動目錄為「C:\Documents
and Settings\All
Users「開始」表單程序啟動」。
  
  2、在安全網路閘道上綁定用戶主機的IP和MAC位址:
  
  在WebUI->進階組態->用戶管理中將區域網路每台主機均作綁定。


http://www.chinaitlab.com/www/imgfiles/2005.11.8.10.14.39.3.2.jpg
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 08:51 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1