IT资讯/综合软件下载站!┆ 最新软件 最新文章 最新手机 UFO外星人 网站分类

您当前的位置→图文中心ARP文章ARP原理推荐:SSClone非ARP会话劫持原理分析

推荐:SSClone非ARP会话劫持原理分析


2008/10/3 14:36:32 编辑:佚名 来源:admin 
今天给大家分享推荐:SSClone非ARP会话劫持原理分析ARP原理文章。喜欢推荐:SSClone非ARP会话劫持原理分析的可以分享推荐:SSClone非ARP会话劫持原理分析给你的好友。

前两天买的过期杂志上看到的一款软件, 刚开始还没注意, 后来就恨自己杂志买晚了。 (今年3月份的《黑客防线》)
那个神奇的软件, 就像我标题上说的, 叫SSClone, 解释起来就是:Switch Session Clone, 也就是“交换机会话克隆”(纯字面翻译, 纯的~ )。

喜欢ARP原理的网友不妨去看看下面的文章:
  • 这个软件有什么用?其特点就是可以不通过传统的ARP欺骗方法, 来实现局域网内的会话监听、劫持、复制等操作。 (其实这个软件本身是用来会话复制的, 也就是拦截客户机发送给网关的数据包, 如果拦截网关发送给客户机的数据包, 那么就是会话劫持了。 )
    因为采用了非ARP欺骗的技术, 结果不用测试都可想而知, 所有的ARP防火墙都对它不起作用。 (废话了, ARP防火墙就是拦截ARP的, 没有ARP数据包有个鸟用啊, 哈哈)

    今天自己组建了一个小环境, 做了测试, 具体环境如下:
    一台傻瓜交换机(就是不可管理的), 一台笔记本(作为被攻击者), 一台服务器(作为发动攻击者), 还有一个网关(局域网通过NAT网关上网)。
    笔记本、服务器和网关通过那个傻瓜交换机连接。 科来分析系统部署在服务器上, 只捕获服务器本机网卡收发的数据包……
    服务器的地址:192.168.1.27  (00 D0 68 06 22 74)
    笔记本的地址:192.168.1.100  (00 11 5B CD E8 46)
    网关的地址:192.168.1.1  (00 0A EB DA 06 E0)

    具体的环境介绍完了, 下面我们开始分析攻击的过程。

    ▼推荐:SSClone非ARP会话劫持原理分析推荐:SSClone非ARP会话劫持原理分析_arp联盟

    1、首先看看抓包后分析的网关MAC下的IP地址, 除了网关自己的内网IP, 还有一个192.168.1.42, 呵呵, 只要对自己网络心中有数的管理员, 都会觉得不正常吧!
    推荐:SSClone非ARP会话劫持原理分析_arp联盟

    2、我们打开了SSClone, 开始搜索局域网内的所有IP地址。 程序发出大量的ARP数据包查询局域网中存活的主机。
    这时可以看出, 发送这些ARP请求的是操作者的真实主机, 也就是说, 如果要找用此程序捣乱的人, 可以在此下手。
    推荐:SSClone非ARP会话劫持原理分析_arp联盟

    3、我们看到, 笔记本(192.168.1.100)回答了这个请求。
    推荐:SSClone非ARP会话劫持原理分析_arp联盟

    4、在扫描结束后几秒钟, 我们开始对笔记本的数据包进行劫持。
    推荐:SSClone非ARP会话劫持原理分析_arp联盟

    5、现在可以看到, 攻击者的计算机正在冒用网关的MAC地址以及一个假IP, 向外发送数据包。 也就是向交换机宣称, 攻击者所在的端口对应的是网关的MAC, 在真正的网关发送一个数据包, 或攻击者再次发送一个伪造数据包之前, 这个错误的映射关系(网关MAC<——>攻击者端口)将一直存在。

    攻击者以每秒钟发送10个包的速度继续发送, 不断地让交换机接收这个错误的映射关系。
    推荐:SSClone非ARP会话劫持原理分析_arp联盟

    6、交换机果然被欺骗了, 将目标MAC为网关MAC的数据包, 都发送到了攻击者的计算机上。 我的科来只在服务器本地捕获, 如果欺骗不成功, 是不可能收到笔记本与网关的通信内容。
    推荐:SSClone非ARP会话劫持原理分析_arp联盟

    7、截获之后, 必然要把数据包转发出去, 否则网络就不通了嘛~可是现在交换机上对应网关MAC的端口是攻击者自己的端口, 程序就开始用一个假冒的MAC和IP, 通过ARP请求192.168.1.1(网关)的MAC地址, 网关收到之后会产生一个回应。
    这样正确的根据第5条所述的原理, 正确的映射关系就恢复了, 于是攻击者的计算机可以把这些截获的数据继续传递给网关。
    之后, 通过再进行第5条所述的方法, 设置错误的映射关系。
    推荐:SSClone非ARP会话劫持原理分析_arp联盟

    8、第5条说的数据包的具体结构。

    最后, 关于这个方法的一些个人理解:
    设置错误映射关系的数据包, 不一定是IGMP, 其他的数据包也有可能, 只要伪造一下MAC地址即可。
    找出攻击者, 可以参考第2条的内容, 但如果攻击者变通一下手法, 也不一定管用。
    通过原理可以大致推断出, 这个方法除了搞劫持, 还能搞断网掉线……只要攻击者不转发数据包就可以了。
    解决方法, 需要通过交换机的端口绑定来实现, MAC和IP双绑已经没有作用了。
    因为是基于交换机端口的, 所以那种设置子网来屏蔽ARP泛滥的方法, 也没用啦!

    刚刚接触这种技术, 有不正确的地方欢迎大家指正!!!
    数据包样本我就不发了, 里面有我邮箱密码呀。 。 。 。

    12下一页

    相关文章
  • 孙尚香的出装推荐影忍之足+无尽战刃+破甲弓+宗师之力+泣血之刃+破军
  • windows系统用什么输入法比较好?推荐七款
  • 西游大战僵尸2介绍及游戏工具软件推荐
  • 王者荣耀哪吒全球流怎么玩好 哪吒全球流阵容英雄选择推荐
  • 磁力搜索哪个好用?推荐两个软件
  • 2017年千元手机推荐评测
  • 好用的炉石传说游戏插件推荐
  • 推荐手机数据恢复的软件几款?
  • 相关推荐
  • 父亲节礼物推荐排行榜 Word文档
  • 先知大乐透预测推荐 1.0
  • 网店淘宝自动上架推荐评价软件 111110
  • 音悦台打卡推荐收藏评论系列 v1.1 免费版
  • QQ2012系列版禁止后台下载推荐皮肤补丁 免费版
  • 推荐:一个可以截任何形状图的软件 免费版
  • 极速TOP浏览器 V5.0.6.0绿色版|ARPUN推荐 免费版
  • 联盟推荐极品QQ扫号器 免费版
  • 发表评论
    栏目列表
    阅读排行
    网站帮助 - 广告合作 - 下载声明 - 网站地图