关于ARP欺骗的知识, 大家可以参考Cornel2007年第8期《巧抓罪魁ARP病毒 局域网不再频繁断》和番茄2007年第12期《Anti Arp Sniffer帮你防Arp欺骗攻击》, 还可以学到一些防范ARP攻击的方法。
下面我们就实例演示一下Cain&Abel嗅探局域网中一台电脑中的FTP帐号全过程, 并教大家如何防范它的攻击。
攻:实战Cain&Abel嗅探FTP密码
启动它并切换到“sniffer(嗅探)”标签。
第一步:需要对Cain&Abel进行配置, 先单击最上面的“Configure(配置)”, 在“Sniffer(嗅探器)”中选择要嗅探的网卡, 在“APR(Arp Poison Routing)”中可以伪造IP地址和MAC地址进行欺骗, 避免被网管发现。 在“Filters and ports(过滤与端口)”中可以设置过滤器, 可以根据自己的需要选择过滤的端口, 这里设置嗅探FTP的21端口(见图1)。
第二步:点击“Sniffer(嗅探器)”并右击选择“Scan MAC Addresses(扫描MAC地址)”。 第三步:打开APR页面, 现在上面的“加号”是灰色的, 在右边分上下两栏, 在上面一栏的空白处单击, 点上面的“加号”出现“新建ARP欺骗”对话框, 在左边选网关, 右边选择被欺骗的IP(见图2)。
这里要注意的是, 你的机器性能比网关差的话, 会引起被欺骗机器变慢。 在“Status”栏显示的是“Idle”, 表示ARP欺骗还没有开始。
第五步:单击网卡标志开始嗅探, 旁边的放射性标志则是ARP欺骗。
嗅探了一段时间后, 点击下面的“Passwords”(截获密码), 嗅探所得到的密码会按分类呈现在大家面前, 包括Http、Ftp、VNC、SMTP、ICQ等密码。 如果目标主机使用Voip电话的话, 还可以获得他使用VoIP电话的录音(恐怖吧!)。
第六步:选择“FTP(1)”, 在“FTP”里已经得到了1个数据包(见图3)。
小技巧:在肉鸡上对密码进行嗅探的时候, 可以按“Alt+Delete”对界面进行隐藏, 按“Alt+Page Down”隐藏于任务栏, 按“Alt+Pageup”呼出界面。 这个技巧在内网渗透的时候非常有用!
小提示:这种方法在外网和内网中都可以使用, 可以准确地抓到管理员密码, 但必须是管理员登录成功后才能抓到, 其实cain利用了arp欺骗截取数据传输封包。 网关IP可以在命令行下输入“IPConfig”获得。
防:横起ARP防护盾 Cain&Abel无洞可钻
要抵御Cain&Abel的攻击, 较好的方法是隐藏自己的IP地址, 如用代理服务器上网, 这个CFan讲过很多次了, 不再赘述。 使用软件AntiARP防火墙也可以有效抵御该攻击行为。 下载ARP防火墙单机版之后, 安装运行后在界面上点击“设置→安全配置”, 将其中关于ARP的防护全部打开(见图4)。 这时, 我们再次用Cain&Abel扫描已安装ARP防火墙单机版的电脑, 结果一无所获, 防范成功。
AntiARP防火墙软件通过在系统内核层拦截虚假ARP数据包来获取攻击者所在电脑的IP地址和MAC地址, 这样你就可以不再受Cain&Abel这类工具的侵害了。
Just Do It
请读者朋友下载并安装Cain&Abel, 运行后扫描本机, 看看从你的电脑中, Cain&Abel能够扫描嗅探出多少账户, 看过之后你会大吃一惊的。 如果在安装了AntiARP之后依然能够用Cain&Abel扫描出来, 很可能已中病毒, 请发信到software@cfan.com.cn求助!
