文章內容

局域網內的霸道控制 ARP欺騙的心得

發布時間: 2012/9/15 19:27:53

ARP欺騙相信大家都不陌生吧，但有人知道欺騙的這2個字的真實意義嗎？呵呵，那ARP欺騙發的都是些什么樣的ARP包呢？ARP欺騙該如何防止呢？ARP欺騙對我門有什么有用價值呢？ARP欺騙對我門有什么壞處呢？好了和大家說說吧~

ARP欺騙實際就是刷新你本地的ARP緩存表，因為ARP表一般都是動態的，這就給欺騙者一個好的機會了，他們發的其實就是ARP的單播回復，也就是欺騙方主動發起回復來刷新被欺騙方的ARP表，你想一想在一個局網里，欺騙者把網關的IP與一個不存在的MAC映射好并且以回復方式發給你，那你的結果會如何呵呵，找不到網關的真實地址了。

注意回復是必須接受的因為協議沒有規定要提出請求才會響應，這是一個缺陷哦，它僅僅發給被欺騙者，不信可以抓包看看并且，隱藏了自己的MAC也就是源MAC是個假地址（ARP-回復報文的源填的就是個假的）。所以根本發現不了欺騙者，除非利用一些工具來查看出某些網卡此時正處于混亂模式因為從它那里出來的每一個幀的源MAC都不一樣，而它自身的MAC沒有被發送過。

當你是被欺騙者你接收到了一個不存在的網關MAC時那你就與公網斷開了。當你接收到的網關MAC是欺騙者的MAC時，那你就會把數據都指向欺騙者從而欺騙者利用一些密碼繡探工具和抓包工具監視到你的明文密碼以及你的訪問信息。這是十分危險的，欺騙者接到了你門的數據時，它再提交給網關，網關會認為數據就是它發的，它會修改源MAC地址，當然源IP是不會變的，從而網關回應你時根本不會去找你，它會直接提交給欺騙者包過你要與外部建立的TCP連接都會經過欺騙者的MAC，這樣的話你所與外部的通信完全是要經過欺騙者的監視，它可以采取任何手段管理你。包過流量限制，從而使其自身稱霸整個局網。要防止這樣的事ARP -s 網關IP 網關MAC 靜態捆綁是個很不錯的選擇。在本機哦！

注意ARP欺騙有些利用工具是會發2份請求的，一份發給網關告訴網關，被欺騙的主機IP對應的MAC地址是（一個假的MAC）網關就被欺騙了，從而你起碼要等20分鐘因為這是一個刷新時間，如果這段時間內欺騙者不發假消息了，你可以得到恢復，但如果持續的話，那估計你一直都上不了就算你在本地ARP -s 捆綁了網關與網關自己的MAC，因為網關不知道你的位置，所以它不會發數據給你。這樣的話我本必須在網關接口上把下面的主機IP與MAC地址綁定住，讓網關不被欺騙，同時要在下面主機上把網關的IP與網關的MAC捆綁在一起。這樣做就很安全了，同時防止了更高層的欺騙，如ICMP重定向。

在廣網中一般不存在這樣的問題，因為大多情況都是PPP 或是PPPOE，PPP根本沒有物理地址字段，PPPOE則要看MAC地址，但它也是點對點的，也就是說對方只能看見你，不存在這樣的欺騙手段了，最多就是能夠把接受者對換一下，很多ADSL用戶為了突破電信的限制使多人路由NAT上網，做的就是一個MAC地址克隆把原本接入的PCMAC 克壟到進行PPPOE撥號的設備上。對方首先要進行PPPOE的認證之后才會進行PPP協商的2個階段LCP NCP！

另外有很多朋友都知道吧，2個MAC地址一樣，也能上網并且不會提示沖突，這樣是一種錯誤的方式，你會發現有時你依然會掉線，對方的ARP表里會緩存2個IP對應一個MAC的情況這不是關鍵，關鍵的地方是交換機的接口設計的時候是不允許同一個MAC地址出現在多個接口的，也就是說MAC表里不會存在2個接口對應一個MAC的情況，這樣的做的后果是，交換機MAC表動蕩，一會發給第1接口一會發給第2接口。或許你在同一個交換機的接口下又接了一個交換機，但結果還是一樣，2層交換機只認識MAC表，2個接口對應一個MAC將引起MAC動蕩使數據時通時不通。建議不要這樣使用，以為是突破認證實際無任何意義！

IP沖突，很多黑軟都帶有這個功能，原理上來說就是一個IP對應了2個MAC，在你的PC剛開機的時候你的PC會以廣播方式告訴大家，我的IP192.168.1.1對應的MAC是BBBB ，這樣如果還有個PC也發了一個IP192.168.1.1，MACAAAA，那這個IP就會出現2個MAC了這樣的話就會提示有沖突，黑軟就是利用了這一點，他發這樣的免費ARP給大家，制造IP沖突，但它自己不會提示，說過了，它只是在偽造數據包，所以源地址那里寫的根本就是個假的！這是無法解決的，除非那家伙覺得沒樂趣了停止使用，但這樣對你沒有什么影響，只是煩人的提示！只要被更改你的ARP緩存就不會存在問題。

查找這樣的欺騙者，我門只能通過抓包手段仔細分析，而且要有以前沒混亂時IP與MAC的對應關系，從而一一對照。

記得一點看包流向是看源IP與目標IP，當然經過地址翻譯時有所改變，但對用戶自己來說是透明的操作。我依然可以抓到外網的源IP，提示一下源地址轉換其實就是轉換的我門本身內網的IP為我門的出口地址，當回來的時候，目標的IP是我門的出口并且端口也是在出口處開放的端口不滿足這2個條件的我門就會扔了！所以反向NAT實際上只是固定了一些關系固定了內部端口與出口端口的關系讓出口不改變我門的接口，而后允許可更多的外部地址能訪問出口處，從而出口原版的將數據遞交給內網中。大家抓包分析就能發現，其實ping是不帶端口的，別人ping不到你內網只是因為沒有到內部的路由！

呵呵扯了點題外話！大家看幀的流向是看MAC地址這個東西是每經過一次轉發就要改變的。它才是網絡的基礎！如果有人擾亂它的流向，那就是一種欺騙以及入侵方式。

推薦大家的軟件密碼監聽器2.5綠色版，該軟件使用了ARP欺騙方式讓整個局網的數據都投遞到欺騙者這里，從而對數據過濾取得明文密碼。同時我門利用它，加上一個P2P網絡終結者2.07企業綠色版。就能對整個局網進行管理，結合局網QQ繡探工具！甚至可以管理別人的QQ。（P2P網絡終結者選擇交換模式就可以實現強制ARP代理了！）補充一點，我門是在交換網絡，共享的半雙工方式已經過時了老套的方法是不能上戰場的。

以上工具本人都有網上也有下載的，大家看清楚版本，小心中招。
如果有需要服務器的租用與托管的敬請聯系QQ：１５０１２８１７５８（億恩星辰）　　　聯系電話：０３７１—６３３２２２２０

本文出自：億恩科技【www.laynepeng.cn】

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]