局域網(wǎng)內(nèi)的霸道控制 ARP欺騙的心得

ARP欺騙相信大家都不陌生吧，但有人知道欺騙的這2個字的真實(shí)意義嗎？呵呵，那ARP欺騙發(fā)的都是些什么樣的ARP包呢？ARP欺騙該如何防止呢？ARP欺騙對我門有什么有用價值呢？ARP欺騙對我門有什么壞處呢？好了和大家說說吧~

ARP欺騙實(shí)際就是刷新你本地的ARP緩存表，因?yàn)锳RP表一般都是動態(tài)的，這就給欺騙者一個好的機(jī)會了，他們發(fā)的其實(shí)就是ARP的單播回復(fù)，也就是欺騙方主動發(fā)起回復(fù)來刷新被欺騙方的ARP表，你想一想在一個局網(wǎng)里，欺騙者把網(wǎng)關(guān)的IP與一個不存在的MAC映射好并且以回復(fù)方式發(fā)給你，那你的結(jié)果會如何呵呵，找不到網(wǎng)關(guān)的真實(shí)地址了。

注意回復(fù)是必須接受的因?yàn)閰f(xié)議沒有規(guī)定要提出請求才會響應(yīng)，這是一個缺陷哦，它僅僅發(fā)給被欺騙者，不信可以抓包看看并且，隱藏了自己的MAC也就是源MAC是個假地址（ARP-回復(fù)報文的源填的就是個假的）。所以根本發(fā)現(xiàn)不了欺騙者，除非利用一些工具來查看出某些網(wǎng)卡此時正處于混亂模式因?yàn)閺乃抢锍鰜淼拿恳粋�幀的源MAC都不一樣，而它自身的MAC沒有被發(fā)送過。

當(dāng)你是被欺騙者你接收到了一個不存在的網(wǎng)關(guān)MAC時那你就與公網(wǎng)斷開了。當(dāng)你接收到的網(wǎng)關(guān)MAC是欺騙者的MAC時，那你就會把數(shù)據(jù)都指向欺騙者從而欺騙者利用一些密碼繡探工具和抓包工具監(jiān)視到你的明文密碼以及你的訪問信息。這是十分危險的，欺騙者接到了你門的數(shù)據(jù)時，它再提交給網(wǎng)關(guān)，網(wǎng)關(guān)會認(rèn)為數(shù)據(jù)就是它發(fā)的，它會修改源MAC地址，當(dāng)然源IP是不會變的，從而網(wǎng)關(guān)回應(yīng)你時根本不會去找你，它會直接提交給欺騙者包過你要與外部建立的TCP連接都會經(jīng)過欺騙者的MAC，這樣的話你所與外部的通信完全是要經(jīng)過欺騙者的監(jiān)視，它可以采取任何手段管理你。包過流量限制，從而使其自身稱霸整個局網(wǎng)。要防止這樣的事ARP -s 網(wǎng)關(guān)IP  網(wǎng)關(guān)MAC  靜態(tài)捆綁是個很不錯的選擇。在本機(jī)哦！

注意ARP欺騙有些利用工具是會發(fā)2份請求的，一份發(fā)給網(wǎng)關(guān)告訴網(wǎng)關(guān)，被欺騙的主機(jī)IP對應(yīng)的MAC地址是（一個假的MAC）網(wǎng)關(guān)就被欺騙了，從而你起碼要等20分鐘因?yàn)檫@是一個刷新時間，如果這段時間內(nèi)欺騙者不發(fā)假消息了，你可以得到恢復(fù)，但如果持續(xù)的話，那估計(jì)你一直都上不了就算你在本地ARP -s 捆綁了網(wǎng)關(guān)與網(wǎng)關(guān)自己的MAC，因?yàn)榫W(wǎng)關(guān)不知道你的位置，所以它不會發(fā)數(shù)據(jù)給你。這樣的話我本必須在網(wǎng)關(guān)接口上把下面的主機(jī)IP與MAC地址綁定住，讓網(wǎng)關(guān)不被欺騙，同時要在下面主機(jī)上把網(wǎng)關(guān)的IP與網(wǎng)關(guān)的MAC捆綁在一起。這樣做就很安全了，同時防止了更高層的欺騙，如ICMP重定向。

在廣網(wǎng)中一般不存在這樣的問題，因?yàn)榇蠖嗲闆r都是PPP 或是PPPOE，PPP根本沒有物理地址字段，PPPOE則要看MAC地址，但它也是點(diǎn)對點(diǎn)的，也就是說對方只能看見你，不存在這樣的欺騙手段了，最多就是能夠把接受者對換一下，很多ADSL用戶為了突破電信的限制使多人路由NAT上網(wǎng)，做的就是一個MAC地址克隆把原本接入的PCMAC 克壟到進(jìn)行PPPOE撥號的設(shè)備上。對方首先要進(jìn)行PPPOE的認(rèn)證之后才會進(jìn)行PPP協(xié)商的2個階段LCP NCP！

另外有很多朋友都知道吧，2個MAC地址一樣，也能上網(wǎng)并且不會提示沖突，這樣是一種錯誤的方式，你會發(fā)現(xiàn)有時你依然會掉線，對方的ARP表里會緩存2個IP對應(yīng)一個MAC的情況這不是關(guān)鍵，關(guān)鍵的地方是交換機(jī)的接口設(shè)計(jì)的時候是不允許同一個MAC地址出現(xiàn)在多個接口的，也就是說MAC表里不會存在2個接口對應(yīng)一個MAC的情況，這樣的做的后果是，交換機(jī)MAC表動蕩，一會發(fā)給第1接口一會發(fā)給第2接口。或許 你在同一個交換機(jī)的接口下又接了一個交換機(jī)，但結(jié)果還是一樣，2層交換機(jī)只認(rèn)識MAC表，2個接口對應(yīng)一個MAC將引起MAC動蕩使數(shù)據(jù)時通時不通。建議不要這樣使用，以為是突破認(rèn)證實(shí)際無任何意義！

IP沖突，很多黑軟都帶有這個功能，原理上來說就是一個IP對應(yīng)了2個MAC，在你的PC剛開機(jī)的時候你的PC會以廣播方式告訴大家，我的IP192.168.1.1對應(yīng)的MAC是BBBB ，這樣如果還有個PC也發(fā)了一個IP192.168.1.1，MACAAAA，那這個IP就會出現(xiàn)2個MAC了這樣的話就會提示有沖突，黑軟就是利用了這一點(diǎn)，他發(fā)這樣的免費(fèi)ARP給大家，制造IP沖突，但它自己不會提示，說過了，它只是在偽造數(shù)據(jù)包，所以源地址那里寫的根本就是個假的！這是無法解決的，除非那家伙覺得沒樂趣了停止使用，但這樣對你沒有什么影響，只是煩人的提示！只要被更改你的ARP緩存就不會存在問題。

查找這樣的欺騙者，我門只能通過抓包手段仔細(xì)分析，而且要有以前沒混亂時IP與MAC的對應(yīng)關(guān)系，從而一一對照。

記得一點(diǎn)看包流向是看源IP與目標(biāo)IP，當(dāng)然經(jīng)過地址翻譯時有所改變，但對用戶自己來說是透明的操作。我依然可以抓到外網(wǎng)的源IP，提示一下源地址轉(zhuǎn)換其實(shí)就是轉(zhuǎn)換的我門本身內(nèi)網(wǎng)的IP為我門的出口地址，當(dāng)回來的時候，目標(biāo)的IP是我門的出口并且端口也是在出口處開放的端口不滿足這2個條件的我門就會扔了！所以反向NAT實(shí)際上只是固定了一些關(guān)系固定了內(nèi)部端口與出口端口的關(guān)系讓出口不改變我門的接口，而后允許可更多的外部地址能訪問出口處，從而出口原版的將數(shù)據(jù)遞交給內(nèi)網(wǎng)中。大家抓包分析就能發(fā)現(xiàn)，其實(shí)ping是不帶端口的，別人ping不到你內(nèi)網(wǎng)只是因?yàn)闆]有到內(nèi)部的路由！

呵呵扯了點(diǎn)題外話！大家看幀的流向是看MAC地址這個東西是每經(jīng)過一次轉(zhuǎn)發(fā)就要改變的。它才是網(wǎng)絡(luò)的基礎(chǔ)！如果有人擾亂它的流向，那就是一種欺騙以及入侵方式。

推薦大家的軟件密碼監(jiān)聽器2.5綠色版，該軟件使用了ARP欺騙方式讓整個局網(wǎng)的數(shù)據(jù)都投遞到欺騙者這里，從而對數(shù)據(jù)過濾取得明文密碼。同時我門利用它，加上一個P2P網(wǎng)絡(luò)終結(jié)者2.07企業(yè)綠色版。就能對整個局網(wǎng)進(jìn)行管理，結(jié)合局網(wǎng)QQ繡探工具！甚至可以管理別人的QQ。（P2P網(wǎng)絡(luò)終結(jié)者選擇交換模式就可以實(shí)現(xiàn)強(qiáng)制ARP代理了！）補(bǔ)充一點(diǎn)，我門是在交換網(wǎng)絡(luò)，共享的半雙工方式已經(jīng)過時了老套的方法是不能上戰(zhàn)場的。

以上工具本人都有網(wǎng)上也有下載的，大家看清楚版本，小心中招。
如果有需要服務(wù)器的租用與托管的敬請聯(lián)系QQ：１５０１２８１７５８（億恩星辰）　　　聯(lián)系電話：０３７１—６３３２２２２０

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]