ARP Sinffer用戶攻防實(shí)例詳解以及關(guān)于ARP病毒造成斷網(wǎng)的處理方法

分享到： QQ空間新浪微博騰訊微博人人網(wǎng)

關(guān)鍵詞：重慶IT外包發(fā)布時(shí)間：11-07-26 12:29:22 瀏覽量：【字體：大中小】

ARP攻擊是近幾年黑客界才興起來的一個(gè)在局域網(wǎng)絡(luò)內(nèi)部實(shí)施的攻擊手段，通常利用安裝arp-sniffer工具，捕捉如帳戶密碼，ftp用戶名，用戶密碼這樣有價(jià)值的信息。這種攻擊手段屬于網(wǎng)絡(luò)滲透攻擊的范疇。子明分別以攻擊和解決兩個(gè)實(shí)例來幫助大家了解ARP欺騙攻擊的本質(zhì)，目的是為廣大51CTO網(wǎng)友提供一些有價(jià)值的參考資料。

　　大家都知道，真正的網(wǎng)絡(luò)攻擊80%-90%都發(fā)生自內(nèi)網(wǎng)中，也就俗稱的內(nèi)網(wǎng)攻擊，一般黑客的慣用手法一般不亞于以下幾個(gè)步驟：踩點(diǎn)、掃描、查點(diǎn)、攻擊、系統(tǒng)提權(quán)、內(nèi)網(wǎng)嗅探、得到情報(bào)或資源、毀機(jī)滅證、隱匿山林。

　　一、攻擊實(shí)例

　　為了更好的讓大家知道如何實(shí)施ARP攻擊，下面給大家介紹一個(gè)實(shí)際的攻擊例子，目的是為了更好的防范ARP攻擊：

　　首先打開web站點(diǎn)，看服務(wù)器的操作系統(tǒng)是Windows還是Unix的，目的是要決定采用何種方式攻擊，一般大多數(shù)網(wǎng)管為了維護(hù)方便都是采用Win2k和Win2003來做操作系統(tǒng)的，所以這里就以Windows系統(tǒng)為例，給大家展現(xiàn)如何利用ARP攻擊站點(diǎn)。

　　踩點(diǎn)和掃描

　　應(yīng)用Windows系統(tǒng)的Web服務(wù)器的代碼結(jié)構(gòu)多數(shù)都是asp加mssql，這些都存在sql injection隱患。主要是通過注射工具，假如是db-own的，可以通過配置黑客字典來跑用戶名和密碼，假如有論壇的話，看是否存在漏洞，假如存在就通過一句話木馬來獲得webshell，也可以通過老的掃描思路，利用x-scan，superscan等工具來查看對方主機(jī)開放了那些端口，得知該主機(jī)提供了那些服務(wù)，通過xscan的漏洞庫比對，判定是否存在安全漏洞。

　　查點(diǎn)、攻擊和系統(tǒng)提權(quán)
　　
　　利用whois查點(diǎn)，得到該空間使用者的情況，用戶名，聯(lián)系方式，郵件列表，為社會(huì)工程做好鋪墊。通過nslookup命令來查看郵件服務(wù)器信息，多數(shù)還是通過端口掃描來獲得有價(jià)值的信息。假如對方用的軟件存在緩沖區(qū)溢出的話，通過一些地下站點(diǎn)或安全站點(diǎn)公布的exp來做攻擊，經(jīng)過exp攻擊，拿下主機(jī)權(quán)限。

　　內(nèi)網(wǎng)嗅探和盜取資料

　　安裝后門軟件，通過注冊表或輸入命令把自己添加到admin group組中，接著上傳nc（一個(gè)黑客工具）打開mstsc服務(wù)（3389服務(wù)），在命令行輸入net user命令查看當(dāng)前是否有治理員在線。安裝winpcap軟件，新版的winpcap不需要再重新啟動(dòng)就可以用，安裝arp sniffer進(jìn)行網(wǎng)絡(luò)嗅探，我們這里簡單介紹下arp siniffer的使用方法，在cmd（命令行）下輸入arpsniffer ip1 ip2 logfile netadp /reset。這里ip1是指的該局域網(wǎng)網(wǎng)關(guān) ip2指的是目標(biāo)ip地址，logfile是保存嗅探得到的用戶名和密碼的一個(gè)本地文本文件，通過嗅探網(wǎng)關(guān)ip來捕捉局域網(wǎng)的用戶名和密碼，利用反彈木馬把資料下到自己的機(jī)器上面。

　　以上就是整個(gè)ARP入侵嗅探攻擊思路，非常簡單，但思路是死的，人是活的，這里我只是簡單介紹了最普通的入侵思路，還有其他很多入侵手段，我也不再一一列舉，但萬變不離其中，假如你能明白我舉的這個(gè)例子，那其他的無非是用不同的手段實(shí)現(xiàn)踩點(diǎn)、掃描、查點(diǎn)、攻擊、系統(tǒng)提權(quán)、內(nèi)網(wǎng)嗅探、盜取資料等過程。

　　二、解決實(shí)例

　　對51CTO廣大網(wǎng)友來說，了解如何攻擊并不是目的，還是那句話，如何解決問題才是我們應(yīng)該學(xué)習(xí)的，下面就再舉一個(gè)例子說明，碰到ARP入侵攻擊，應(yīng)該如何解決，解決后應(yīng)該怎樣防范。

　　受攻擊現(xiàn)象

　　2006年8月23日，下午4點(diǎn)，嫂子打來電話說她們教育學(xué)院的網(wǎng)絡(luò)遭受了攻擊，很多老師的機(jī)器上不去網(wǎng)，郵件也無發(fā)正常收發(fā)，一直提示IP地址沖突，交換機(jī)上的黃燈也是常亮不滅。這情況明顯是有大量的數(shù)據(jù)包沖擊網(wǎng)絡(luò)。

　　了解網(wǎng)路拓?fù)浣Y(jié)構(gòu)很重要

　　根據(jù)嫂子的描述，我畫出了網(wǎng)絡(luò)拓?fù)鋱D，并根據(jù)交換機(jī)部署和網(wǎng)絡(luò)層次劃分結(jié)構(gòu)，判定故障影響的網(wǎng)絡(luò)范圍。這些看似沒有用，其實(shí)是必須要做的分析，目的是合理的判定攻擊原因和方便查找攻擊源頭，以便徹底解決問題。

本新聞共2頁,當(dāng)前在第1頁 1 2