ARP Sinffer攻防案例講解

ARP攻擊是近幾年黑客界才興起來(lái)的一個(gè)在局域網(wǎng)絡(luò)內(nèi)部實(shí)施的攻擊手段， 通常利用安裝arp-sniffer工具， 捕獲如帳戶密碼， ftp用戶名， 用戶密碼這樣有價(jià)值的信息。 這種攻擊手段屬于網(wǎng)絡(luò)滲透攻擊的范疇。 子明分別以攻擊和解決兩個(gè)實(shí)例來(lái)幫助大家了解ARP欺騙攻擊的本質(zhì)， 目的是為廣大arp網(wǎng)友提供一些有價(jià)值的參考資料。

大家都知道， 真正的網(wǎng)絡(luò)攻擊80%-90%都發(fā)生自內(nèi)網(wǎng)中， 也就俗稱的內(nèi)網(wǎng)攻擊， 一般黑客的慣用手法一般不亞于以下幾個(gè)步驟：踩點(diǎn)、掃描、查點(diǎn)、攻擊、系統(tǒng)提權(quán)、內(nèi)網(wǎng)嗅探、得到情報(bào)或資源、毀機(jī)滅證、隱匿山林。

一、攻擊實(shí)例

為了更好的讓大家知道如何實(shí)施ARP攻擊， 下面給大家介紹一個(gè)實(shí)際的攻擊例子， 目的是為了更好的防范ARP攻擊：

首先打開web站點(diǎn)， 看服務(wù)器的操作系統(tǒng)是Windows還是Unix的， 目的是要決定采用何種方式攻擊， 一般大多數(shù)網(wǎng)管為了維護(hù)方便都是采用Win2k和Win2003來(lái)做操作系統(tǒng)的， 所以這里就以Windows系統(tǒng)為例， 給大家展現(xiàn)如何利用ARP攻擊站點(diǎn)。

踩點(diǎn)和掃描

應(yīng)用Windows系統(tǒng)的Web服務(wù)器的代碼結(jié)構(gòu)多數(shù)都是asp加mssql， 這些都存在sql injection隱患。 主要是通過注射工具， 如果是db-own的， 可以通過配置黑客字典來(lái)跑用戶名和密碼， 如果有論壇的話， 看是否存在漏洞， 如果存在就通過一句話木馬來(lái)獲得webshell， 也可以通過老的掃描思路， 利用x-scan， superscan等工具來(lái)查看對(duì)方主機(jī)開放了那些端口， 得知該主機(jī)提供了那些服務(wù)， 通過xscan的漏洞庫(kù)比對(duì)， 判斷是否存在安全漏洞。

查點(diǎn)、攻擊和系統(tǒng)提權(quán)

利用whois查點(diǎn)， 得到該空間使用者的情況， 用戶名， 聯(lián)系方式， 郵件列表， 為社會(huì)工程做好鋪墊。 通過nslookup命令來(lái)查看郵件服務(wù)器信息， 多數(shù)還是通過端口掃描來(lái)獲得有價(jià)值的信息。 如果對(duì)方用的軟件存在緩沖區(qū)溢出的話， 通過一些地下站點(diǎn)或安全站點(diǎn)公布的exp來(lái)做攻擊， 經(jīng)過exp攻擊， 拿下主機(jī)權(quán)限。

內(nèi)網(wǎng)嗅探和盜取資料

安裝后門軟件， 通過注冊(cè)表或輸入命令把自己添加到admin group組中， 接著上傳nc（一個(gè)黑客工具）打開mstsc服務(wù)（3389服務(wù)）， 在命令行輸入net user命令查看當(dāng)前是否有管理員在線。 安裝winpcap軟件， 新版的winpcap不需要再重新啟動(dòng)就可以用， 安裝arp sniffer進(jìn)行網(wǎng)絡(luò)嗅探， 我們這里簡(jiǎn)單介紹下arp siniffer的使用方法， 在cmd（命令行）下輸入arpsniffer ip1 ip2   logfile netadp /reset。 這里ip1是指的該局域網(wǎng)網(wǎng)關(guān) ip2指的是目標(biāo)ip地址， logfile是保存嗅探得到的用戶名和密碼的一個(gè)本地文本文件， 通過嗅探網(wǎng)關(guān)ip來(lái)捕獲局域網(wǎng)的用戶名和密碼， 利用反彈木馬把資料下到自己的機(jī)器上面。

以上就是整個(gè)ARP入侵嗅探攻擊思路， 非常簡(jiǎn)單， 但思路是死的， 人是活的， 這里我只是簡(jiǎn)單介紹了最普通的入侵思路， 還有其他很多入侵手段， 我也不再一一列舉， 但萬(wàn)變不離其中， 如果你能明白我舉的這個(gè)例子， 那其他的無(wú)非是用不同的手段實(shí)現(xiàn)踩點(diǎn)、掃描、查點(diǎn)、攻擊、系統(tǒng)提權(quán)、內(nèi)網(wǎng)嗅探、盜取資料等過程。

二、解決實(shí)例

對(duì)arp廣大網(wǎng)友來(lái)說(shuō)， 了解如何攻擊并不是目的， 還是那句話， 如何解決問題才是我們應(yīng)該學(xué)習(xí)的， 下面就再舉一個(gè)例子說(shuō)明， 碰到ARP入侵攻擊， 應(yīng)該如何解決， 解決后應(yīng)該怎樣防范。

受攻擊現(xiàn)象

2008年8月23日， 下午4點(diǎn)， 嫂子打來(lái)電話說(shuō)她們教育學(xué)院的網(wǎng)絡(luò)遭受了攻擊， 很多老師的機(jī)器上不去網(wǎng)， 郵件也無(wú)發(fā)正常收發(fā)， 一直提示IP地址沖突， 交換機(jī)上的黃燈也是常亮不滅。 這情況明顯是有大量的數(shù)據(jù)包沖擊網(wǎng)絡(luò)。

了解網(wǎng)路拓?fù)浣Y(jié)構(gòu)很重要

根據(jù)嫂子的描述， 我畫出了網(wǎng)絡(luò)拓?fù)鋱D， 并根據(jù)交換機(jī)部署和網(wǎng)絡(luò)層次劃分結(jié)構(gòu)， 判斷故障影響的網(wǎng)絡(luò)范圍。 這些看似沒有用， 其實(shí)是必須要做的分析， 目的是合理的判斷攻擊原因和 方便查找攻擊源頭， 以便徹底解決問題。

抓包分析

使用siniffer抓包， 分析詳細(xì)數(shù)據(jù)包情況。 根據(jù)分析初步判斷是遭受了ARP欺騙攻擊， 因?yàn)樵�本一個(gè)IP地址對(duì)應(yīng)一個(gè)MAC地址， 但在siniffer的數(shù)據(jù)報(bào)告上面顯示的IP地址對(duì)應(yīng)的MAC地址全部都成了一個(gè)。

具體解決過程

打開服務(wù)器， 發(fā)現(xiàn)上面竟然安裝了server-u5.0， 還有代理服務(wù)器 ccproxy。 前段時(shí)間還和朋友探討這兩個(gè)軟件的溢出和提權(quán)， 估計(jì)是已經(jīng)被人成功拿下了， 在服務(wù)器的c盤目錄上發(fā)現(xiàn)了winpcap， 還發(fā)現(xiàn)了arp siniffer這兩個(gè)軟件。 前面已經(jīng)講過如何利用arp siniffer嗅探密碼和資料了， 這里就不再過多介紹。

現(xiàn)在應(yīng)該去抓這只鬼了， 首先我們要搜索.txt文本文件， 考慮到他既然如此大膽的把文件放在c盤根目錄下， 從黑客行為上分析， 這個(gè)黑客的水平和技法也不怎么樣， 也有可能我小看了他。 根據(jù)在c盤搜索到的txt文件， 按時(shí)間倒序排列， 找出最新生成的txt文檔， 果然一個(gè)名叫admin.txt的文本文檔進(jìn)入了我們的視線。 打開一看， n多帳戶和密碼， 經(jīng)過嫂子的辨認(rèn)， 非常重要的一臺(tái)辦公服務(wù)器的用戶名和密碼都在上面， 要知道它可是直接和省增值服務(wù)網(wǎng)絡(luò)直接互通的， 如果這個(gè)網(wǎng)絡(luò)被入侵的話， 那么損失將是不可估量的。

現(xiàn)在做的只有迅速斷開網(wǎng)絡(luò)連接， 更改密碼， 把server-u升級(jí)到6.0最新版本。 關(guān)閉了ccproxy代理服務(wù)器， 把這個(gè)arp sniffer這個(gè)垃圾清掃出去， 給其他老師的機(jī)器打補(bǔ)丁， 做漏洞掃描， 這里說(shuō)句題外話， 在清理的過程中發(fā)現(xiàn)很多機(jī)器上面的用戶名和密碼都為空， ipc$,3389， 遠(yuǎn)程協(xié)助全都是打開狀態(tài)。

至此， 所有的問題都已經(jīng)解決了， 但并不是所有人都可以這樣做， 其實(shí)遭受攻擊的原因很多是因?yàn)閮?nèi)部員工使用終端不當(dāng)， 拋開內(nèi)部員工泄密不說(shuō)， 單說(shuō)基本的安全常識(shí)， 就有很多企業(yè)的員工不知道。 這些都給黑客的各種入侵帶來(lái)了極大的便利。

據(jù)一些專業(yè)媒體調(diào)查， ARP欺騙攻擊大多都發(fā)生在企業(yè)內(nèi)部網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)， 員工的好奇和網(wǎng)絡(luò)開發(fā)， 知識(shí)挖掘和資源共享， 往往成為一些病毒和網(wǎng)絡(luò)攻擊的訓(xùn)練場(chǎng)， 那么ARP欺騙究竟是怎么產(chǎn)生的？ARP又是依據(jù)怎樣的原理實(shí)現(xiàn)攻擊的呢？