在 T00ls.Net 看到一个帖子,原帖内容如下:
|
以下是引用片段: ARP攻击大家都知道,以前偶总以为它的目的就是破坏一下网络,限制网速,还有嗅探。。。 也有听说ARP挂马这一说。。可从来没遇到 不过,前段时间,管理的服务器被ARP,所有网页头部都被挂马。。。这才亲身体验了下ARP挂马的强大。。。 还有,也是前段时间,我电脑总是莫明其妙的弹出广告。。。开始以为是中了插件,可是查来查去都没有任何的不正常。。。一怒之下重做了系统,结果还在弹, 以为中了传说中的鬼影。。可是专杀用了,引导刷了。。还是没个结果。。。广告照样弹 后来,安装了彩影ARP防火墙,发现再也没有弹过。。。所以猜测,是被ARP攻击了 这里想知道下,ARP挂马的详细流程到底是怎么一回事? 网上大都在这里一笔带过,可用的信息太少了。。。所以看看大牛们有何高见? ARP挂马。。牛啊。。网上好像有一款ARP挂马工具。。。6月份传说新出了一种ARP挂马工具。。。它们究竟是怎么改的包,怎么实现的挂马。。。大家一起来讨论下啊 |
现在确实有很多同学不了解 Arp 攻击的原理,还有很多同学一知半解,仅仅会用几个基于 Arp 攻击的工具,例如:Cain 系列、Zxarp、幻境网盾、网络执法官等软件,而对原理几乎不懂,我在这里简单的介绍一下 Arp 欺骗挂马、嗅探、监听、攻击的原理,以及 Arp 防火墙的原理解析。
实际上 Arp 攻击这都是06年、07年、08年盛行的技术了,从09年开始逐渐淡出了,想当年Arp挂马横飞,C段Arp那叫个火,各种Arp攻防技术,记得还有很多木马、下载者、远控自带Arp局域网传播功能,当时很厉害的,一个网吧中一台,整个局域网沦陷,全被挂马,很疯狂的。
Arp 流程:
1.主动发Arp包到网关、局域网,说哥是网关(或受害机器)。
2.So,所有的机器都认为你是网关或者受害机器,那么那些通讯数据就发到你这里来了。
3.So,得到数据包,可以提取密码等资料,或者修改下,再发出去,充当中间人,在这个环节就任人鱼肉了。。
4.伪造的数据包发出去后,整个网络通讯看似正常,如果你不把包发出去,那么就是掉线攻击了,目标机器就掉线了。
5.实际上在你冒充网关或者受害机器的时候,受害机器就掉线了,因为所有数据都发到你这里来了,那么你还可以将数据包修改加工后再发回去,就是所说的中间人攻击。
6.在修改数据包的过程中,HTTP数据包完全是明文的,修改起来很简单,可以很容易的加入挂马代码。
参考资料:http://www.beike.cn/ztarp.html,这里用很简单的语言,给你讲得很详细,可以看一下。
传说中的突破 Arp 防火墙的嗅探技术,流程如下:
Arp 防火墙的原理,就是不停地发包到网关(每秒几十次),对网关说我是真的机器,避免其他机器冒充本机。
当然,还有很多是基于网卡驱动层,直接拦截Arp攻击包的,这个目前是主流。
破墙原理:你发包?我也发!我比你发的还快,你每秒发50次,我每秒发一百次!
口水淹没大法,把网关搞的不知道哪个是了,由于你发的频率高,所以在很短的时间周期内,网关认为你是受害机器,So,目标机器的正常数据包就发过来啦。。
此法缺点:极容易引起机房掉线、自己和目标机器掉线,几率80%以上。。
附上:
目前国内最强的 Arp 防火墙是彩影ARP防火墙,官网:http://www.antiarp.com/
彩影ARP防火墙有两个版本:一个单机版、一个服务器版,现在把两个版本做成一个安装文件了,安装的时候自动识别系统,安装对应的版本。
单机版本身就免费(需要把主页改成他们的百度推广地址,就是百度的网址后边多了个参数,是推广代码,不影响使用),而且还有破解的。
服务器版破解的,我十分仔细的找了好几个月,没找到……
其次就是金山贝壳Arp防火墙效果也是刚刚的,而且是完全免费的,还没有任何广告,界面简洁,无插件,强烈推荐用这个。官网地址:http://www.beike.cn/。
留言评论(旧系统):