CSNA网络分析论坛»首页 流量分析 网络安全 求助ARP投毒问题
返回列表 发帖
查看: 8133|回复: 8

求助ARP投毒问题

[复制链接]
check1ng
发表于 2010-8-19 21:24:52 | 显示全部楼层 |阅读模式
本帖最后由 check1ng 于 2010-8-19 21:43 编辑

投毒PC=192.168.2.2
中毒PC=192.168.2.3
网关=192.168.2.1
最近在研究ARP投毒,碰到一个原理性问题:  假如我是中间人,所谓投毒就是起到自己是目标主机和另一台PC(也可以是网关)之间的连接作用,使用CAIN后,通过查看ARP发现,实际上只让一台PC的ARP改了,到网关的MAC改成自己的PC了,网关到中毒PC的MAC没有改变,现在的问题是我收到这个数据包(ping包)了(本机IP=192.168.2.2   包 源IP就是中毒PC=192.168.2.3  目的IP=1.1.1.1),我是怎么把这个数据包发出去的,根据默认网关?行 假设是默认网关,那么网关收到这个数据包后又怎么返回?返回给本地PC还是直接给目的PC 从路由器上的debug看是直接给中毒PC,但是路由器的ARP没有中毒啊,依旧是正确的,于是在本地抓包发现一个ICMP 重定向(源IP=192.168.2.2 目的IP=192.168.2.3),重定向的原理我理解,但是在这里的用途我不是很理解,请解释下,而且从这个抓包里面看 你会发现没有从1.1.1.1 到192.168.2.3的reply(这一点正好符合前面说的,直接将包返回给中毒PC) 2.jpg ,然后就是一般的Ping包是Ping4次但是这里怎么有12个包,别说我Ping了3次啊。。 我只ping了一次   还有一个问题就是CAIN的ARP投毒里面有个一个STATUS(状态)这个是什么意思?有时候是HALF routing 有时候是full routing 这个是什么意思? 1.jpg   谢谢

我把问题概括下:
就是投毒PC收到中毒PC发来的数据包后是如何处理的?
目标PC收到经过投毒转发的数据包后是返回给谁?中毒PC还是投毒PC?(因为在CAIN里面它说的是双向截获数据包,所以应该有reply)
ICMP重定向起到什么作用?
CAIN里面ARP投毒下面的STATUS是什么含义?

CAIN的那个状态问题解决了:“1、广播(Broadcasting):APR将广播包广播到局域网内所有主机。
2、半路由(Half-Routing):此状态意味着APR能正确的路由通信,但只有一个方向(如:
“客户端->服务器”或“服务器->客户端”),当局域网内有不均匀路由或两主机之一不
能欺骗时会发生此情况,此时若有使用交换应答机制的认证通信,Cain 是不能捕获认证信
息的。
3、全路由(Full-Routing):意味着能欺骗注入两主机间的通信,并以全双功工作,如:
“客户端<->服务器”,嗅探器可完全捕获认证信息

    欢迎对这有兴趣的朋友聊聊  QQ38807599

评分

1

查看全部评分

回复

使用道具 举报

菜鸟人飞
发表于 2010-8-20 09:41:05 | 显示全部楼层
1、使用CAIN进行ARP欺骗后,投毒PC收到中毒PC发给网关的数据包后,将其转发到网关。收到网关发给中毒PC的数据包后,将其转发到中毒PC。投毒PC在此仅仅起一个中间人的作用。

2、网关收到经过投毒PC转发的数据包后,其返回数据包中,目标IP是中毒PC的,但是由于使用了CAIN作双向ARP欺骗,可知其目标MAC是投毒PC。所以数据包会被转发给投毒PC,让投毒PC再转发给中毒PC。
这个地方没有REPLY的原因,可能是1.1.1.1这个地址PING不通,所以没有REPLY的包。

3、在开启了IP路由功能的ARP欺骗中,投毒主机会发送ICMP重定向的数据包。这取决于CAIN中是否启用了IP路由,也就是你第4点的STATUS。
回复

使用道具 举报

check1ng
 楼主| 发表于 2010-8-20 10:22:49 | 显示全部楼层
感谢你的回复
2,我后来研究了下  在这个案例中 网关确实是直接将数据包返回给了中毒PC,因为CAIN里面显示的是half-routing,而且我在路由器上查看了ARP表的 没有中毒,另外1.1.1.1肯定可以ping通,至于为什么没有reply我觉得还是因为half-routing的原因,有时间我来看下full-routing 然后在来看网关的ARP
3,投毒主机发送ICMP重定向是想说明什么?(告诉中毒PC到目标的路径不从我这走而是应该从其他地方走)?
回复

使用道具 举报

check1ng
 楼主| 发表于 2010-8-20 20:42:12 | 显示全部楼层
那个为什么ping会出现这么多的问题 我也找到答案了。。。 因为重定向的存在
回复

使用道具 举报

check1ng
 楼主| 发表于 2010-8-20 21:35:44 | 显示全部楼层
OK  对于昨天的问题 我今天通过实验和分析已完全找到答案了。。。。
回复

使用道具 举报

菜鸟人飞
发表于 2010-8-23 11:29:35 | 显示全部楼层
check1ng兄,可否详细说下你的实验过程和心得体会,让我们也学习学习。
回复

使用道具 举报

check1ng
 楼主| 发表于 2010-8-23 12:25:15 | 显示全部楼层
check1ng兄,可否详细说下你的实验过程和心得体会,让我们也学习学习。
菜鸟人飞 发表于 2010-8-23 11:29
呵呵  行 行  我哪天写份文档出来
回复

使用道具 举报

善变的心
发表于 2010-8-24 09:20:08 | 显示全部楼层
文档写快点     让我们也学习学习下
回复

使用道具 举报

毒Q
发表于 2010-9-14 11:01:25 | 显示全部楼层
...技术文档.希望快点出来
回复

使用道具 举报

返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表