CSNA网络分析论坛»首页 流量分析产品区 科来产品 一段超神奇的攻击2~网吧的末日到了!
返回列表 发帖
查看: 6811|回复: 16

一段超神奇的攻击2~网吧的末日到了!

[复制链接]
ckb160
发表于 2008-4-21 20:40:32 | 显示全部楼层 |阅读模式
呵呵!我又会回来了。续一段超神奇的攻击后!(这次不会在打错字了,哈哈~~)
感谢曾经关注过我的贴子的~!同志们:你们辛苦了:首先.我想感谢CCTV、MTV、以及科来交流版论坛
能给我这个机会让我在你和你们一起分想被别人攻击的乐趣!
   没有那些专业的黑客来攻击,我们怎么能成长那~对吧~!(感谢也说完了,费话不多说了)

此攻击,说明白了就是非常大量的ARP 请求~!8秒钟发送40多万个请求!(主机和路由器都有双绑定)
攻击的时候~!路由器会在3秒以内出现掉包`!5秒内连接网关丢失~!网络完全瘫痪!源攻击主机隐藏自已的IP地址和MAC地址
捉的包数据只能看到`!IP 88。88。88。88 MAC地址!88:88:88:88:88:88


file:///C:/Documents%20and%20Settings/cface/桌面/1.bmp

初步分析:1: 攻击程序~!对网关进行了欺骗!对局域网造成数据量非常大的广播!
          2: 作者很聪明,而且对网络捉包原理非常了解~!故意,用这种假的MAC地址和IP 好更好隐藏自已~!file:///C:/Documents%20and%20Settings/cface/桌面/3.bmp
file:///C:/Documents%20and%20Settings/cface/桌面/9.bmp
数据包很大~!现在无法上传`1
回复

使用道具 举报

ckb160
 楼主| 发表于 2008-4-21 20:42:01 | 显示全部楼层

攻击中的图片~!

请大家分享`!
2.jpg
4.jpg
8.jpg
回复

使用道具 举报

ckb160
 楼主| 发表于 2008-4-21 21:09:13 | 显示全部楼层

数据包很大分多次上传`!

请下载完全部的数据包在打开看`!!~

工程 1.part01.rar

1.39 MB, 下载次数: 49, 下载积分: 魔法币 -3

工程 1.part02.rar

1.39 MB, 下载次数: 46, 下载积分: 魔法币 -3

工程 1.part03.rar

1.39 MB, 下载次数: 42, 下载积分: 魔法币 -3

工程 1.part04.rar

1.39 MB, 下载次数: 43, 下载积分: 魔法币 -3

工程 1.part05.rar

1.39 MB, 下载次数: 75, 下载积分: 魔法币 -3

工程 1.part06.rar

1.39 MB, 下载次数: 41, 下载积分: 魔法币 -3

工程 1.part07.rar

1.39 MB, 下载次数: 35, 下载积分: 魔法币 -3

工程 1.part08.rar

1.39 MB, 下载次数: 27, 下载积分: 魔法币 -3

工程 1.part09.rar

1.39 MB, 下载次数: 34, 下载积分: 魔法币 -3

回复

使用道具 举报

ckb160
 楼主| 发表于 2008-4-21 21:12:44 | 显示全部楼层

数据还有6个~!请下载完15个

下载完15个才能打开~!~!~

工程 1.part10.rar

1.39 MB, 下载次数: 37, 下载积分: 魔法币 -3

工程 1.part11.rar

1.39 MB, 下载次数: 32, 下载积分: 魔法币 -3

工程 1.part12.rar

1.39 MB, 下载次数: 31, 下载积分: 魔法币 -3

工程 1.part13.rar

1.39 MB, 下载次数: 28, 下载积分: 魔法币 -3

工程 1.part14.rar

1.39 MB, 下载次数: 36, 下载积分: 魔法币 -3

工程 1.part15.rar

744.48 KB, 下载次数: 33, 下载积分: 魔法币 -3

回复

使用道具 举报

55902000
发表于 2008-4-21 21:17:58 | 显示全部楼层
晕。也给别人攻击了吗。
回复

使用道具 举报

pqrs679
头像被屏蔽
发表于 2008-4-22 00:34:31 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

awolf99
发表于 2008-4-22 07:54:40 | 显示全部楼层
太高深,看不懂原理!
回复

使用道具 举报

hudeg632
发表于 2008-4-22 09:04:44 | 显示全部楼层
这是你们网内问题,仔细查一下广播包,注意,没有扫描的那台机器就是元凶。
回复

使用道具 举报

garyx
发表于 2008-4-22 12:01:48 | 显示全部楼层
楼上的没看过楼主的第一贴吧!看了再说吧!
不错!今天晚上再下来看看!
回复

使用道具 举报

zfl2k
发表于 2008-4-22 13:49:34 | 显示全部楼层
关注,希望看到最后结果
回复

使用道具 举报

ckb160
 楼主| 发表于 2008-4-22 14:15:55 | 显示全部楼层

回复 8# 的帖子

你的想法不错当时我也这么认为`!`如果你看一下包就知道了
~!本人通过,核心交换机~!对其下的12个子交换机,进行了单个数据屏闭~!
3分钟之内确定了,是哪个交换机的所在的区域在发包~!重起子交换机下的机子这时一切正常~!
过了1个小时~!又出现了这样的ARP请求`!
在查,攻击源又换成了别的交换机下的机子``!源主机,可以不停的变化自已的地方
~!一秒钟5万多个包!请求了5万台重复主机~!IP都是重复的
想对照查找非常之难~!好比大海捞针`!(在加上网吧的机子不停的上机和不停的下机)
你的想法不错,但是实现起来是不可能的~!
回复

使用道具 举报

ckb160
 楼主| 发表于 2008-4-22 15:06:35 | 显示全部楼层

冷静分析攻击原理

`! 此攻击程序,只利用了。网络层中ARP协议和数据连数层之间接口转换~!
由于程序设计时没有想到要利传输层,所以程序本来就没有端口号`!而且他攻击时更本就不需上网,只要连接局域网是通的就行了!
(这样的原理就是,躲开!那些查看进程发包的软件!)
它更本就不需要知道,局域网有多少台电脑,攻击时候~!直接在网络层封装一个ARP包`,(注意,封装的时候,程序就虚造了一个
88:88:88:88:88:88:88地址,把以前的真正的MAC地址替换掉了)然后
设置一下
目标地址、也就是广播地址~!在设定一下每秒发送的多少个~!然后交给数据链路层~!
数据链路器收到网络层交下的包~!直接封装成帧交给物理层发送出来    (此时发送现来的包,就是我们可以捉到的包了捉到的也是假的)
!~此时物理层发送出去的时候!~这时候局域网所有的机子都能收到。为什么都能收到,因为那个包是个广播包`1
(何为广播,网络比成一个教室,有个人突然大声的叫喊。大家都能听到)

如果把每个交换机子的,都变成一个独立子网段`(只要修改一下子网掩码就行了)!这样的攻击就无效了~!只会影响到一个交换机不能上网
~!但是收银机,游戏服务器和电影服务器`!如果都不在一个子网段就无法无接的~!

                                  请大家一起关注吧~!本人已经有新的方案目前测试在,成功了在说`!
回复

使用道具 举报

oar
发表于 2008-4-22 20:22:17 | 显示全部楼层
应该说现在的winxp或者其他系统,只要敲击键盘的家伙是管理员身份,基本上“杀毒软件是全线溃败”的,从而很容易导致arp欺骗的发生
回复

使用道具 举报

icexplorer
发表于 2008-4-23 18:55:08 | 显示全部楼层
楼主推理很正确,关注中结果中``
回复

使用道具 举报

摇滚一族
发表于 2008-4-23 21:52:09 | 显示全部楼层
网吧防ARP最有效的方法就是架一个PPPOE服务器,所有的子机通过PPPOE拨号联上路由器上网,哈哈,协议不同了,就再也不怕ARP了。
用routeros组个软路由就能实现
回复

使用道具 举报

robertzhangyu
发表于 2008-4-23 22:53:18 | 显示全部楼层
呵呵,楼上的朋友,PPPoE也依赖那几个类似的打包过程阿,我如果伪装PPPoE Server 发包呢?
回复

使用道具 举报

owners3
发表于 2008-4-24 10:05:30 | 显示全部楼层
DDOS  CNN 跨了,家乐福跨了。更别说你那网吧。早点抓人去吧。慢慢排查。周边网吧。第三次和你说。
回复

使用道具 举报

返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表