ARP欺骗已经过时了，现在流行非ARP欺骗，浻！

robur · 发表于 2008-4-29 15:41:53

最近看了两款软件，一个叫httphijack，另一个叫SSClone。都是国产的哟～～
原理大概看了一下，不得不佩服这个思路。

传统ARP欺骗，欺骗的是终端计算机，而这个非ARP得欺骗，欺骗的是交换机！
它让交换机建立起错误的“端口和MAC之间的映射”，从而导致交换机转发数据包到错误的端口！

基本上就是这个意思，我一会儿去分析一下程序的工作原理，抓一个数据包样本出来。

欢迎大家继续探讨此种攻击的技术！

jeff_gx · 发表于 2008-4-29 17:12:56

一个ARP就够让人头痛的了还来个非ARP的.......怕怕~!

robur · 发表于 2008-4-29 17:20:55

我cao，不信邪不行啊！！
刚才自己搭环境测试了一下，这东西利用非ARP技术，所以可以穿所有ARP防火墙！
环境是绝对的物理环境，没用虚拟机，用一个小交换机，网关方式上网。

用SSClone劫持会话，另外一台机器访问mail.qq.com，结果被攻击者访问mail.qq.com的数据包完全被拦截下来了。
攻击者这边轻而易举地分析了数据包的内容（HTTP，没有加密），进而利用数据包中截获的Cookies，伪造了被攻击计算机的会话，可以完全接替被攻击者的操作。

一会儿上数据包的分析过程，稍后！

网管们的噩梦又要开始了！！！

[ 本帖最后由 robur 于 2008-4-29 17:22 编辑 ]

oldjiang · 发表于 2008-4-29 18:40:27

如果交换机采取了端口安全措施，比如每个端口绑定一个静态地址，会有防护效果吗？

robur · 发表于 2008-4-29 19:13:19

原帖由 oldjiang 于 29/4/2008 18:40 发表
如果交换机采取了端口安全措施，比如每个端口绑定一个静态地址，会有防护效果吗？

嗯，也只能采用这种方法来防护了。
交换机必须支持端口绑定的，把端口和MAC关联起来，才能起到保护效果。

55902000 · 发表于 2008-4-29 19:24:41

什么时候发数据包啊。

55902000 · 发表于 2008-4-29 19:53:58

难道是传说中。。通过发数据包进行交换机端口竞争吗。。。。

yuanye002 · 发表于 2008-4-29 23:36:42

晕死。。。。
一场血雨腥风又开始了。。
可怜的网管们啊。。

icexplorer · 发表于 2008-4-30 08:35:15

原理好像很旱在哪见过，当时不太理解，关注

ppp2 · 发表于 2008-4-30 09:58:56

原帖由 robur 于 2008-4-29 19:13 发表

嗯，也只能采用这种方法来防护了。
交换机必须支持端口绑定的，把端口和MAC关联起来，才能起到保护效果。

那如果交换机某一端口绑定多个IP,会怎样````
可怜的网管~

robur · 发表于 2008-4-30 10:11:24

原帖由 ppp2 于 30/4/2008 09:58 发表

那如果交换机某一端口绑定多个IP,会怎样````
可怜的网管~

绑定IP没用，这个技术欺骗的是端口——MAC的映射关系，需要端口绑定MAC才能解决。

wastebaby · 发表于 2008-4-30 10:30:06

流量大不大，能不能抓到它向网关发送欺骗的包。

xiehuibao · 发表于 2008-4-30 10:50:36

这个技术早已不是什么新技术了，呵呵。正常情况下在交换机上配置两条命令就可以完全控制了。各个厂家的命令行不一样，大家到网上查下就明白怎么做，没有必要觉得什么腥风血雨的。

oldjiang · 发表于 2008-4-30 11:00:25

来个命令的例子？

robur · 发表于 2008-4-30 11:46:52

原帖由 xiehuibao 于 30/4/2008 10:50 发表
这个技术早已不是什么新技术了，呵呵。正常情况下在交换机上配置两条命令就可以完全控制了。各个厂家的命令行不一样，大家到网上查下就明白怎么做，没有必要觉得什么腥风血雨的。

到也是，不过毕竟不可管理的交换机还是有相当的占有量。

wastebaby · 发表于 2008-4-30 12:17:14

不允许下面的电脑发送ARP广播包吗

h422486515 · 发表于 2008-4-30 13:14:33

我也觉得这个对于非可管理交换环境的话比较恼火，但是最好是防毒，防这些个恶意软件。

ruruex · 发表于 2008-5-3 11:44:23

并不是什么新鲜东西，也没什么可怕的，各厂商早有解决方案。关键是若你用的是非网管的交换机就比较麻烦了

ipower · 发表于 2008-5-3 12:01:59

好久没来,落伍了.

garyx · 发表于 2008-5-4 08:45:45

原帖由 robur 于 2008-4-30 11:46 发表

到也是，不过毕竟不可管理的交换机还是有相当的占有量。

机修老大,你在说我呢!

vostok · 发表于 2008-5-6 10:32:34

原帖由 ruruex 于 2008-5-3 11:44 发表
并不是什么新鲜东西，也没什么可怕的，各厂商早有解决方案。关键是若你用的是非网管的交换机就比较麻烦了

关键不是在这里吧
最关键的问题是在于，大部分单位有多少可网管交换机？网吧根本不用提了。有多少单位能够更换交换机？
我们的网络管理者有多少真正做到对网络熟悉？
可怕的原因在于意识，不是吗？

zhuyong0523 · 发表于 2008-5-6 14:26:27

一看就是典型的ARP欺骗,这种东西,只不过不是欺骗的电脑,而是欺骗了交换机而已,也好意思拿出来说,早就有了这东西了!

robur · 发表于 2008-5-6 23:28:24

原帖由 zhuyong0523 于 6/5/2008 14:26 发表
一看就是典型的ARP欺骗,这种东西,只不过不是欺骗的电脑,而是欺骗了交换机而已,也好意思拿出来说,早就有了这东西了!

既然如此，这位朋友，那请你来说说吧？
1、什么叫ARP欺骗，能给个明确的定义么？
2、既然你已经熟知这种技术，那不妨从头开始，一个数据包一个数据包的分析，重放一遍攻击过程，把原理给大家说清楚好了。

你要是说得在理，我相信在座的各位都会诚心地都佩服你的技术，认为你的水平比我们高很多，堪称专家级别！
要是说不出来，以后就请少发这种帖子，你看好吧？

真诚地期待你的技术分析！

好心情 · 发表于 2008-5-6 23:33:10

如果是ARP欺骗，大家就不在这讨论了。

ivenliu · 发表于 2008-5-10 22:47:15

晕。。。我的交、换机不是管理型的。。。

xhcyy · 发表于 2008-5-11 02:04:15

原帖由 robur 于 2008-5-6 23:28 发表

既然如此，这位朋友，那请你来说说吧？
1、什么叫ARP欺骗，能给个明确的定义么？
2、既然你已经熟知这种技术，那不妨从头开始，一个数据包一个数据包的分析，重放一遍攻击过程，把原理给大家说清楚好了。

你要 ...

机修老大是真正的专家，已经看他的帖子学到了很多东西.....也期待上面这位仁兄亮亮剑，大家学习学习。

zzgpitt · 发表于 2008-5-11 11:50:02

我靠要,挂了,这个世道

seek · 发表于 2008-5-11 23:09:48

这个也是ARP欺骗
ARP欺骗无非就是欺骗客户端和欺骗网关或者两者结合

hu_ai_zai · 发表于 2008-5-14 15:44:17

详见附件！

dingyuan963 · 发表于 2008-6-2 00:20:10

请把操作过程写下好么，偶是菜鸟。这两个工具说明文档好像不太明白。

ARP欺骗已经过时了，现在流行非ARP欺骗，浻！

回复 13# 的帖子

顶！！

SSClone非ARP会话劫持原理分析(转贴）带科来分析图见附件！

本帖子中包含更多资源