邪恶八进制信息安全团队技术讨论组 » 论坛原创{ Original Paper } » [原创]将arp欺骗到底 [查看完整版本]

凋凌玫瑰 2007-9-19 23:26

[原创]将arp欺骗到底

信息来源：邪恶八进制信息安全团队（[url]www.eviloctal.com[/url]）
文章作者：凋凌玫瑰

至从arp欺骗盛行后，各种arp防火墙也畅销起来，不过我们了解arp防火墙的原理后，就很容易绕过它继续进行arp欺骗，无非就是跟arp防火墙比与网关发arp包刷新mac地址的速度。所以我们就另外用一个发包工具将被欺骗的ip和mac不断的告诉网关，让网关不停的应答，然后网关就把你当成被欺骗的机器了。如果在同一台机器上操作发包工具和cain容易引起占据的那台机器网速太慢，所以最理想的操作方式是用一台机器发包，再用一台机器开cain欺骗嗅探，cain很容易地做了一个中转。直接就抓到了被欺骗机的密码信息。

为了演示这个过程，我在内网中搭建了一个平台，做了这样一个动画。

希望大家继续关注ncph，工作忙了也很少发文章和教程了。

动画下载地址：[url]http://www.ncph.net/ncpharp.rar[/url]

remax 2007-9-20 08:25

[s:270]
ncph
貌似前几天出过个小事情..
ARP嗅探这东西要防的好还是要捆mac.

yumiko 2007-9-20 12:39

[s:264]
         正点,顶...

     有时同时开两个ARP工具也能,不过效果不是很好.

杀虫剂 2007-9-20 13:10

不错，你的确很少发文章和教程了，记得arp欺骗还是从你网上的教程开始学起的。永远支持NCPH支持玫瑰。
提问个问题：安装WinPcap驱动提示DLL文件复制错误，应该是捆了mac有什么方法突破没

bluelight 2007-9-20 13:15

好像没必要这样吧
现在很多arp欺骗工具都可以调节欺骗速度
你的发包工具是多少秒一次？？
我看到的最少也是1秒，你的难道是1秒以内？？

foxbase 2007-9-20 15:49

没这么容易吧，绑定了的怎么搞？

kissjetg 2007-9-20 15:56

欺骗会造成网络堵塞

foxbase 2007-9-20 16:00

动画看了，不过我很想知道.
你在没有192.168.1.253的System权限时,你怎么会知道192.168.1.253的MAC的，

凋凌玫瑰 2007-9-20 17:32

楼上的这问题问得太有才了。

ping 192.168.1.253

arp -a


需要192.168.1.253的权限吗？

mmzz321 2007-9-20 18:08

请问大哥们 我在宿舍把网关的IP和MAC地址捆绑了 怎么还是受到ARP攻击而断网啊

凋凌玫瑰 2007-9-20 21:29

你单向绑定mac没用的，必须要双向绑定，因为你没法让网关绑定你的mac，所以还是要受arp攻击的影响。

hitlerboy 2007-9-21 02:59

问问玫瑰大哥，是不是单向绑定之后，只能欺骗到网关，所以后果，就是我不能上网，但是密码不会被抓到？

... 2007-9-21 06:01

cain和ARPSNIFFER都需要绑定网卡？ 驱动。。。 [s:265]

remax 2007-9-21 08:55

[quote]引用第4楼杀虫剂于2007-09-20 13:10发表的 :
不错，你的确很少发文章和教程了，记得arp欺骗还是从你网上的教程开始学起的。永远支持NCPH支持玫瑰。
提问个问题：安装WinPcap驱动提示DLL文件复制错误，应该是捆了mac有什么方法突破没[/quote]
安装WinPcap驱动提示DLL文件复制错误
错误。

mmzz321 2007-9-21 16:06

[quote]引用第11楼凋凌玫瑰于2007-09-20 21:29发表的 :
你单向绑定mac没用的，必须要双向绑定，因为你没法让网关绑定你的mac，所以还是要受arp攻击的影响。[/quote]

请问怎么在路由器下绑定某台计算机的IP和MAC地址啊

evilazrael 2007-9-23 10:50

[quote]引用第15楼mmzz321于2007-09-21 16:06发表的 :


请问怎么在路由器下绑定某台计算机的IP和MAC地址啊[/quote]

arp -s IP MAC

但是经过我测试 这样是无法防止 ARP欺骗的

除非对方是 单向arp

felifan 2007-9-23 12:25

双绑的话好象就得把一台机器DOS掉在代替它就OK了吧！
但是双绑加ARP防火墙是我认为最实际的办法！
毕竟高手真想黑你他有的是办法！~

bm11 2007-9-23 12:36

郁闷//这么容易嗅死的......

hackest 2007-9-23 15:45

我局域网测试的时候
FTP堵塞了，无法成功获取数据！
看来带宽也足以影响嗅探的结果
[s:265]

xln28118 2007-9-24 04:57

最近遇到个问题。一个比较大的内网。一嗅探任何一个机器 那个主页就开不了那是什么原因啊？？？

hackest 2007-9-26 10:52

发包过猛，导致网络堵塞……
[s:265]

东方 2007-9-26 11:36

我们这边校园网经常有人arpsniffer,没办法，有的人老断网

我一般都是arp -s 先绑定网关MAC,然后遇到网络上不去就arping <gateway IP>,哈哈，立马就好。

[s:266]

我们垃圾校园网每次还要dr.com登录，又没有for linux的，害得每次还要wine ,真麻烦。 [s:268]

363402977 2007-9-26 18:13

先装个arp防火墙，这样可以躲过大部分攻击（尤其是校园网内），然后再装个p2p终结者或是网络执法官之类的东西，看哪个家伙不老实就把他日下去 [s:264] [s:264] [s:264]

isto_ice 2007-9-28 17:34

像LZ这么说的话....网络里估计谁都别上网了....

那样发..ARP防火墙又一直丢....

结果估计跟网络风暴没什么两样了...

而且有个问题.....

现在 ARP防火墙防御的速度好象可以达到几百个/秒哦....

sunyy 2007-10-2 05:15

建议开发带参数版... [s:265]

Helvin 2007-10-2 07:51

[quote]引用第22楼东方于2007-09-26 11:36发表的 :
我们这边校园网经常有人arpsniffer,没办法，有的人老断网

我一般都是arp -s 先绑定网关MAC,然后遇到网络上不去就arping <gateway IP>,哈哈，立马就好。

[s:266]
.......[/quote]

arpoison

奋斗的征程 2007-10-2 17:32

晕，我在网吧试验，把整个网吧都整掉线了，弄得网管到处检查。
占用的宽带资源的确太多了！

cn_panguan 2007-10-3 11:30

[quote]引用第23楼363402977于2007-09-26 18:13发表的 :
先装个arp防火墙，这样可以躲过大部分攻击（尤其是校园网内），然后再装个p2p终结者或是网络执法官之类的东西，看哪个家伙不老实就把他日下去 [s:264] [s:264] [s:264][/quote]

哈哈，你这个办法好~~~可取~~~  [s:269]

isto_ice 2007-10-3 17:10

引用第23楼363402977于2007-09-26 18:13发表的 :
先装个arp防火墙，这样可以躲过大部分攻击（尤其是校园网内），然后再装个p2p终结者或是网络执法官之类的东西，看哪个家伙不老实就把他日下去
[quote]引用第29楼cn_panguan于2007-10-03 11:30发表的 :


哈哈，你这个办法好~~~可取~~~  [s:269][/quote]



很多防御ARP攻击的软件在运行了以后本身就不允许随便修改ARP表...

请问在这样的情况下...靠什么把对方日下去???

不走寻常路 2007-10-5 04:37

要是外网杂办呢？ 可以用么？
  我开了几个NCPHARP 发包 都没反映撒。。
      是不是服务器有了其他的防火墙？

airzero 2007-10-7 12:41

[s:289] 在肉鸡上测试，只要一发包就蓝屏了。。

sunwear 2007-10-7 21:36

[quote]引用第32楼airzero于2007-10-07 12:41发表的 :
[s:289] 在肉鸡上测试，只要一发包就蓝屏了。。[/quote]

为了能帮助楼主完善.
请提供操作系统 包括驱动程序版本 等各项信息.
蓝屏转储文件最好也附带上.当然不是完全信息转储.EST没空间存,另外你传上来也需要好几天..
尽量把环境完整提交给楼猪.

wrbcn 2007-10-7 22:52

真的要取证起来，直接XX了你的网线～～～呵呵

然后你的数据流出全都被XX了

wrbcn 2007-10-7 22:53

所以，为了防止被取证XX，建议使用加密代理～或者透明加密

这样网络数据比较安全

rafala 2007-10-14 23:45

不欺骗，那样会被网管封掉的，那样就没校园网用了

bluelight 2007-10-25 20:11

搂住能不能做个双向欺骗的发包工具？？
带个参数的最好了 赫赫

coco3317066 2007-10-26 13:24

[quote]引用第27楼奋斗的征程于2007-10-02 17:32发表的 :
晕，我在网吧试验，把整个网吧都整掉线了，弄得网管到处检查。
占用的宽带资源的确太多了！[/quote]

yxyhack 2007-10-29 10:54

原理讲清楚了，动画就不用看了，这种东西理论上的确可行！！

但不知道实际效果如何，应该找台受害者机器抓包看看，抓包的结果能说明一切。

樱花浪子 2007-10-29 12:06

俺在3000多的内存上的鸡上测试　结果装个CAIN装个玫瑰的这个工具　结果　肉鸡挂了一天没连上　不过等在连上的时候　发现确实嗅到了　目标服务器装有ARP防火墙　不过只嗅　到　没几条　俺估计　是挂了　以后　服务器关机了　

wwwst 2007-10-30 10:17

浪子,你得这样子,一台做发包工具,一台做CAIN

bluelight 2007-10-30 11:13

不知道arp发包工具能不能但当这个任务？
至少还能控制发包数量、速度

调节适当的话可以减少当机的几率
用这个当机太厉害了
得不偿失~`

ws 2007-11-20 12:50

arp防火墙不是问题 双绑才是问题
不认为双绑的话得把一台机器DOS掉代替它是个好方法

mgmg 2007-12-7 22:07

遇到狠点的，全部做VLAN，用不上了吧？

hackmcs 2007-12-8 12:30

[quote]引用第43楼mgmg于2007-12-07 22:07发表的 :
遇到狠点的，全部做VLAN，用不上了吧？[/quote]
呵呵，真够狠的。不过VLAN之间通信要么作单臂路由要么用三层交换机（目前就知道这么点）。节点少的话，不至于买支持划分VLAN的交换机，节点多的话，那么会累死网管的，还有就是高端的设备也就发挥不了多大作了吧？一通信就是跨VLAN的。[s:266]

knoyber0814 2007-12-14 15:47

我用CAIN嗅探的时候,不知道为什么对方会上不了网,不知道有没有什么解决的办法?

不止牛嘿 2007-12-16 22:44

貌似对方装了ARP防火墙后,CAIN的主机列表扫不出对方了..只能扫到没装ARP防火墙的机子.

leida520 2007-12-19 10:43

为什么我在ＡＲＰ时　开始发送时　　对方就断网了　是流量大很了？　还是怎么搞的啊
然后网站都开不到　ＦＴＰ也登陆不到了　肯定都嗅不到了啊　只有停了
没停对方肯定就发现了！
求救啊！
可以解释哈吗？

leida520 2007-12-20 02:14

经过我１天的研究　找了几个服务器测试都不行　一发送包　对方就网络不通了　更本无法ＡＲＰ
哎

wake 2007-12-30 16:53

不知道楼主的cain是什么版本的,我用4.9版的就直接嗅探到.......利用教程的工具好象没什么用,ARP防火墙一样发出警报.................有什么方法可以不让它发出警报?

leida520 2008-1-8 05:53

其实这个是个垃圾　更本就不能实现欺骗的东西的　经过我的研究　他的原理是对的　但是有一点大家都被欺骗了　我差点也没想通　那就是他的工具在一开始发包对方的网络就堵噻了　如果能把这个问题解决了肯定是可以用的　
我在我家里的４台电脑上用他原理测试　和找了几个黑的服务器测试都不行　一发包对方就死　我想了Ｎ久也没想通　我今天再次看着他教程做了到　因为我家也装的有ＶＭ虚拟机　所以我做的和他的环境和条件完全一样　结果发现是ＯＫ的　为什么呢　其实很简单　一发包　为什么他教程里的登陆可以ＯＫ呢
可以简单说下　他的机器分　本台Ｃ　和３３８９上的Ｂ　ＶＭ虚拟机上的Ａ
其实　Ａ和Ｂ是有个关联的　他们就是Ａ用的Ｂ的是有个共享一个网卡上网的那就是Ｂ的网卡　简单点就是Ａ和Ｂ是一条网线拉到交换机上的　所以当Ｃ被发包发死了　　但是Ａ和Ｂ仍然可以互通　　但是假如动画里还有个Ｄ主机（内网内的任何其他一台机器）　绝对是无法登陆被欺骗的Ａ主机上的　那就是第３条网线　而且在发包时Ａ主机更本无法连到公网上
　所以结果就是　在实战中结论　一发包对方就被发死了　那么如何管理员来登陆ＦＴＰ？　
那又怎么会有被嗅到的密码呢！
　所以还是希望楼主能把这个一发包对房就被发死的问题解决下！！！！

查看完整版本: [原创]将arp欺骗到底

© 1999-2008 EvilOctal Security Team