议题作者：小拳头
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

最近搞了N个服务器想嗅目标服务器可惜目标服务器不是装了反ARP防火墙就是网关MAC绑定。凋零玫瑰弟弟的想法8错，但是局限性太大（某牛人说的不是我），我用他的方法痛失爱鸡N只，感觉我们越来越需要突破这种反ARP的方法了。大家有什么好的方法就说说，互相讨论互相进步。
我的方法：cain和winpcap一定要用最新的版本有时候还是可以抓到一些包的，这要比那些老掉牙的版本了。

确实实验过几次
没成功一次
看来RP有待提高

如果是ARP软件防火墙的话可以通过增加ARP包的发送速度来解决，这个网上有资料。
如果是双向绑定基本上就没办法了。

本来打算测试下玫瑰的方法，听2楼这么一说还是算了。搞不好两个服务器都挂掉我就哭死了

也是刚看到：
http://groups.google.com/group/p ... ad/62ef34de7d39d14b
在neeao那看到个分析：
http://neeao.com/blog/article-4874.html
软件说明：
首先这是一个演示版本，与完全版本的唯一不同是不具备流量探测功能，因为网络中如果存在多个这样东西造成网络混乱是难免的，所以在发行上会做一些限制。
无arp的sniffer
可在有arp防火墙，双向绑定环境下有效控制对方流量
完全隐藏，过任何arp防火墙。
需要.net支持，管理员权限运行。
不支持无线网卡
使用方法：
设置网卡，ip,攻击强度
手动添加或自动扫描主机到主机列表
勾上一个主机，开始吧。
演示动画地址：http://www.cncert.net/labs/Skiller.swf
软件下载地址：http://www.cncert.net/labs/Skiller.rar
cncert....@gmail.com，cncert....@gmail.com
2008-01-10

arp表搞起静态的话

毛线办法都木了

会话劫持...!!!

``````但是需要双网卡.(因为中间会断开一下..搞不好获取不到IP地址..)...

我曾经搞目标的时候..就是ARP不到.但是肉鸡是双网卡..我就改了一张网卡和mac跟目标的一样


然后3389就断开了.从另一个IP再进入肉鸡服务器 向网关发包...然后cain本机数据!!!

呵呵.. 这个局限性也大.

``

引用:

引用第4楼babyz于2008-01-31 15:29发表的 :
也是刚看到：
http://groups.google.com/group/p ... ad/62ef34de7d39d14b
在neeao那看到个分析：
http://neeao.com/blog/article-4874.html
软件说明：
.......

这个软件我今天刚下了.
可以控制对方的流量..但是不能做太多的事情..
要是对方的源程序公开的话.
大家可以研究一下他是是怎以突破arp的.
不过你可以拿他让对方的服务器挂一会儿.
实验:你不攻击了.对方的主机一会儿就没有事了.
本人测试环境:内网!

引用:

原帖由 hack4521 于 2008-2-1 11:47 发表

这个软件我今天刚下了.
可以控制对方的流量..但是不能做太多的事情..
要是对方的源程序公开的话.
大家可以研究一下他是是怎以突破arp的.
不过你可以拿他让对方的服务器挂一会儿.
实验:你不攻击了.对方的主机一会儿 ...

能否把文件发给我一下?
我现在下不到那个文件了....
evascz@w.cn
这个是我的邮箱地址,请发一下,谢谢~~

那个程序开源与否影响不大，稍微分析一下就知道了其工作方式，问题是要对交换机，路由器等网络设备有一定了解，才能知道其原理

那你就想办法突破ARP防火墙的限制，呵呵答非所问。

你够狠
但是那只能嗅到一部分包，有些包是不完整的
有什么其他的好的思路吗？？

大哥 不是挂了
是撕碎了的小C 说的 服务器处于无连接状态

貌似前段时间星和我说过可以修改网关进行嗅探.. 不知道他用的是什么方法...

想法很新颖你的意思是伪造网关？就算我们肉鸡能够为造问题是目标机器不可能去伪照，伪造的话人家有ARP墙也没办法

昨天试了下改子网掩码发现能嗅N多机器 ，有兴趣的兄弟也去改下看看！

引用:

原帖由 knlve 于 2008-1-31 20:40 发表
会话劫持...!!!

``````但是需要双网卡.(因为中间会断开一下..搞不好获取不到IP地址..)...

我曾经搞目标的时候..就是ARP不到.但是肉鸡是双网卡..我就改了一张网卡和mac跟目标的一样


然后3389就断开了.从另一个IP ...

        不知道你的QQ是多少。我QQ是77424251，看到了加我吧。我以经拿到了同一网断的二台服务器权限。
目标机是LINUX系统，以前是可以嗅，还能进行插马的。但现在却嗅不到了，还有一个问题。我用zxarps对目标机进行插入代码，一连串回显示是插入代码成功。但代码没有挂上去。因为我根本没统计到，但有时候又能插入统计到一二个。不知道怎么回事。你说的改地址是改一张网卡的IP地址和目标机一样。还是改MAC地址，我怕一改。服务器就断开了
。。请回复。我是水晶。

[ 本帖最后由 jjzj8 于 2008-2-25 22:49 编辑 ]

改了下MAC和目标机一样。然后用zxarps，就这样我的二台服务器都飞走了。。。！！

现在也在研究这个问题...很难解决///谁要是研究出来了...或者有什么想法不防说出来大家讨论.研究研究..

说下这几天ARP的一次经历，某天SHADOW同学给了我一个超级无敌net fukeVIP版，我拿着上去就嗅某点卡网站结果导致对方服务器拒绝服务，我也没有管他，第2天ping了下主机IP发现其换了IP2话不说直接通过某人的DV7.1的0DAY搞了个机器开NETFUKE继续嗅，运气不错搞到了SQL密码，DB权限，迅速写启动提权拿到了该卡站数据库服务器权限，本地新建数据库下载数据库卖库收钱。哈哈，没有啦，搞到权限就闪人了，有贼心怕被抓啊，最后搞了几个QB了事！

引用:

原帖由 babyz 于 2008-1-31 15:29 发表
也是刚看到：
http://groups.google.com/group/p ... ad/62ef34de7d39d14b
在neeao那看到个分析：
http://neeao.com/blog/article-4874.html
软件说明：
首先这是一个演示版本，与完全版本的唯一不同是 ...

这个程序的原理应该是通过发送大量的UDP包来修改交换机的MAC与端口的映射表，让原来流经受害者的数据从攻击者的那个端口流出，依照这个原理欺骗交换机来进行嗅探应该是可行的。

要是交换机和路由 不好日吧

不过以前看过老师的演示    修改哪里忘了   也可以使其成为什么错模式

就OK
具体记不清了   有兴趣的话可以去百度 问问

21楼的意思是开那玩意儿本地嗅吗？

也许Switch Session Clone能行
引用cncert
官方的话说
来源：cncert
首款基于mac+port理论的hack工具。
交换环境下无arp欺骗的会话复制软件
利用mac+port欺骗方式实现sniffer．
通过过滤(url)中的cookie信息复制出相同的会话．适用于任何http协议．比 "黑帽"聚会中的hamster功能更加强大。可以成功的穿过各种反arp工具。
经过实验，可以成功突破antiarp 和 360arp的防护。
下载地址
http://www.cncert.net/up_files/soft/SSClone1210.rar
我没测试 大家可以试试

搞了N台机器`要么就是扫不到网卡``要么就是扫不到IP``要么就是没数据``不知道怎么搞``烦躁`````