作者:hacker发布时间:2022-07-12分类:破解邮箱浏览:226评论:4
下载个ARP防火墙
直接找着攻击者IP
反正离着不远 拿着菜刀找上门去
提起黑客,总是那么神秘莫测。在人们眼中,黑客是一群聪明绝顶,精力旺盛的年轻人,一门心思地破译各种密码,以便偷偷地、未经允许地打入政府、企业或他人的计算机系统,窥视他人的隐私。那么,什么是黑客呢?
黑客(hacker),源于英语动词hack,意为“劈,砍”,引申为“干了一件非常漂亮的工作”。在早期麻省理工学院的校园俚语中,“黑客”则有“恶作剧”之意,尤指手法巧妙、技术高明的恶作剧。在日本《新黑客词典》中,对黑客的定义是“喜欢探索软件程序奥秘,并从中增长了其个人才干的人。他们不象绝大多数电脑使用者那样,只规规矩矩地了解别人指定了解的狭小部分知识。”由这些定义中,我们还看不出太贬义的意味。他们通常具有硬件和软件的高级知识,并有能力通过创新的方法剖析系统。“黑客”能使更多的网络趋于完善和安全,他们以保护网络为目的,而以不正当侵入为手段找出网络漏洞。
另一种入侵者是那些利用网络漏洞破坏网络的人。他们往往做一些重复的工作(如用暴力法破解口令),他们也具备广泛的电脑知识,但与黑客不同的是他们以破坏为目的。这些群体成为“骇客”。当然还有一种人兼于黑客与入侵者之间。
一般认为,黑客起源于50年代麻省理工学院的实验室中,他们精力充沛,热衷于解决难题。60、70年代,“黑客”一词极富褒义,用于指代那些独立思考、奉公守法的计算机迷,他们智力超群,对电脑全身心投入,从事黑客活动意味着对计算机的最大潜力进行智力上的自由探索,为电脑技术的发展做出了巨大贡献。正是这些黑客,倡导了一场个人计算机革命,倡导了现行的计算机开放式体系结构,打破了以往计算机技术只掌握在少数人手里的局面,开了个人计算机的先河,提出了“计算机为人民所用”的观点,他们是电脑发展史上的英雄。现在黑客使用的侵入计算机系统的基本技巧,例如破解口令(password cracking),开天窗(trapdoor),走后门(backdoor),安放特洛伊木马(Trojan horse)等,都是在这一时期发明的。从事黑客活动的经历,成为后来许多计算机业巨子简历上不可或缺的一部分。例如,苹果公司创始人之一乔布斯就是一个典型的例子。
在60年代,计算机的使用还远未普及,还没有多少存储重要信息的数据库,也谈不上黑客对数据的非法拷贝等问题。到了80、90年代,计算机越来越重要,大型数据库也越来越多,同时,信息越来越集中在少数人的手里。这样一场新时期的“圈地运动”引起了黑客们的极大反感。黑客认为,信息应共享而不应被少数人所垄断,于是将注意力转移到涉及各种机密的信息数据库上。而这时,电脑化空间已私有化,成为个人拥有的财产,社会不能再对黑客行为放任不管,而必须采取行动,利用法律等手段来进行控制。黑客活动受到了空前的打击。
但是,政府和公司的管理者现在越来越多地要求黑客传授给他们有关电脑安全的知识。许多公司和政府机构已经邀请黑客为他们检验系统的安全性,甚至还请他们设计新的保安规程。在两名黑客连续发现网景公司设计的信用卡购物程序的缺陷并向商界发出公告之后,网景修正了缺陷并宣布举办名为“网景缺陷大奖赛”的竞赛,那些发现和找到该公司产品中安全漏洞的黑客可获1000美元奖金。无疑黑客正在对电脑防护技术的发展作出贡献。
2,黑客攻击
一些黑客往往回采取一些几种方法,但是我很想说的是,一个优秀的黑客绝不会随便攻击别人的。
1)、获取口令
这又有三种方法:一是通过网络监听非法得到用户口令,这类方法有一定的局限性,但危害性极大,监听者往往能够获得其所在网段的所有用户账号和口令,对局域网安全威胁巨大;二是在知道用户的账号后(如电子邮件@前面的部分)利用一些专门软件强行破解用户口令,这种方法不受网段限制,但黑客要有足够的耐心和时间;三是在获得一个服务器上的用户口令文件(此文件成为Shadow文件)后,用暴力破解程序破解用户口令,该方法的使用前提是黑客获得口令的Shadow文件。此方法在所有方法中危害最大,因为它不需要像第二种方法那样一遍又一遍地尝试登录服务器,而是在本地将加密后的口令与Shadow文件中的口令相比较就能非常容易地破获用户密码,尤其对那些弱智用户(指口令安全系数极低的用户,如某用户账号为zys,其口令就是zys666、666666、或干脆就是zys等)更是在短短的一两分钟内,甚至几十秒内就可以将其干掉。
2)、放置特洛伊木马程序
特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中,并在自己的计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当您连接到因特网上时,这个程序就会通知黑客,来报告您的IP地址以及预先设定的端口。黑客在收到这些信息后,再利用这个潜伏在其中的程序,就可以任意地修改您的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等,从而达到控制你的计算机的目的。
3)、WWW的欺骗技术
在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问,如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在:正在访问的网页已经被黑客篡改过,网页上的信息是虚假的!例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求,那么黑客就可以达到欺骗的目的了。
4)、电子邮件攻击
电子邮件攻击主要表现为两种方式:一是电子邮件轰炸和电子邮件“滚雪球”,也就是通常所说的邮件炸弹,指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件,致使受害人邮箱被“炸”,严重者可能会给电子邮件服务器操作系统带来危险,甚至瘫痪;二是电子邮件欺骗,攻击者佯称自己为系统管理员(邮件地址和系统管理员完全相同),给用户发送邮件要求用户修改口令(口令可能为指定字符串)或在貌似正常的附件中加载病毒或其他木马程序(据笔者所知,某些单位的网络管理员有定期给用户免费发送防火墙升级程序的义务,这为黑客成功地利用该方法提供了可乘之机),这类欺骗只要用户提高警惕,一般危害性不是太大。
5)、通过一个节点来攻击其他节点
黑客在突破一台主机后,往往以此主机作为根据地,攻击其他主机(以隐蔽其入侵路径,避免留下蛛丝马迹)。他们可以使用网络监听方法,尝试攻破同一网络内的其他主机;也可以通过IP欺骗和主机信任关系,攻击其他主机。这类攻击很狡猾,但由于某些技术很难掌握,如IP欺骗,因此较少被黑客使用。
6)、网络监听
网络监听是主机的一种工作模式,在这种模式下,主机可以接受到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接受方是谁。此时,如果两台主机进行通信的信息没有加密,只要使用某些网络监听工具,例如NetXray for windows 95/98/nt,sniffit for linux 、solaries等就可以轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性,但监听者往往能够获得其所在网段的所有用户帐号及口令。
7)、寻找系统漏洞
许多系统都有这样那样的安全漏洞(Bugs),其中某些是操作系统或应用软件本身具有的,如Sendmail漏洞,win98中的共享目录密码验证漏洞和IE5漏洞等,这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏,除非你将网线拔掉;还有一些漏洞是由于系统管理员配置错误引起的,如在网络文件系统中,将目录和文件以可写的方式调出,将未加Shadow的用户密码文件以明码方式存放在某一目录下,这都会给黑客带来可乘之机,应及时加以修正。
8)、利用帐号进行攻击
有的黑客会利用操作系统提供的缺省账户和密码进行攻击,例如许多UNIX主机都有FTP和Guest等缺省账户(其密码和账户名同名),有的甚至没有口令。黑客用Unix操作系统提供的命令如Finger和Ruser等收集信息,不断提高自己的攻击能力。这类攻击只要系统管理员提高警惕,将系统提供的缺省账户关掉或提醒无口令用户增加口令一般都能克服。
9)、偷取特权
利用各种特洛伊木马程序、后门程序和黑客自己编写的导致缓冲区溢出的程序进行攻击,前者可使黑客非法获得对用户机器的完全控制权,后者可使黑客获得超级用户的权限,从而拥有对整个网络的绝对控制权。这种攻击手段,一旦奏效,危害性极大。
命令查询法
这种方法是通过Windows系统内置的网络命令“netstat”,来查出对方好友的IP地址,不过该方法需要你先想办法将对方好友邀请到QQ的“二人世界”中说上几句话才可以。下面就是该方法的具体实现步骤:
首先单击“开始”/“运行”命令,在弹出的系统运行对话框中,输入“cmd”命令,单击“确定”按钮后,将屏幕切换到MS-DOS工作状态;然后在DOS命令行中执行“netstat-n”命令,在弹出的图4界面中,你就能看到当前究竟有哪些地址已经和你的计算机建立了连接(如果对应某个连接的状态为“Established”,就表明你的计算机和对方计算机之间的连接是成功的);
其次打开QQ程序,邀请对方好友加入“二人世界”,并在其中与朋友聊上几句,这样你的计算机就会与对方好友的计算机之间建立好了TCP连接;此时,再在DOS命令行中执行“netstat-n”命令,看看现在又增加了哪个tcp连接,那个新增加的连接其实就是对方好友与你之间的UDP连接,查看对应连接中的“ForeignAddress”就能知道对方好友的IP地址了。
四种方法g7
当你使用QQ与好友聊天时,可以通过多种方法获得好友的IP地址,我把最常用的几种方法介绍过给大家。pp%F
一.通过与好友聊天问好友IP地址)
这一着通常是很难奏效的,不过这是最简单获得对方IP地址的方法。如果你问我的IP地址的话我会告诉你的。因为我总是在网吧上网,你知道我的IP地址后不管干什么坏事都对我造不成什么损失。所以你只管问。当问不着只有采取其他方法了。-
8F;cel
二.通过QQ补丁获得好友IP地址\^Z5i
在网上下载一个能显示好友IP地址的QQ补丁就行了,或着直接下载一个能显示对方IP的qq聊天软件。这时你与对方聊天时,对方的IP地址就显示你的在QQ窗口里。但是最新出的QQ的“补丁”没做出来的话,就得用其他方法了。}K
©西墙明镜论谈 -- 肇东第一个门户网站 CAga
三.通过DOS命令获得QQ好友IP地址M
在与好友聊天时可以通过DOS命令“netstat"获取对方的IP地址的,它是Windows自带的命令。但是要在聊天模式里才能用。K3
当与好友聊天时在DOS窗口里输入命令:"netstat -n",后你会看到: m$}b
Active ConnectionsV
Proto Local Address Foreign Address State
TCP 202.109.34.78:1200 202.121.139.35:61555 ESTABLISHEDL[?
......“此处的内容的多少不一,反正是和上面一行的形式相同,只是IP不同。”yB^$]
TCP 202.109.34.78:4869 211.202.1.227:23 ESTABLISHED=fO
©西墙明镜论谈 -- 肇东第一个门户网站 $C~
这时退出“聊天模式”,然后在DOS下再输入一次上述命令。你会看到: qd(mVY
Active Connections l4Mt[7
Proto Local Address Foreign Address State}r
TCP 202.109.34.78:1200 202.121.139.35:61555 TIME_WAITImQ
......)("
TCP 202.109.34.78:4869 211.202.1.227:23 ESTABLISHEDf2-
©西墙明镜论谈 -- 肇东第一个门户网站 T
比较上述两组数据,不同的就是对方得的IP地址。上例的IP地址是:202.101.139.35!原因:在与好友聊天时,双方要要产生连接。“ESTABLISHED”的意思就是“连接已建立”。而退出聊天后的“TIME_WAIT”的意思就是“等待连接”。很简单吧。Nl$Q
©西墙明镜论谈 -- 肇东第一个门户网站 vg~?Pq
四.通过软件查QQ好友IP1g
在好多查通过QQ查IP的软件中。本人对“IpLocate”比较欣赏。此软件目前的版本是6.0。主要功能是:^`
1. 能够查出QQ上好友,陌生人的IP地址及所处地区。2. 输入IP便能查找出与之对应的国家或地区所在地。3. 能够进行IP攻击。4. 能够隐藏在系统托盘中。5.用户可以自定义数据。使用方法很简单只要按下本软件的监听按钮,然后向某人发一消息或等某人向你发消息,程序就会显示该人的QQ号码,IP地址,端口和所处区域。具体说明参照它的帮助。XkgSQ
但是请注意如果查不到IP地址可能是下列原因:V\.h'C
1.IpLocate.exe与wry.dat必须放在同一目录下。+Kc
2.一定要先打开QQ,再打开本软件,否则将无法监听。!f
3.如果,本人在局域网内,监听功能可能无效。2}9d
4.如果,发送的消息经服务器转送,则无法监听对方的IP地址。.
获得好友的IP地址还有其他方法,这里就不一一介绍了。至于获得对方IP地址有什么用处,你自己想吧,这里就不引导你做坏事了。
实施攻击的初步一般是要查到欲攻击目标的IP地址。查他人IP地址的方法有很多,按查找对象来划分,大致可分为四大类(我自己定义的,不准确):查QQ用户IP地址、聊天室中查IP、查任意一个人的IP地址、查互联网中已知域名主机对应的IP地址。下面我们举例来看看如何查他人IP地址
一、查QQ用户IP地址
1.通过FolkOicq查IP
FolkOicq是个能给QQ添加IP显示补丁的程序,最新版本FolkQQ0530SE_B2。下载后得到一个Zip的压缩包,用Winzip解压出文件QQ2000.EXE,将它复制到QQ的安装目录下(在这之前最好是备份一下原来的QQ2000.exe,防止以后出错不能恢复)。然后运行QQ2000,点一个在线用户,你会发现在QQ号下面有IP地址了。
此主题相关图片如下:
看到61.183.121.18了吗?对!这就是对方的IP地址。
.通过IpSniper查IP
IpSniper是针对QQ2000的IP地址查询工具。它支持目前OQ2000所有的版本,在Win98和Win2000操作系统下都可正常工作。当你第一次运行IpSniper程序时,会弹出一个对话框,要求你在“设置”中设置好各个参数。点击“设置”,指定QQ执行文件所在的目录以及文件名,点击“确定”即可。
下次运行IpSniper,就会直接启动QQ主程序。当你与好友或者陌生人通话的同时,IpSniper会实时的截获通话者的Ip地址、端口号以及对方的QQ号码,并把对方所在地的地理位置一并显示出来。
此主题相关图片如下:
3.通过防火墙查IP
由于QQ使用的是UDP协议来传送信息的,而UDP是面向无连接的协议,QQ为了保证信息到达对方,需要对方发一个认证,告诉本机,对方已经收到消息,防火墙(例如天网)则带有UDP监听的功能,因此我们就可以利用这个认证来查看IP,哈哈,得来全不费功夫!
现在让我们举一个实际的例子来看看如何用天网查IP。
第一步:打开天网防火墙的UDP监听;
第二步:向他(她)发送一个消息;
第三步:查看自己所用的QQ服务器地址,在本例中是202.104.129.252;
第四步:排除QQ服务器地址,判断出对方的IP地址,在本例中是61.133.200.90;
]
怎么样,他(她)跑不掉了吧?闲太麻烦?要知道腾迅的QQ升级速度比火箭都快,用前两个办法总是有版本限制的,用这个方法可是一劳永逸啊!
4.通过NetXRay查IP
NetXRay是由Cinco Networks公司开发的一个用于高级分组检错的软件,功能很强大。用一个功能如此强大的武器来查QQ的IP,有点“大才小用”了。
第一步:运行NetXRay,在菜单中选取tools→Matrix
第二步:选择选择下端出现的IP标签。
第三步:按右键,在弹出的菜单中选中Show Select Nodes
第四步:打开QQ和你想查的人聊上一句,同时观察窗口,在数据包发送的那一瞬间颜色有变化的数据线就是你和他之间的IP连线。看看数据线的另一头,那个ip地址(61.138.121.18)就是你梦寐以求的东西。
用NetXRay查QQ用户IP地址的方法还有好几种,其余的方法大家可以自己摸索试试
查QQ用户IP地址的方法和工具还有很多,这里介绍的方法已经足够你用的了,实在不行,自己找一些这方面的工具用用,很容易的。
二、聊天室中查IP
1.用IP Hunter
IP Hunter是独孤剑客开发的软件。用IPHunter在聊天室查IP方法如下:在允许贴图、放音乐的聊天室,利用HTML语言向对方发送图片和音乐,如果把图片或音乐文件的路径设定到自己的IP上来,那么尽管这个URL地址上的图片或音乐文件并不存在,但你只要向对方发送过去,对方的浏览器将自动来访问你的IP。对于不同的聊天室可能会使用不同的格式,但你只需将路径设定到你的IP上就行了。实例说明如下:
如:“***聊天室”发送格式如下:
发图象:img src=""
发音乐:img bgsound=""
在IP Hunter的“对方IP地址”栏中就会显示出他(她)的IP。
局限性:如果对方在浏览器中将图象,声音全部禁止了,此方法无能为力。对于使用代理服务器的,此方法也只能查到他所用代理的IP地址,无法查到其真实IP地址。
2.用F_ip
F_ip是一个网络工具,可以查本地IP和远程IP。用F_ip查IP必须在支持WEB的聊天室才可以使用,也就是说,你可以在聊天室贴自己主页上的图片,你才能使用这个功能。
首先:运行f_ip,看到“http:”页面里有2句html语句,假设你看到的第一条是img src=,如果你所在的聊天室也是用这条命令贴图,那么你就可以直接使用它向你想查ip的人发这句话,1分钟之内就会在文本框中输出对方的ip,如果你所在的聊天室不支持img src=语句,就用所在聊天室所用的语句,但记住要把地址换成你的IP。
3.利用聊天室中的资料文件查IP
有些聊天室的服务器会把使用者的资料或对话及IP地址存为一个文件,并且大多数的服务器并没有将这个文件做加密处理,所以,我们可以通过访问这个文件从而得到用户的IP地址列表。这些文件通常是叫:online.txt 、userdata.txt 、message.txt、whoisonline.txt、或干脆就叫IP.txt。你只要在浏览器中叫出那个文件来看就可以查看一切了……由于本方法对聊天室威胁太大,因此这里就不介绍具体查找文件的方法了,在此提出的只是个思路而已。
三、查任意一个人的IP地址
1.主动查对方的IP
这种查任意一个人IP地址的基本思路是:若想知道对方的地址,只需设法让对方访问自己的IP地址就可以了,一旦对方来访问,也就建立了一个SOCKET连接,我们就可以轻松地捕获他(她)的IP地址。当然前提他得在线。
第一步:申请一个转向域名,如126.com等,并在网上做一个主页(主页无论怎么简单都可以,目的是为了查IP地址嘛);
第二步:在你想查别人IP的时候,到你申请域名的地方,将链接转到你的IP;
第三步:打开查IP地址的软件,如IP Hunter;
第四步:告诉那个你想查其IP地址的人,想办法(是用甜言蜜语还是美…计,就看你的了)让他去你的网站看看,给他这个转向域名;
第五步:当他输入此网址以后,域名会自动指向你的IP,因此你就能知道他的IP了;
第六步:当你查到他的IP地址后,再将转向的地址改为你网站的地址,达到隐藏的目的。
2.被动查对方IP
如今的网上真的不大安静,总有些人拿着扫描器扫来扫去。如果你想查那个扫你电脑的人的IP,可用下面的方法。
一种做法是用天网,用软件默认的规则即可。如果有人扫描你的电脑,那么在“日志”中就可以看到那个扫你的人的IP了,他扫描你电脑的哪个端口也可从中看出。由于我们在前面已经讲了用天网查QQ用户IP的方法,因此在这里就不多说了。
另外一种做法是用黑客陷阱软件,如“小猪快跑”、“猎鹿人”等,这些软件可以欺骗对方你的某些端口已经打开,让他误以为你已经中了木马,当他与你的电脑产生连接时,他的IP就记录在这些软件中了。以“小猪快跑”为例,在该软件中有个非常不错的功能:“自定义密码欺骗端口设置”,你可以用它来自定义开启10个端口用来监听,不大明白?OK,下面就以把自己的计算机伪装成中了冰河木马为例,看看可爱的小猪是怎样欺骗对方、如何查到扫描者的IP的吧!
点击“端口设置”选“自定义木马欺骗端口设置”,进入“木马欺骗端口设置”对话框。
在“木马欺骗端口设置”界面上用鼠标选中“端口1”,“端口数”填冰河木马的默认端口7626,其他不用填,点击“设置完毕”退出。好了,冰河木马欺骗端口设置完毕。
现在回到“小猪快跑”的主界面,点击“开始监视”,工作区内立即出现“7626端口开始监视”的提示,欺骗开始了……
这时,如果有“灰”客对你的计算机进行扫描,他就会发现你计算机的7626端口开着,这个“灰”客自然会以为你中了木马冰河呢。当他用冰河控制端登陆你的计算机时,冰河会告诉他“命令发送完毕”,由于你没有中木马,所谓的木马是你设置出来的假木马,因此他也就无法再进行下一步了。无论他登陆多少次,都只会看到“命令发送完毕”,而“小猪快跑”的主窗口中却清清楚楚地显示出“***.***.***.***试图连接你的7626端口,已经开始欺骗”。其中“***.***.***.***”就是对方的IP地址了,知道了对方的IP地址后,你就可以爱怎么办就怎么办了。
四、查互联网中已知域名主机的IP
1.用Windows自带的网络小工具Ping.exe
如你想的IP地址,只要在DOS窗口下键入命令“ping ”,就可以看到IP了。
2.用工具查
这里我们以网络刺客II为例来说说。
网络刺客II是是天行出品的专门为安全人士设计的中文网络安全检测软件,运行网络刺客II,进入主界面,选择“工具箱”菜单下的“IP-主机名”,出现一个对话框,在“输入IP或域名”下面的框中写入对方的域名(我们这里假设对方的域名),点击“转换成IP”按钮,对方的IP就出来了,是202.106.184.200。
网络刺客II下载地址查局域网中客户机IP的方法同
现在流行做黑客啊?
非公权力机构的个人或商业组织,为实现其合法权利或非法目的,而使用非法目的软件不断骚扰对方、监听对方谈话、窃取对方秘密、攻击对方经营网站等
攻击到是没什么办法。网络执法官是利用ARP欺骗攻击的。下个ARP防火墙应该就能好了吧。至于再攻击回去……没研究
给篇文章:
破解网络执法官限制
网络执法官简介
我们可以在局域网中任意一台机器上运行网络执法官的主程序NetRobocop.exe,它可以穿透防火墙、实时监控、记录整个局域网用户上线情况,可限制各用户上线时所用的IP、时段,并可将非法用户踢下局域网。该软件适用范围为局域网内部,不能对网关或路由器外的机器进行监视或管理,适合局域网管理员使用
在代理服务器端
捆绑IP和MAC地址,解决局域网内盗用IP:
ARP -s 192.168.10.59 00-50-ff-6c-08-75
解除网卡的IP与MAC地址的绑定:
arp -d 网卡IP
在网络邻居上隐藏你的计算机
net config server /hidden:yes
net config server /hidden:no 则为开启
在网络执法官中,要想限制某台机器上网,只要点击"网卡"菜单中的"权限",选择指定的网卡号或在用户列表中点击该网卡所在行,从右键菜单中选择"权限",在弹出的对话框中即可限制该用户的权限。对于未登记网卡,可以这样限定其上线:只要设定好所有已知用户(登记)后,将网卡的默认权限改为禁止上线即可阻止所有未知的网卡上线。使用这两个功能就可限制用户上网。其原理是通过ARP欺骗发给被攻击的电脑一个假的网关IP地址对应的MAC,使其找不到网关真正的MAC地址,这样就可以禁止其上网。
二、ARP欺骗的原理
网络执法官中利用的ARP欺骗使被攻击的电脑无法上网,其原理就是使该电脑无法找到网关的MAC地址。那么ARP欺骗到底是怎么回事呢?知其然,知其所以然是我们《黑客X档案》的优良传统,下面我们就谈谈这个问题。
首先给大家说说什么是ARP,ARP(Address Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。
ARP原理:某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。
ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,当局域网中的某台机器B向A发送一个自己伪造的ARP应答,而如果这个应答是B冒充C伪造来的,即IP地址为C的IP,而MAC地址是伪造的,则当A接收到B伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通C!这就是一个简单的ARP欺骗。
网络执法官利用的就是这个原理!知道了它的原理,再突破它的防线就容易多了。
三、修改MAC地址突破网络执法官的封锁
根据上面的分析,我们不难得出结论:只要修改MAC地址,就可以骗过网络执法官的扫描,从而达到突破封锁的目的。下面是修改网卡MAC地址的方法:
在"开始"菜单的"运行"中输入regedit,打开注册表编辑器,展开注册表到:HKEY_LOCAL_
MACHINE/System/CurrentControl
Set/Control/Class/{4D36E972-E325-11CE-BFC1-08002BE103
18}子键,在子键下的0000,0001,0002等分支中查找DriverDesc(如果你有一块以上的网卡,就有0001,0002......在这里保存了有关你的网卡的信息,其中的DriverDesc内容就是网卡的信息描述,比如我的网卡是Intel 210
41 based Ethernet Controller),在这里假设你的网卡在0000子键。
在0000子键下添加一个字符串,命名为"NetworkAddress",键值为修改后的MAC地址,要求为连续的12个16进制数。然后在"0000"子键下的NDI/params中新建一项名为NetworkAddress的子键,在该子键下添加名为"default"的字符串,键值为修改后的MAC地址。
在NetworkAddress的子键下继续建立名为"ParamDesc"的字符串,其作用为指定Network
Address的描述,其值可为"MAC Address"。这样以后打开网络邻居的"属性",双击相应的网卡就会发现有一个"高级"设置,其下存在MAC Address的选项,它就是你在注册表中加入的新项"NetworkAddress",以后只要在此修改MAC地址就可以了。
关闭注册表,重新启动,你的网卡地址已改。打开网络邻居的属性,双击相应网卡项会发现有一个MAC Address的高级设置项,用于直接修改MAC地址。
MAC地址也叫物理地址、硬件地址或链路地址,由网络设备制造商生产时写在硬件内部。这个地址与网络无关,即无论将带有这个地址的硬件(如网卡、集线器、路由器等)接入到网络的何处,它都有相同的MAC地址,MAC地址一般不可改变,不能由用户自己设定。MAC地址通常表示为12个16进制数,每2个16进制数之间用冒号隔开,如:08:00:20:0A:8C:6D就是一个MAC地址,其中前6位16进制数,08:00:20代表网络硬件制造商的编号,它由IEEE分配,而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品(如网卡)的系列号。每个网络制造商必须确保它所制造的每个以太网设备都具有相同的前三字节以及不同的后三个字节。这样就可保证世界上每个以太网设备都具有唯一的MAC地址。
另外,网络执法官的原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地址,使其找不到网关真正的MAC地址。因此,只要我们修改IP到MAC的映射就可使网络执法官的ARP欺骗失效,就隔开突破它的限制。你可以事先Ping一下网关,然后再用ARP -a命令得到网关的MAC地址,最后用ARP -s IP 网卡MAC地址命令把网关的IP地址和它的MAC地址映射起来就可以了。
四、找到使你无法上网的对方
解除了网络执法官的封锁后,我们可以利用Arpkiller的"Sniffer杀手"扫描整个局域网IP段,然后查找处在"混杂"模式下的计算机,就可以发现对方了。具体方法是:运行Arpkiller(图2),然后点击"Sniffer监测工具",在出现的"Sniffer杀手"窗口中输入检测的起始和终止IP(图3),单击"开始检测"就可以了。
检测完成后,如果相应的IP是绿帽子图标,说明这个IP处于正常模式,如果是红帽子则说明该网卡处于混杂模式。它就是我们的目标,就是这个家伙在用网络执法官在捣乱。
扫描时自己也处在混杂模式,把自己不能算在其中哦!
找到对方后怎么对付他就是你的事了,比方说你可以利用网络执法官把对方也给封锁了!
-----------------------------------------------------------------------------------------------------------------------------
运 行 机 制
本软件以各主机的网卡号来识别用户,通过收发底层数据包来监控用户,占用网络资源极少;在软件刚启动的前90秒内,有数量较多的数据包收发,并会占用较多的CPU资源,属正常现象。
本软件以用户权限为核心,管理员设置各用户权限后,软件即依各用户的权限进行自动管理。
为保证管理员对用户的正常管理,及防止非法用户利用本软件攻击管理员,除了禁止管理"友邻主机"外,本软还设置了"友邻用户"相互发现机制,即同一局域网中,所有运行本软件的用户(友邻用户)都可以相互发现(参见名词解释"友邻用户")。注意,本软件2.0以前版本(包括专用检测版)不能检测到2.0以后版本,只有运行2.0以后版本,才能发现所有的友邻用户。
本软件还采用了分级机制,同一局域网中,低级别的用户将自动停止运行本软件。总的来说,注册用户级别高于未注册用户,某些新版本的级别高于以前版本。最新的注册版本,总是拥有最高级别。
查看帮助文件发现:
14、怎样防止网络中用户非法使用本软件?
软件中特别设置了"友邻用户"的相互发现功能。"友邻用户"不能相互管理,使管理员免受非法用户攻击,而且不需注册也能发现其他正在使用本软件的用户,也可以在软件自带的"日志"中查看友邻用户的记录。普通用户无力解决其他用户滥用的问题,请与网络管理员联系。
原来安装和对方一样的版本,对方就不能控制你了。版本高的权限大于版本低的。
在网上浏览了一下,发现还可以用arp欺骗的方式,方法是打开dos窗口,输入以下命令:
arp -s 192.168.1.24 dd-dd-dd-dd-dd-dd
apr -a
其中192.168.1.24是自己的ip地址。这是把自己的物理地址给改了。
参考资料:;Key=0strItem=itidArticle=277484flag=1
标签:非法攻击软件中文版
已有4位网友发表了看法:
访客 评论于 2022-07-12 17:58:06 回复
的意味。他们通常具有硬件和软件的高级知识,并有能力通过创新的方法剖析系统。“黑客”能使更多的网络趋于完善和安全,他们以保护网络为目的,而以不正当侵入为手段找出网络漏洞。 另一种入侵者是那些利用网络漏洞破坏网络的人。他们往
访客 评论于 2022-07-12 16:33:56 回复
获得好友的IP地址,我把最常用的几种方法介绍过给大家。pp%F 一.通过与好友聊天问好友IP地址) 这一着通常是很难奏效的,不过这是最简单获得对方IP地址的方法。如果你问我的IP地址的话我会告诉你的。因为我总是在网吧上网,你知道我的IP地址后不管干什么坏事都对
访客 评论于 2022-07-12 20:23:08 回复
2.109.34.78:4869 211.202.1.227:23 ESTABLISHEDf2- ©西墙明镜论谈 -- 肇东第一个门户网站 T 比较上述两组数据,不同的就是对方得的IP地址。上例的I
访客 评论于 2022-07-13 01:36:42 回复
,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中,并在自己的计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当您连接到因特网上时,这个程序就会通知黑客,来报告您的IP地址以及预先设定的端口。黑客在收