作者:hacker发布时间:2022-07-09分类:破解邮箱浏览:215评论:1
中间人攻击
维基百科,自由的百科全书
在密码学和计算机安全领域中,中间人攻击(Man-in-the-middle attack ,缩写:MITM)是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。在中间人攻击中,攻击者可以拦截通讯双方的通话并插入新的内容。在许多情况下这是很简单的(例如,在一个未加密的Wi-Fi 无线接入点的接受范围内的中间人攻击者,可以将自己作为一个中间人插入这个网络)。
一个中间人攻击能成功的前提条件是攻击者能将自己伪装成每一个参与会话的终端,并且不被其他终端识破。中间人攻击是一个(缺乏)相互认证的攻击。大多数的加密协议都专门加入了一些特殊的认证方法以阻止中间人攻击。例如,SSL协议可以验证参与通讯的一方或双方使用的证书是否是由权威的受信任的数字证书认证机构颁发,并且能执行双向身份认证。
目录
1 需要通过一个安全的通道做额外的传输
2 攻击示例
3 防御攻击
4 中间人攻击的取证分析
5 其他的非加密的中间人攻击
6 实现
7 参见
8 参考资料
需要通过一个安全的通道做额外的传输
与连锁协议不同,所有能抵御中间人攻击的加密系统都需要通过一个安全通道来传输或交换一些额外的信息。为了满足不同安全通道的不同安全需求,许多密钥交换协议已经被研究了出来。
攻击示例
假设爱丽丝(Alice)希望与鲍伯(Bob)通信。同时,马洛里(Mallory)希望拦截窃会话以进行窃听并可能在某些时候传送给鲍伯一个虚假的消息。
首先,爱丽丝会向鲍勃索取他的公钥。如果Bob将他的公钥发送给Alice,并且此时马洛里能够拦截到这个公钥,就可以实施中间人攻击。马洛里发送给爱丽丝一个伪造的消息,声称自己是鲍伯,并且附上了马洛里自己的公钥(而不是鲍伯的)。
爱丽丝收到公钥后相信这个公钥是鲍伯的,于是爱丽丝将她的消息用马洛里的公钥(爱丽丝以为是鲍伯的)加密,并将加密后的消息回给鲍伯。马洛里再次截获爱丽丝回给鲍伯的消息,并使用马洛里自己的私钥对消息进行解密,如果马洛里愿意,她也可以对消息进行修改,然后马洛里使用鲍伯原先发给爱丽丝的公钥对消息再次加密。当鲍伯收到新加密后的消息时,他会相信这是从爱丽丝那里发来的消息。
1.爱丽丝发送给鲍伯一条消息,却被马洛里截获:爱丽丝“嗨,鲍勃,我是爱丽丝。给我你的公钥” -- 马洛里 鲍勃
2.马洛里将这条截获的消息转送给鲍伯;此时鲍伯并无法分辨这条消息是否从真的爱丽丝那里发来的:爱丽丝 马洛里“嗨,鲍勃,我是爱丽丝。给我你的公钥” -- 鲍伯
3.鲍伯回应爱丽丝的消息,并附上了他的公钥:爱丽丝 马洛里-- [鲍伯的公钥]-- 鲍伯
4.马洛里用自己的密钥替换了消息中鲍伯的密钥,并将消息转发给爱丽丝,声称这是鲍伯的公钥:爱丽丝-- [马洛里的公钥]-- 马洛里 鲍勃
5.爱丽丝用她以为是鲍伯的公钥加密了她的消息,以为只有鲍伯才能读到它:爱丽丝“我们在公共汽车站见面!”--[使用马洛里的公钥加密] -- 马洛里 鲍勃
6.然而,由于这个消息实际上是用马洛里的密钥加密的,所以马洛里可以解密它,阅读它,并在愿意的时候修改它。他使用鲍伯的密钥重新加密,并将重新加密后的消息转发给鲍伯:爱丽丝 马洛里“在家等我!”--[使用鲍伯的公钥加密] -- 鲍伯
7.鲍勃认为,这条消息是经由安全的传输通道从爱丽丝那里传来的。
这个例子显示了爱丽丝和鲍伯需要某种方法来确定他们是真正拿到了属于对方的公钥,而不是拿到来自攻击者的公钥。否则,这类攻击一般都是可行的,在原理上,可以针对任何使用公钥——密钥技术的通讯消息发起攻击。幸运的是,有各种不同的技术可以帮助抵御MITM攻击。
防御攻击
许多抵御中间人攻击的技术基于以下认证技术:
公钥基础建设
在PKI方案中,主要防御中间人攻击的方案就是PKI的相互认证的机制。使用这样的机制并由应用程序验证用户,用户设备验证应用程序。但在某些流氓应用的情况下,这不是很有用,所以需要注意对流氓软件应与正规软件进行区分。
更强力的相互认证,例如:
密钥(通常是高信息熵的密钥,从而更安全),或密码(通常是低的信息熵的密钥,从而降低安全性)
延迟测试,例如使用复杂加密哈希函数进行计算以造成数十秒的延迟;如果双方通常情况下都要花费20秒来计算,并且整个通讯花费了60秒计算才到达对方,这就能表明存在第三方中间人。
第二(安全的)通道的校验
一次性密码本可以对中间人攻击免疫,这是在对一次密码本的安全性和信任上创建的。公钥体系的完整性通常必须以某种方式得到保障,但不需要进行保密。密码和共享密钥有额外的保密需求。公钥可以由证书颁发机构验证,这些公钥通过安全的渠道(例如,随Web浏览器或操作系统安装)分发。公共密钥也可以经由Web在线信任进行在线验证,可以通过安全的途径分发公钥(例如,通过面对面的途径分发公钥)。
查看密钥交换协议以了解不同类别的使用不同密钥形式或密码以抵御中间人攻击的协议。
中间人攻击的取证分析
从被怀疑是中间人攻击的链接中捕捉网络数据包并进行分析可以确定是否存在中间人攻击。在进行网络分析并对可疑的SSL中间人攻击进行取证时,重要的分析证据包括:
远程服务器的IP地址
DNS域名解析服务器
X.509证书服务器
证书是自签名证书吗?
证书是由信任的颁发机构颁发的吗?
证书是否已被吊销?
证书最近被更改过吗?
在互联网上的其他的客户端是否也得到了相同的证书?
其他的非加密的中间人攻击
一个著名的非加密中间人攻击的例子是贝尔金无线路由器2003年的某一个版本所造成的。它会周期性地接管通过它的HTTP连接,阻止数据包到达目的地。并将它自己对请求的回应作为应答返回。而它发送的回应,则是在用户原本应该显示网页的地方,显示一个关于其他贝尔金产品的广告。在遭到了解技术详情的用户的强烈抗议后,这个功能被贝尔金从路由器后续版本的固件中删除。[1]
另一个典型的非加密中间人攻击的例子是“图灵色情农场”。布赖恩·华纳说,这是垃圾邮件发送者用来绕过验证码的“可以想象的攻击”。垃圾邮件发送者设置了一个色情网站,而访问这个色情网站需要用户解决一些验证问题。这些验证问题实际上是其他网站的验证问题。这样就可以达到绕开网站验证发送垃圾邮件的目的。[2]然而,Jeff Atwood指出,这次袭击仅仅是理论上的——没有任何证据指出垃圾邮件发送者曾经在2006年创建了图灵色情农场。[3]然而,2007年10月有新闻报道称,垃圾邮件发送者确实创建了一个Windows游戏,当用户键入从雅虎收到的注册邮箱验证码后,程序将奖励用户色情图片。[4]这将允许垃圾邮件发送者创建临时的免费电子邮件帐户以发送垃圾邮件。
实现
dsniff - 一个实现SSH和SSL中间人攻击的工具
Cain and Abel - Windows图形界面的工具,它可以执行中间人攻击,嗅探和ARP投毒
Ettercap - 一个基于局域网的中间人攻击工具
Karma - 一个使用802.11 Evil Twin以执行MITM攻击的工具
AirJack -一个演示802.11 MITM攻击的工具
SSLStrip一个基于SSL的MITM攻击的工具。
SSLSniff一个基于SSL的MITM攻击的工具。原本是利用一个在Internet Explorer上缺陷实现的。
Intercepter-NG -- 一个有ARP投毒攻击能力的Windows网络密码嗅探器。可以进行包括SSLStrip在内的
基于SSL的MITM攻击。
Mallory - 一个透明的TCP和UDP MiTMing代理。扩展到MITM SSL,SSH和许多其他协议。
wsniff - 一个802.11HTTP / HTTPS的基于MITM攻击的工具
安装在自动取款机银行卡插槽上的附加读卡器和安装在键盘上的附加密码记录器。
参见
浏览器中间人攻击 -一种网页浏览器中间人攻击
Boy-in-the-browser - 一个简单的Web浏览器中间人攻击
Aspidistra transmitter -英国二战“入侵”行动中使用的无线电发射器,早期的中间人攻击。
计算机安全 - 安全的计算机系统的设计。
安全性分析 - 在不完全知道加密方法的情况下破解加密后的信息。
数字签名 -一个加密文字的真实性担保,通常是一个只有笔者预计将能够执行计算的结果。
联锁协议 -一个特定的协议,在密钥可能已经失密的情况下,规避可能发生的中间人攻击。
密钥管理 - 如何管理密钥,包括生成,交换和存储密钥。
密钥协商协议 - 又称密钥交换协议,一个协商如何创建适合双方通信的密钥的协议。
相互认证 -如何沟通各方的信心创建在彼此的身份。
密码认证密钥协议 -创建使用密码钥匙的协议。
量子密码 - 量子力学的使用提供安全加密(老方法,而依靠单向函数)。
安全通道 - 一种在通信中防截获和防篡改的方式。
欺骗攻击
HTTP严格传输安全
参考资料
1. ^ Leyden, John. Help! my Belkin router is spamming me. The Register. 2003-11-07.
2. ^ Petmail Documentation: Steal People's Time To Solve CAPTCHA Challenges. [2008-05-19].
3. ^ CAPTCHA Effectiveness. 2006-10-25.
4. ^ PC stripper helps spam to spread. BBC News. 2007-10-30.
取自“中间人攻击oldid=40088488”
本页面最后修订于2016年5月13日 (星期五) 03:04。
本站的全部文字在知识共享 署名-相同方式共享 3.0协议之条款下提供,附加条款亦可能应用(请参阅使用条款)。
Wikipedia®和维基百科标志是维基媒体基金会的注册商标;维基™是维基媒体基金会的商标。
维基媒体基金会是在美国佛罗里达州登记的501(c)(3)免税、非营利、慈善机构。
你可借助360ARP拦截提示,追查出攻击你的真实IP地址.
然后将你的TCP/IP改为追查出攻击你的IP地址,此方法是利用IP冲突导致他也无法上网.
攻击者一般都是利用类似终结着的软件.而这类软件大多都是以网关欺骗的方式来拦截或转移你的数据包,从而导致你无法上线.
接着改你的DNS,不要继续使用你网内的DNS,将它改为外界一个可用的即可.比如改为公司电脑的DNS,或一个大型网吧的等...DNS还有特殊的功能,它可以提高IE浏缆速度.提高浏缆网页效果,加速硬件等..
不再可靠的代理服务器
代理服务器(ProxyServer)的存在已经是很长久的事实了,而且由最初的几个基于TCP/IP协议的代理软件如HTTP、SMTP、POP3和FTP等发展到SSL、SOCK4/5以及其他未知的代理类型,可谓给一些特殊用途者提供了极大的方便。例如,通过代理跨过某些服务器的IP屏蔽,从而浏览到本来不能看到的信息;或者害怕自己IP暴露被对方入侵而寻找层层代理把自己包裹起来;还有些是因为系统不支持Internet共享而被迫采用代理软件来让内部网络的计算机能正常连接Internet……此外还有许多原因,让各种代理服务器经久不衰。
代理服务器相当于一个透明的数据通道,它根据客户发来的“要求连接某计算机”的请求数据,进而用自己本身作为原客户机器去连接目标计算机,在目标计算机返回数据后,再发送给原客户,这时目标计算机获取到的是代理服务器的IP,而不是原客户IP,从而实现突破IP屏蔽或者让对方无法获取你的真实IP。
简单举个HTTP代理服务器工作的原理:IE发送一个包含目标URL的HTTP请求,代理服务器接收并析出HTTP报文里的目标URL和相关参数,然后把这个URL作为一次标准的HTTP连接过程与目标网站连接,获取目标网站返回的数据后缓冲到代理服务器的硬盘上,再把这些数据返回给客户端。
请求连接目标URL------连接目标服务器-------
客户端-------------------------代理服务器------------------------目标服务器
-----返回数据----(缓冲)-------------返回数据
其它协议的代理工作模式也都差不多,代理服务器充当了一个数据转向的工作站,相当于一个专门负责数据转发的“勤劳工人”。
代理服务器的工作模式,正是典型的“中间人攻击”模型。代理服务器在其中充当了一个“中间人”的角色,通讯双方计算机的数据都要通过它。因此,“代理服务器进行的‘中间人攻击’”逐步成为现实,相对于其他“中间人攻击”方法,这种利用代理服务器暗渡陈仓的做法简直天衣无缝,攻击者可以自己写一个带有数据记录功能的代理服务程序,放到任意一台稳定的肉鸡甚至直接在自己机器上,然后通过一些社会工程学手段让受害者使用这个做了手脚的“代理服务器”,便可守株待兔了。这种方法最让人不设防,因为它利用的是人们对代理的无条件信任和贪便宜的想法,使得一个又一个“兔子”自动撞了上来,在享受这顿似乎美味的“胡萝卜”的同时却不知道安全正在逐渐远离自己。
如果制作这个代理服务器的攻击者仅限于窥探数据,那么受害者的损失可能还能估量,但是如果攻击者在目标服务器返回的数据里加入一个带有木马程序的数据呢。例如在HTTP代理返回的HTML报文里加入一个MIME攻击漏洞代码,而受害者的计算机恰好没有打相应补丁,那么由此带来的损失就难以估量了,而且计算机技术不高的受害者也难以查出木马究竟是从哪里来的,因为很少有人怀疑代理服务器自身会有问题。
正好前几天刚看到,希望对你有帮助!
[转贴]ARP攻击与防护完全手册
ARP攻击与防护完全手册
完整PDF下载:[attach]1334[/attach]
关键字: ARP ARP病毒 ARP攻击 ARP防护 ARP故障 网络分析 科来网络分析系统
最近在论坛上经常看到关于ARP病毒的问题,于是在Google上搜索ARP关键字,啊哦!结果出来N多关于这类问题的讨论。呵呵,俺的求知欲很强:),想再学习ARP下相关知识,所以对目前网络中常见的ARP问题进行了一个总结。现在将其贴出来,希望和大家一起讨论!
1. ARP概念
咱们谈ARP之前,还是先要知道ARP的概念和工作原理,理解了原理知识,才能更好去面对和分析处理问题。
1.1 ARP概念知识
ARP,全称Address Resolution Protocol,中文名为地址解析协议,它工作在数据链路层,在本层和硬件接口联系,同时对上层提供服务。
IP数据包常通过以太网发送,以太网设备并不识别32位IP地址,它们是以48位以太网地址传输以太网数据包。因此,必须把IP目的地址转换成以太网目的地址。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。ARP协议用于将网络中的IP地址解析为的硬件地址(MAC地址),以保证通信的顺利进行。
1.2 ARP工作原理
首先,每台主机都会在自己的ARP缓冲区中建立一个 ARP列表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时,会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址,如果有,就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个 ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。
例如:
A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA
B的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB
根据上面的所讲的原理,我们简单说明这个过程:A要和B通讯,A就需要知道B的以太网地址,于是A发送一个ARP请求广播(谁是192.168.10.2 ,请告诉192.168.10.1),当B收到该广播,就检查自己,结果发现和自己的一致,然后就向A发送一个ARP单播应答(192.168.10.2 在BB-BB-BB-BB-BB-BB)。
1.3 ARP通讯模式
通讯模式(Pattern Analysis):在网络分析中,通讯模式的分析是很重要的,不同的协议和不同的应用都会有不同的通讯模式。更有些时候,相同的协议在不同的企业应用中也会出现不同的通讯模式。ARP在正常情况下的通讯模式应该是:请求 - 应答 - 请求 - 应答,也就是应该一问一答。
2. 常见ARP攻击类型
个人认为常见的ARP攻击为两种类型:ARP扫描和ARP欺骗。
2.1 ARP扫描(ARP请求风暴)
通讯模式(可能):
请求 - 请求 - 请求 - 请求 - 请求 - 请求 - 应答 - 请求 - 请求 - 请求...
描述:
网络中出现大量ARP请求广播包,几乎都是对网段内的所有主机进行扫描。大量的ARP请求广播可能会占用网络带宽资源;ARP扫描一般为ARP攻击的前奏。
出现原因(可能):
*病毒程序,侦听程序,扫描程序。
*如果网络分析软件部署正确,可能是我们只镜像了交换机上的部分端口,所以大量ARP请求是来自与非镜像口连接的其它主机发出的。
*如果部署不正确,这些ARP请求广播包是来自和交换机相连的其它主机。
2.2 ARP欺骗
ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。所以在网络中,有人发送一个自己伪造的ARP应答,网络可能就会出现问题。这可能就是协议设计者当初没考虑到的!
2.2.1 欺骗原理
假设一个网络环境中,网内有三台主机,分别为主机A、B、C。主机详细信息如下描述:
A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA
B的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB
C的地址为:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC
正常情况下A和C之间进行通讯,但是此时B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A被欺骗了),这时B就伪装成C了。同时,B同样向C发送一个ARP应答,应答包中发送方IP地址四192.168.10.1(A的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(A的MAC地址本来应该是AA-AA-AA-AA-AA-AA),当C收到B伪造的ARP应答,也会更新本地ARP缓存(C也被欺骗了),这时B就伪装成了A。这样主机A和C都被主机B欺骗,A和C之间通讯的数据都经过了B。主机B完全可以知道他们之间说的什么:)。这就是典型的ARP欺骗过程。
注意:一般情况下,ARP欺骗的某一方应该是网关。
2.2.2 两种情况
ARP欺骗存在两种情况:一种是欺骗主机作为“中间人”,被欺骗主机的数据都经过它中转一次,这样欺骗主机可以窃取到被它欺骗的主机之间的通讯数据;另一种让被欺骗主机直接断网。
第一种:窃取数据(嗅探)
通讯模式:
应答 - 应答 - 应答 - 应答 - 应答 - 请求 - 应答 - 应答 -请求-应答...
描述:
这种情况就属于我们上面所说的典型的ARP欺骗,欺骗主机向被欺骗主机发送大量伪造的ARP应答包进行欺骗,当通讯双方被欺骗成功后,自己作为了一个“中间人“的身份。此时被欺骗的主机双方还能正常通讯,只不过在通讯过程中被欺骗者“窃听”了。
出现原因(可能):
*木马病毒
*嗅探
*人为欺骗
第二种:导致断网
通讯模式:
应答 - 应答 - 应答 - 应答 - 应答 - 应答 - 请求…
描述:
这类情况就是在ARP欺骗过程中,欺骗者只欺骗了其中一方,如B欺骗了A,但是同时B没有对C进行欺骗,这样A实质上是在和B通讯,所以A就不能和C通讯了,另外一种情况还可能就是欺骗者伪造一个不存在地址进行欺骗。
对于伪造地址进行的欺骗,在排查上比较有难度,这里最好是借用TAP设备(呵呵,这个东东好像有点贵勒),分别捕获单向数据流进行分析!
出现原因(可能):
* 木马病毒
*人为破坏
*一些网管软件的控制功能
3. 常用的防护方法
搜索网上,目前对于ARP攻击防护问题出现最多是绑定IP和MAC和使用ARP防护软件,也出现了具有ARP防护功能的路由器。呵呵,我们来了解下这三种方法。
3.1 静态绑定
最常用的方法就是做IP和MAC静态绑定,在网内把主机和网关都做IP和MAC绑定。
欺骗是通过ARP的动态实时的规则欺骗内网机器,所以我们把ARP全部设置为静态可以解决对内网PC的欺骗,同时在网关也要进行IP和MAC的静态绑定,这样双向绑定才比较保险。
方法:
对每台主机进行IP和MAC地址静态绑定。
通过命令,arp -s可以实现 “arp –s IP MAC地址 ”。
例如:“arp –s 192.168.10.1 AA-AA-AA-AA-AA-AA”。
如果设置成功会在PC上面通过执行 arp -a 可以看到相关的提示:
Internet Address Physical Address Type
192.168.10.1 AA-AA-AA-AA-AA-AA static(静态)
一般不绑定,在动态的情况下:
Internet Address Physical Address Type
192.168.10.1 AA-AA-AA-AA-AA-AA dynamic(动态)
说明:对于网络中有很多主机,500台,1000台...,如果我们这样每一台都去做静态绑定,工作量是非常大的。。。。,这种静态绑定,在电脑每次重起后,都必须重新在绑定,虽然也可以做一个批处理文件,但是还是比较麻烦的!
3.2 使用ARP防护软件
目前关于ARP类的防护软件出的比较多了,大家使用比较常用的ARP工具主要是欣向ARP工具,Antiarp等。它们除了本身来检测出ARP攻击外,防护的工作原理是一定频率向网络广播正确的ARP信息。我们还是来简单说下这两个小工具。
3.2.1 欣向ARP工具
俺使用了该工具,它有5个功能:
A. IP/MAC清单
选择网卡。如果是单网卡不需要设置。如果是多网卡需要设置连接内网的那块网卡。
IP/MAC扫描。这里会扫描目前网络中所有的机器的IP与MAC地址。请在内网运行正常时扫描,因为这个表格将作为对之后ARP的参照。
之后的功能都需要这个表格的支持,如果出现提示无法获取IP或MAC时,就说明这里的表格里面没有相应的数据。
B. ARP欺骗检测
这个功能会一直检测内网是否有PC冒充表格内的IP。你可以把主要的IP设到检测表格里面,例如,路由器,电影服务器,等需要内网机器访问的机器IP。
(补充)“ARP欺骗记录”表如何理解:
“Time”:发现问题时的时间;
“sender”:发送欺骗信息的IP或MAC;
“Repeat”:欺诈信息发送的次数;
“ARP info”:是指发送欺骗信息的具体内容.如下面例子:
time sender Repeat ARP info 22:22:22 192.168.1.22 1433 192.168.1.1 is at 00:0e:03:22:02:e8
这条信息的意思是:在22:22:22的时间,检测到由192.168.1.22发出的欺骗信息,已经发送了1433次,他发送的欺骗信息的内容是:192.168.1.1的MAC地址是00:0e:03:22:02:e8。
打开检测功能,如果出现针对表内IP的欺骗,会出现提示。可以按照提示查到内网的ARP欺骗的根源。提示一句,任何机器都可以冒充其他机器发送IP与MAC,所以即使提示出某个IP或MAC在发送欺骗信息,也未必是100%的准确。所有请不要以暴力解决某些问题。
C. 主动维护
这个功能可以直接解决ARP欺骗的掉线问题,但是并不是理想方法。他的原理就在网络内不停的广播制定的IP的正确的MAC地址。
“制定维护对象”的表格里面就是设置需要保护的IP。发包频率就是每秒发送多少个正确的包给网络内所有机器。强烈建议尽量少的广播IP,尽量少的广播频率。一般设置1次就可以,如果没有绑定IP的情况下,出现ARP欺骗,可以设置到50-100次,如果还有掉线可以设置更高,即可以实现快速解决ARP欺骗的问题。但是想真正解决ARP问题,还是请参照上面绑定方法。
D. 欣向路由器日志
收集欣向路由器的系统日志,等功能。
E. 抓包
类似于网络分析软件的抓包,保存格式是.cap。
3.2.1 Antiarp
这个软件界面比较简单,以下为我收集该软件的使用方法。
A. 填入网关IP地址,点击〔获取网关地址〕将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。注意:如出现ARP欺骗提示,这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包,如果您想追踪攻击来源请记住攻击者的MAC地址,利用MAC地址扫描器可以找出IP 对应的MAC地址.
B. IP地址冲突
如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数据包,才会出现IP冲突的警告,利用Anti ARP Sniffer可以防止此类攻击。
C. 您需要知道冲突的MAC地址,Windows会记录这些错误。查看具体方法如下:
右击[我的电脑]--[管理]--点击[事件查看器]--点击[系统]--查看来源为[TcpIP]---双击事件可以看到显示地址发生冲突,并记录了该MAC地址,请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-),输入完成之后点击[防护地址冲突],为了使MAC地址生效请禁用本地网卡然后再启用网卡,在CMD命令行中输入Ipconfig /all,查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符,如果更改失败请与我联系。如果成功将不再会显示地址冲突。
注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。
3.3 具有ARP防护功能的路由器
这类路由器以前听说的很少,对于这类路由器中提到的ARP防护功能,其实它的原理就是定期的发送自己正确的ARP信息。但是路由器的这种功能对于真正意义上的攻击,是不能解决的。
ARP的最常见的特征就是掉线,一般情况下不需要处理一定时间内可以回复正常上网,因为ARP欺骗是有老化时间的,过了老化时间就会自动的回复正常。现在大多数路由器都会在很短时间内不停广播自己的正确ARP信息,使受骗的主机回复正常。但是如果出现攻击性ARP欺骗(其实就是时间很短的量很大的欺骗ARP,1秒有个几百上千的),它是不断的发起ARP欺骗包来阻止内网机器上网,即使路由器不断广播正确的包也会被他大量的错误信息给淹没。
可能你会有疑问:我们也可以发送比欺骗者更多更快正确的ARP信息啊?如果攻击者每秒发送1000个ARP欺骗包,那我们就每秒发送1500个正确的ARP信息!
面对上面的疑问,我们仔细想想,如果网络拓扑很大,网络中接了很多网络设备和主机,大量的设备都去处理这些广播信息,那网络使用起来好不爽,再说了会影响到我们工作和学习。ARP广播会造成网络资源的浪费和占用。如果该网络出了问题,我们抓包分析,数据包中也会出现很多这类ARP广播包,对分析也会造成一定的影响。
呵呵,不知不觉说这么多,上面会可能会有说的不正确和不够的地方,希望大家多多讨论。
CSNA网络分析论坛
KelvinFu
2006-09-07
提起黑客,总是那么神秘莫测。在人们眼中,黑客是一群聪明绝顶,精力旺盛的年轻人,一门心思地破译各种密码,以便偷偷地、未经允许地打入政府、企业或他人的计算机系统,窥视他人的隐私。那么,什么是黑客呢?
黑客(hacker),源于英语动词hack,意为“劈,砍”,引申为“干了一件非常漂亮的工作”。在早期麻省理工学院的校园俚语中,“黑客”则有“恶作剧”之意,尤指手法巧妙、技术高明的恶作剧。在日本《新黑客词典》中,对黑客的定义是“喜欢探索软件程序奥秘,并从中增长了其个人才干的人。他们不象绝大多数电脑使用者那样,只规规矩矩地了解别人指定了解的狭小部分知识。”由这些定义中,我们还看不出太贬义的意味。他们通常具有硬件和软件的高级知识,并有能力通过创新的方法剖析系统。“黑客”能使更多的网络趋于完善和安全,他们以保护网络为目的,而以不正当侵入为手段找出网络漏洞。
另一种入侵者是那些利用网络漏洞破坏网络的人。他们往往做一些重复的工作(如用暴力法破解口令),他们也具备广泛的电脑知识,但与黑客不同的是他们以破坏为目的。这些群体成为“骇客”。当然还有一种人兼于黑客与入侵者之间。
一般认为,黑客起源于50年代麻省理工学院的实验室中,他们精力充沛,热衷于解决难题。60、70年代,“黑客”一词极富褒义,用于指代那些独立思考、奉公守法的计算机迷,他们智力超群,对电脑全身心投入,从事黑客活动意味着对计算机的最大潜力进行智力上的自由探索,为电脑技术的发展做出了巨大贡献。正是这些黑客,倡导了一场个人计算机革命,倡导了现行的计算机开放式体系结构,打破了以往计算机技术只掌握在少数人手里的局面,开了个人计算机的先河,提出了“计算机为人民所用”的观点,他们是电脑发展史上的英雄。现在黑客使用的侵入计算机系统的基本技巧,例如破解口令(password cracking),开天窗(trapdoor),走后门(backdoor),安放特洛伊木马(Trojan horse)等,都是在这一时期发明的。从事黑客活动的经历,成为后来许多计算机业巨子简历上不可或缺的一部分。例如,苹果公司创始人之一乔布斯就是一个典型的例子。
在60年代,计算机的使用还远未普及,还没有多少存储重要信息的数据库,也谈不上黑客对数据的非法拷贝等问题。到了80、90年代,计算机越来越重要,大型数据库也越来越多,同时,信息越来越集中在少数人的手里。这样一场新时期的“圈地运动”引起了黑客们的极大反感。黑客认为,信息应共享而不应被少数人所垄断,于是将注意力转移到涉及各种机密的信息数据库上。而这时,电脑化空间已私有化,成为个人拥有的财产,社会不能再对黑客行为放任不管,而必须采取行动,利用法律等手段来进行控制。黑客活动受到了空前的打击。
但是,政府和公司的管理者现在越来越多地要求黑客传授给他们有关电脑安全的知识。许多公司和政府机构已经邀请黑客为他们检验系统的安全性,甚至还请他们设计新的保安规程。在两名黑客连续发现网景公司设计的信用卡购物程序的缺陷并向商界发出公告之后,网景修正了缺陷并宣布举办名为“网景缺陷大奖赛”的竞赛,那些发现和找到该公司产品中安全漏洞的黑客可获1000美元奖金。无疑黑客正在对电脑防护技术的发展作出贡献。
2,黑客攻击
一些黑客往往回采取一些几种方法,但是我很想说的是,一个优秀的黑客绝不会随便攻击别人的。
1)、获取口令
这又有三种方法:一是通过网络监听非法得到用户口令,这类方法有一定的局限性,但危害性极大,监听者往往能够获得其所在网段的所有用户账号和口令,对局域网安全威胁巨大;二是在知道用户的账号后(如电子邮件@前面的部分)利用一些专门软件强行破解用户口令,这种方法不受网段限制,但黑客要有足够的耐心和时间;三是在获得一个服务器上的用户口令文件(此文件成为Shadow文件)后,用暴力破解程序破解用户口令,该方法的使用前提是黑客获得口令的Shadow文件。此方法在所有方法中危害最大,因为它不需要像第二种方法那样一遍又一遍地尝试登录服务器,而是在本地将加密后的口令与Shadow文件中的口令相比较就能非常容易地破获用户密码,尤其对那些弱智用户(指口令安全系数极低的用户,如某用户账号为zys,其口令就是zys666、666666、或干脆就是zys等)更是在短短的一两分钟内,甚至几十秒内就可以将其干掉。
2)、放置特洛伊木马程序
特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中,并在自己的计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当您连接到因特网上时,这个程序就会通知黑客,来报告您的IP地址以及预先设定的端口。黑客在收到这些信息后,再利用这个潜伏在其中的程序,就可以任意地修改您的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等,从而达到控制你的计算机的目的。
3)、WWW的欺骗技术
在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问,如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在:正在访问的网页已经被黑客篡改过,网页上的信息是虚假的!例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求,那么黑客就可以达到欺骗的目的了。
4)、电子邮件攻击
电子邮件攻击主要表现为两种方式:一是电子邮件轰炸和电子邮件“滚雪球”,也就是通常所说的邮件炸弹,指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件,致使受害人邮箱被“炸”,严重者可能会给电子邮件服务器操作系统带来危险,甚至瘫痪;二是电子邮件欺骗,攻击者佯称自己为系统管理员(邮件地址和系统管理员完全相同),给用户发送邮件要求用户修改口令(口令可能为指定字符串)或在貌似正常的附件中加载病毒或其他木马程序(据笔者所知,某些单位的网络管理员有定期给用户免费发送防火墙升级程序的义务,这为黑客成功地利用该方法提供了可乘之机),这类欺骗只要用户提高警惕,一般危害性不是太大。
5)、通过一个节点来攻击其他节点
黑客在突破一台主机后,往往以此主机作为根据地,攻击其他主机(以隐蔽其入侵路径,避免留下蛛丝马迹)。他们可以使用网络监听方法,尝试攻破同一网络内的其他主机;也可以通过IP欺骗和主机信任关系,攻击其他主机。这类攻击很狡猾,但由于某些技术很难掌握,如IP欺骗,因此较少被黑客使用。
6)、网络监听
网络监听是主机的一种工作模式,在这种模式下,主机可以接受到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接受方是谁。此时,如果两台主机进行通信的信息没有加密,只要使用某些网络监听工具,例如NetXray for windows 95/98/nt,sniffit for linux 、solaries等就可以轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性,但监听者往往能够获得其所在网段的所有用户帐号及口令。
7)、寻找系统漏洞
许多系统都有这样那样的安全漏洞(Bugs),其中某些是操作系统或应用软件本身具有的,如Sendmail漏洞,win98中的共享目录密码验证漏洞和IE5漏洞等,这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏,除非你将网线拔掉;还有一些漏洞是由于系统管理员配置错误引起的,如在网络文件系统中,将目录和文件以可写的方式调出,将未加Shadow的用户密码文件以明码方式存放在某一目录下,这都会给黑客带来可乘之机,应及时加以修正。
8)、利用帐号进行攻击
有的黑客会利用操作系统提供的缺省账户和密码进行攻击,例如许多UNIX主机都有FTP和Guest等缺省账户(其密码和账户名同名),有的甚至没有口令。黑客用Unix操作系统提供的命令如Finger和Ruser等收集信息,不断提高自己的攻击能力。这类攻击只要系统管理员提高警惕,将系统提供的缺省账户关掉或提醒无口令用户增加口令一般都能克服。
9)、偷取特权
利用各种特洛伊木马程序、后门程序和黑客自己编写的导致缓冲区溢出的程序进行攻击,前者可使黑客非法获得对用户机器的完全控制权,后者可使黑客获得超级用户的权限,从而拥有对整个网络的绝对控制权。这种攻击手段,一旦奏效,危害性极大。
命令查询法
这种方法是通过Windows系统内置的网络命令“netstat”,来查出对方好友的IP地址,不过该方法需要你先想办法将对方好友邀请到QQ的“二人世界”中说上几句话才可以。下面就是该方法的具体实现步骤:
首先单击“开始”/“运行”命令,在弹出的系统运行对话框中,输入“cmd”命令,单击“确定”按钮后,将屏幕切换到MS-DOS工作状态;然后在DOS命令行中执行“netstat-n”命令,在弹出的图4界面中,你就能看到当前究竟有哪些地址已经和你的计算机建立了连接(如果对应某个连接的状态为“Established”,就表明你的计算机和对方计算机之间的连接是成功的);
其次打开QQ程序,邀请对方好友加入“二人世界”,并在其中与朋友聊上几句,这样你的计算机就会与对方好友的计算机之间建立好了TCP连接;此时,再在DOS命令行中执行“netstat-n”命令,看看现在又增加了哪个tcp连接,那个新增加的连接其实就是对方好友与你之间的UDP连接,查看对应连接中的“ForeignAddress”就能知道对方好友的IP地址了。
四种方法g7
当你使用QQ与好友聊天时,可以通过多种方法获得好友的IP地址,我把最常用的几种方法介绍过给大家。pp%F
一.通过与好友聊天问好友IP地址)
这一着通常是很难奏效的,不过这是最简单获得对方IP地址的方法。如果你问我的IP地址的话我会告诉你的。因为我总是在网吧上网,你知道我的IP地址后不管干什么坏事都对我造不成什么损失。所以你只管问。当问不着只有采取其他方法了。-
8F;cel
二.通过QQ补丁获得好友IP地址\^Z5i
在网上下载一个能显示好友IP地址的QQ补丁就行了,或着直接下载一个能显示对方IP的qq聊天软件。这时你与对方聊天时,对方的IP地址就显示你的在QQ窗口里。但是最新出的QQ的“补丁”没做出来的话,就得用其他方法了。}K
©西墙明镜论谈 -- 肇东第一个门户网站 CAga
三.通过DOS命令获得QQ好友IP地址M
在与好友聊天时可以通过DOS命令“netstat"获取对方的IP地址的,它是Windows自带的命令。但是要在聊天模式里才能用。K3
当与好友聊天时在DOS窗口里输入命令:"netstat -n",后你会看到: m$}b
Active ConnectionsV
Proto Local Address Foreign Address State
TCP 202.109.34.78:1200 202.121.139.35:61555 ESTABLISHEDL[?
......“此处的内容的多少不一,反正是和上面一行的形式相同,只是IP不同。”yB^$]
TCP 202.109.34.78:4869 211.202.1.227:23 ESTABLISHED=fO
©西墙明镜论谈 -- 肇东第一个门户网站 $C~
这时退出“聊天模式”,然后在DOS下再输入一次上述命令。你会看到: qd(mVY
Active Connections l4Mt[7
Proto Local Address Foreign Address State}r
TCP 202.109.34.78:1200 202.121.139.35:61555 TIME_WAITImQ
......)("
TCP 202.109.34.78:4869 211.202.1.227:23 ESTABLISHEDf2-
©西墙明镜论谈 -- 肇东第一个门户网站 T
比较上述两组数据,不同的就是对方得的IP地址。上例的IP地址是:202.101.139.35!原因:在与好友聊天时,双方要要产生连接。“ESTABLISHED”的意思就是“连接已建立”。而退出聊天后的“TIME_WAIT”的意思就是“等待连接”。很简单吧。Nl$Q
©西墙明镜论谈 -- 肇东第一个门户网站 vg~?Pq
四.通过软件查QQ好友IP1g
在好多查通过QQ查IP的软件中。本人对“IpLocate”比较欣赏。此软件目前的版本是6.0。主要功能是:^`
1. 能够查出QQ上好友,陌生人的IP地址及所处地区。2. 输入IP便能查找出与之对应的国家或地区所在地。3. 能够进行IP攻击。4. 能够隐藏在系统托盘中。5.用户可以自定义数据。使用方法很简单只要按下本软件的监听按钮,然后向某人发一消息或等某人向你发消息,程序就会显示该人的QQ号码,IP地址,端口和所处区域。具体说明参照它的帮助。XkgSQ
但是请注意如果查不到IP地址可能是下列原因:V\.h'C
1.IpLocate.exe与wry.dat必须放在同一目录下。+Kc
2.一定要先打开QQ,再打开本软件,否则将无法监听。!f
3.如果,本人在局域网内,监听功能可能无效。2}9d
4.如果,发送的消息经服务器转送,则无法监听对方的IP地址。.
获得好友的IP地址还有其他方法,这里就不一一介绍了。至于获得对方IP地址有什么用处,你自己想吧,这里就不引导你做坏事了。
实施攻击的初步一般是要查到欲攻击目标的IP地址。查他人IP地址的方法有很多,按查找对象来划分,大致可分为四大类(我自己定义的,不准确):查QQ用户IP地址、聊天室中查IP、查任意一个人的IP地址、查互联网中已知域名主机对应的IP地址。下面我们举例来看看如何查他人IP地址
一、查QQ用户IP地址
1.通过FolkOicq查IP
FolkOicq是个能给QQ添加IP显示补丁的程序,最新版本FolkQQ0530SE_B2。下载后得到一个Zip的压缩包,用Winzip解压出文件QQ2000.EXE,将它复制到QQ的安装目录下(在这之前最好是备份一下原来的QQ2000.exe,防止以后出错不能恢复)。然后运行QQ2000,点一个在线用户,你会发现在QQ号下面有IP地址了。
此主题相关图片如下:
看到61.183.121.18了吗?对!这就是对方的IP地址。
.通过IpSniper查IP
IpSniper是针对QQ2000的IP地址查询工具。它支持目前OQ2000所有的版本,在Win98和Win2000操作系统下都可正常工作。当你第一次运行IpSniper程序时,会弹出一个对话框,要求你在“设置”中设置好各个参数。点击“设置”,指定QQ执行文件所在的目录以及文件名,点击“确定”即可。
下次运行IpSniper,就会直接启动QQ主程序。当你与好友或者陌生人通话的同时,IpSniper会实时的截获通话者的Ip地址、端口号以及对方的QQ号码,并把对方所在地的地理位置一并显示出来。
此主题相关图片如下:
3.通过防火墙查IP
由于QQ使用的是UDP协议来传送信息的,而UDP是面向无连接的协议,QQ为了保证信息到达对方,需要对方发一个认证,告诉本机,对方已经收到消息,防火墙(例如天网)则带有UDP监听的功能,因此我们就可以利用这个认证来查看IP,哈哈,得来全不费功夫!
现在让我们举一个实际的例子来看看如何用天网查IP。
第一步:打开天网防火墙的UDP监听;
第二步:向他(她)发送一个消息;
第三步:查看自己所用的QQ服务器地址,在本例中是202.104.129.252;
第四步:排除QQ服务器地址,判断出对方的IP地址,在本例中是61.133.200.90;
]
怎么样,他(她)跑不掉了吧?闲太麻烦?要知道腾迅的QQ升级速度比火箭都快,用前两个办法总是有版本限制的,用这个方法可是一劳永逸啊!
4.通过NetXRay查IP
NetXRay是由Cinco Networks公司开发的一个用于高级分组检错的软件,功能很强大。用一个功能如此强大的武器来查QQ的IP,有点“大才小用”了。
第一步:运行NetXRay,在菜单中选取tools→Matrix
第二步:选择选择下端出现的IP标签。
第三步:按右键,在弹出的菜单中选中Show Select Nodes
第四步:打开QQ和你想查的人聊上一句,同时观察窗口,在数据包发送的那一瞬间颜色有变化的数据线就是你和他之间的IP连线。看看数据线的另一头,那个ip地址(61.138.121.18)就是你梦寐以求的东西。
用NetXRay查QQ用户IP地址的方法还有好几种,其余的方法大家可以自己摸索试试
查QQ用户IP地址的方法和工具还有很多,这里介绍的方法已经足够你用的了,实在不行,自己找一些这方面的工具用用,很容易的。
二、聊天室中查IP
1.用IP Hunter
IP Hunter是独孤剑客开发的软件。用IPHunter在聊天室查IP方法如下:在允许贴图、放音乐的聊天室,利用HTML语言向对方发送图片和音乐,如果把图片或音乐文件的路径设定到自己的IP上来,那么尽管这个URL地址上的图片或音乐文件并不存在,但你只要向对方发送过去,对方的浏览器将自动来访问你的IP。对于不同的聊天室可能会使用不同的格式,但你只需将路径设定到你的IP上就行了。实例说明如下:
如:“***聊天室”发送格式如下:
发图象:img src=""
发音乐:img bgsound=""
在IP Hunter的“对方IP地址”栏中就会显示出他(她)的IP。
局限性:如果对方在浏览器中将图象,声音全部禁止了,此方法无能为力。对于使用代理服务器的,此方法也只能查到他所用代理的IP地址,无法查到其真实IP地址。
2.用F_ip
F_ip是一个网络工具,可以查本地IP和远程IP。用F_ip查IP必须在支持WEB的聊天室才可以使用,也就是说,你可以在聊天室贴自己主页上的图片,你才能使用这个功能。
首先:运行f_ip,看到“http:”页面里有2句html语句,假设你看到的第一条是img src=,如果你所在的聊天室也是用这条命令贴图,那么你就可以直接使用它向你想查ip的人发这句话,1分钟之内就会在文本框中输出对方的ip,如果你所在的聊天室不支持img src=语句,就用所在聊天室所用的语句,但记住要把地址换成你的IP。
3.利用聊天室中的资料文件查IP
有些聊天室的服务器会把使用者的资料或对话及IP地址存为一个文件,并且大多数的服务器并没有将这个文件做加密处理,所以,我们可以通过访问这个文件从而得到用户的IP地址列表。这些文件通常是叫:online.txt 、userdata.txt 、message.txt、whoisonline.txt、或干脆就叫IP.txt。你只要在浏览器中叫出那个文件来看就可以查看一切了……由于本方法对聊天室威胁太大,因此这里就不介绍具体查找文件的方法了,在此提出的只是个思路而已。
三、查任意一个人的IP地址
1.主动查对方的IP
这种查任意一个人IP地址的基本思路是:若想知道对方的地址,只需设法让对方访问自己的IP地址就可以了,一旦对方来访问,也就建立了一个SOCKET连接,我们就可以轻松地捕获他(她)的IP地址。当然前提他得在线。
第一步:申请一个转向域名,如126.com等,并在网上做一个主页(主页无论怎么简单都可以,目的是为了查IP地址嘛);
第二步:在你想查别人IP的时候,到你申请域名的地方,将链接转到你的IP;
第三步:打开查IP地址的软件,如IP Hunter;
第四步:告诉那个你想查其IP地址的人,想办法(是用甜言蜜语还是美…计,就看你的了)让他去你的网站看看,给他这个转向域名;
第五步:当他输入此网址以后,域名会自动指向你的IP,因此你就能知道他的IP了;
第六步:当你查到他的IP地址后,再将转向的地址改为你网站的地址,达到隐藏的目的。
2.被动查对方IP
如今的网上真的不大安静,总有些人拿着扫描器扫来扫去。如果你想查那个扫你电脑的人的IP,可用下面的方法。
一种做法是用天网,用软件默认的规则即可。如果有人扫描你的电脑,那么在“日志”中就可以看到那个扫你的人的IP了,他扫描你电脑的哪个端口也可从中看出。由于我们在前面已经讲了用天网查QQ用户IP的方法,因此在这里就不多说了。
另外一种做法是用黑客陷阱软件,如“小猪快跑”、“猎鹿人”等,这些软件可以欺骗对方你的某些端口已经打开,让他误以为你已经中了木马,当他与你的电脑产生连接时,他的IP就记录在这些软件中了。以“小猪快跑”为例,在该软件中有个非常不错的功能:“自定义密码欺骗端口设置”,你可以用它来自定义开启10个端口用来监听,不大明白?OK,下面就以把自己的计算机伪装成中了冰河木马为例,看看可爱的小猪是怎样欺骗对方、如何查到扫描者的IP的吧!
点击“端口设置”选“自定义木马欺骗端口设置”,进入“木马欺骗端口设置”对话框。
在“木马欺骗端口设置”界面上用鼠标选中“端口1”,“端口数”填冰河木马的默认端口7626,其他不用填,点击“设置完毕”退出。好了,冰河木马欺骗端口设置完毕。
现在回到“小猪快跑”的主界面,点击“开始监视”,工作区内立即出现“7626端口开始监视”的提示,欺骗开始了……
这时,如果有“灰”客对你的计算机进行扫描,他就会发现你计算机的7626端口开着,这个“灰”客自然会以为你中了木马冰河呢。当他用冰河控制端登陆你的计算机时,冰河会告诉他“命令发送完毕”,由于你没有中木马,所谓的木马是你设置出来的假木马,因此他也就无法再进行下一步了。无论他登陆多少次,都只会看到“命令发送完毕”,而“小猪快跑”的主窗口中却清清楚楚地显示出“***.***.***.***试图连接你的7626端口,已经开始欺骗”。其中“***.***.***.***”就是对方的IP地址了,知道了对方的IP地址后,你就可以爱怎么办就怎么办了。
四、查互联网中已知域名主机的IP
1.用Windows自带的网络小工具Ping.exe
如你想的IP地址,只要在DOS窗口下键入命令“ping ”,就可以看到IP了。
2.用工具查
这里我们以网络刺客II为例来说说。
网络刺客II是是天行出品的专门为安全人士设计的中文网络安全检测软件,运行网络刺客II,进入主界面,选择“工具箱”菜单下的“IP-主机名”,出现一个对话框,在“输入IP或域名”下面的框中写入对方的域名(我们这里假设对方的域名),点击“转换成IP”按钮,对方的IP就出来了,是202.106.184.200。
网络刺客II下载地址查局域网中客户机IP的方法同
现在流行做黑客啊?
ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接。
ARP攻击原理
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。
遭受ARP攻击后现象
ARP欺骗木马的中毒现象表现为:使用局域网时会突然掉线,过一段时间后又会恢复正常。比如客户端状态频频变红,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp -d后,又可恢复上网。
ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如盗取密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。
基于ARP协议的这一工作特性,黑客向对方计算机不断发送有欺诈性质的ARP数据包,数据包内包含有与当前设备重复的Mac地址,使对方在回应报文时,由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下,受到ARP攻击的计算机会出现两种现象:
1.不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框。
2.计算机不能正常上网,出现网络中断的症状。
因为这种攻击是利用ARP请求报文进行“欺骗”的,所以防火墙会误以为是正常的请求数据包,不予拦截。因此普通的防火墙很难抵挡这种攻击。
标签:pc中间人攻击软件
已有1位网友发表了看法:
访客 评论于 2022-07-09 14:35:35 回复
实时的截获通话者的Ip地址、端口号以及对方的QQ号码,并把对方所在地的地理位置一并显示出来。 此主题相关图片如下: 3.通过防火墙查IP 由于QQ使用的是UDP协议来传送信息的,而UDP是面向无连接的协议,QQ为了保