求救！！关于arp欺骗与wsgtrsys老大的sendarp

qlwy95 · 发表于 2005-2-18 17:59:38

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？注册

×

最近arp欺骗的病毒横行，看过（wsgtrsys老大请进，我试了一个ARP攻击。。）的帖子http://www.routerclub.com/ipb/index.php?showtopic=5510&hl=不是很明白SENDARP插件怎么安装啊?Coyote Linux不是在一张软盘上的吗？按在软盘上？？（EMP老大的帖子）说http://www.routerclub.com/ipb/index.php?showtopic=5067sendarp完善包就是放到一张空白软盘里然后软盘启动就行了吗？网关的服务器必须是cl的吗？windows的不行吗？我是菜鸟一只没有用过linux的，一直都是用windows的。如果是必须的话我就换成Coyote Linux的就是了。

DreamCat · 发表于 2005-2-18 18:04:54

你没用过 CL？这个插件只需要复制到你的CL软盘上，一般不需要设置，重新启动即可。不是空白软盘，这个插件是CL专用的。

qlwy95 · 发表于 2005-2-18 18:16:42

是把sendarp.tgz放在软盘的根目录里吗？还是放在那里？那有好用的coyote啊？？大哥们行行好我是菜鸟没有用过，就是马上准备换了这几天的arp 欺骗把我整惨了

DreamCat · 发表于 2005-2-18 18:24:53

我说的很清楚了，直接复制，CL的每个插件都做成了 .TGZ 文件，直接复制这个文件就是了。

qlwy95 · 发表于 2005-2-18 18:44:01

哦谢谢，你救我于水火之中，你是黑暗中的太阳。那有好用的cl下啊？太阳

EMP · 发表于 2005-2-18 19:10:54

这个完善包不能对付ARP攻击。。。只能对付恶性更改IP导致IP冲突的情况。。。ARP攻击最好还是用三层交换机作IP和MAC绑定吧

EMP · 发表于 2005-2-18 19:11:51

你们的ARP病毒是怎么样的？有什么现象？

sblive · 发表于 2005-2-18 19:21:50

EMP兄，ARP欺骗简单地说就是假冒MAC和IP，例如传奇杀手程序就假冒网关IP和MAC让网吧断线，截获传奇数据，以达到偷取传奇帐号的目的。现在ARP欺骗很让人头疼了！！

EMP · 发表于 2005-2-18 19:41:14

QUOTE (sblive @ Feb 18 2005, 07:21 PM)
EMP兄，ARP欺骗简单地说就是假冒MAC和IP，例如传奇杀手程序就假冒网关IP和MAC让网吧断线，截获传奇数据，以达到偷取传奇帐号的目的。现在ARP欺骗很让人头疼了！！
没怎么使用过这类软件。。。所以不知道会导致什么情况。。。按你的说法。。。这个程序只能在你的网吧使用。才能达到这种目的。。。这样的情况。最好还是用交换机绑定IP和MAC 否则没办法

qlwy95 · 发表于 2005-2-18 19:56:50

EMP老大你不是说可以[还有他的原理是随时都向整个网络发ARP更新包吗？]默认是2秒发一个广播。？我想用你的改善包应该可以在传奇木马的arp欺骗后2秒应该可以把mac夺回来的不知道可行不？

EMP · 发表于 2005-2-18 21:04:43

QUOTE (qlwy95 @ Feb 18 2005, 07:56 PM)
EMP老大你不是说可以[还有他的原理是随时都向整个网络发ARP更新包吗？]默认是2秒发一个广播。？我想用你的改善包应该可以在传奇木马的arp欺骗后2秒应该可以把mac夺回来的不知道可行不？
很难说。。。ARP完善包只能对付ip地址欺骗。不能对付mac地址欺骗。而且不是所有ip地址欺骗都能对付。因为需要清楚做ip地址欺骗的软件的广播时间值，再调整arp完善包。这里的完善包可以说只是针对ip冲突的。不是针对恶意的网络攻击的软件包。如果是恶意的网络攻击手段很极端。所以只能购买昂贵设备。。。把MAC和IP绑定改IP地址导致ip冲突一般都是20秒左右发一次广播。所以这个包可以使用但是如果是arp欺骗。我不太熟悉。。首先是这个arp完善包只是广播mac和ip的关系。。。而且是2秒一次。如果arp欺骗连mac都能欺骗的话。。这样绝对是需要三层交换机作绑定的。。。因为mac识别不在任何机器上。。你说所得arp欺骗mac 是欺骗交换机。不是欺骗其他机器。。。这个完善包是对付欺骗ip地址和mac绑定的关系的就是说欺骗电脑用的。。比如路由mac-> 00:40:2f:3c:6a:5c 某电脑mac -> 00:40:11:52:34:87那路有器广播他 00:40:2f:3c:6a:5c =192.168.0.1 某电脑广播 00:40:11:52:34:87 = 192.168.0.2 但当某电脑 00:40:11:52:34:87 把对应ip广播成 192.168.0.1 这样所有电脑接收广播后电脑就会被误导了192.168.0.1=00:40:11:52:34:87 ，把所有应该发送到路由 00:40:2f:3c:6a:5c 的信息发到00:40:11:52:34:87 导致ip欺骗。。这种是欺骗电脑的所以比较容易解决。只要路由再次广播才恢复。所以一般没有装完善包的时，ip冲突很难恢复，就是因为广播时间太长。这种情况使用完善包可以解决这个问题。而且可以把2秒改成更短。使得那些电脑被欺骗后立即恢复。但是如果能欺骗mac 那是不同的层面了。。。那是关系到交换机转发。是交换机控制。因为交换机不是hub，把所有数据向各段口发送。而是根据mac地址发送到目的地。所以如果欺骗了mac 基本就是欺骗交换机。所以只能靠三层交换机作绑定才能保证正常。才是治标方法。 MAC地址表显示了主机的MAC地址与以太网交换机端口映射关系，指出数据帧去往目的主机的方向。当以太网交换机收到一个数据帧时，将收到数据帧的目的MAC地址与MAC地址表进行查找匹配。如果在MAC地址表中没有相应的匹配项，则向除接收端口外的所有端口广播该数据帧，有人将这种操作翻译为泛洪（Flood，泛洪操作广播的是普通数据帧而不是广播帧）。在我们测试过的交换机中，有的除了能够对广播帧的转发进行限制之外，也能对泛洪这种操作进行限制。而当MAC地址表中有匹配项时，该匹配项指定的交换机端口与接收端口相同则表明该数据帧的目的主机和源主机在同一广播域中，不通过交换机可以完成通信，交换机将丢弃该数据帧。否则，交换机将把该数据帧转发到相应的端口。交换机还将检查收到数据帧的源MAC地址，并查找MAC地址表中与之相匹配的项。如果没有，交换机将记录该MAC地址和接收该数据帧的端口，并激活一个定时器。这个过程被称作地址学习。这个定时器一般就是我们在配置交换机时的Age Time选项，一般我们都可以配置这一定时器的时间长度。在定时器到时的时候，该项记录将从MAC地址表中删除。而如果接收的数据帧的源MAC地址在MAC地址表中有匹配项，交换机将复位该地址的定时器。所有交换机都带有mac地址表。地址表式自动学习的。所以当出现同样的MAC地址接在2个不同的端口时。交换机数据转发就会出现问题不过需要指出,欺骗以后,同一个MAC地址就有两个端口号 "这样其实就是一个竞争问题。” 好象ARP 以后,对整个网络会有点影响,不过我不敢确定既然是竞争,所以路有器只能接收一部分,另一部分被发起ARP欺骗的主机接收。不象同一HUB下的监听。对通过此台路有上网的使用者会有影响，因为他掉了一部分数据。所以说如果欺骗MAC只能做交换机绑定。

easehu · 发表于 2005-2-18 22:07:18

哎，IPV4 的弱点太多了，郁闷中，要修补就要花钱。不合算。

qlwy95 · 发表于 2005-2-18 22:34:45

感谢EMP老大的详尽的解说。中arp病毒的时候，用网络执法官查看就发现上面有两个网关地址如00:40:2f:3c:6a:5c =192.168.0.1 00:40:11:52:34:87 = 192.168.0.1然后在网关上去用arp-a命令发现所有的机器的mac都是同一个如：00:40:11:52:34:87 = 192.168.0.200:40:11:52:34:87 = 192.168.0.300:40:11:52:34:87 = 192.168.0.4这个病毒应该是欺骗所有的客户机说我是网关，然后又欺骗网关说我是所有的机器，再在中毒的机器上发一个转发包把数据传到所有的客户机上，然后利用破解传奇的加密软件达到盗号的目的。只要中毒的机器一重起或关机就会局域网断线。我想只要有EMP老大的完善包应该可以在造成欺骗的时候或者毒机重起时把mac和ip 更正过来避免局域网断线。（EMP老大的帖子）http://www.routerclub.com/ipb/index.php?showtopic=5067是一个朋友介绍我来看的据他说已经解决了但是我现在没有联络到他，也不知道具体的情况但是我觉得可以试一试但我不知道那有好用又不要钱的Coyote Linux下载啊？？？望那位大哥帮帮这只飞不起来的菜鸟。让我也加入成为Linux的一员，感激不尽。

EMP · 发表于 2005-2-18 23:01:12

QUOTE (qlwy95 @ Feb 18 2005, 10:34 PM)
感谢EMP老大的详尽的解说。中arp病毒的时候，用网络执法官查看就发现上面有两个网关地址如00:40:2f:3c:6a:5c =192.168.0.1 00:40:11:52:34:87 = 192.168.0.1然后在网关上去用arp-a命令发现所有的机器的mac都是同一个如：00:40:11:52:34:87 = 192.168.0.200:40:11:52:34:87 = 192.168.0.300:40:11:52:34:87 = 192.168.0.4这个病毒应该是欺骗所有的客户机说我是网关，然后又欺骗网关说我是所有的机器，再在中毒的机器上发一个转发包把数据传到所有的客户机上，然后利用破解传奇的加密软件达到盗号的目的。只要中毒的机器一重起或关机就会局域网断线。我想只要有EMP老大的完善包应该可以在造成欺骗的时候或者毒机重起时把mac和ip 更正过来避免局域网断线。（EMP老大的帖子）http://www.routerclub.com/ipb/index.php?showtopic=5067是一个朋友介绍我来看的据他说已经解决了但是我现在没有联络到他，也不知道具体的情况但是我觉得可以试一试但我不知道那有好用又不要钱的Coyote Linux下载啊？？？望那位大哥帮帮这只飞不起来的菜鸟。让我也加入成为Linux的一员，感激不尽。
哦。原来是这样的。。。如果这种双重IP欺骗. 这里的ARP包也只能解决客户机重新认知正确的网关的mac但可能出现的是网关被误导没有解决。。。因为如果网关被误导，就需要所有机重新广播才行。。除非再在CL配合mac和ip绑定。。。这个这里论坛有文章。。。不过我不确定是否会成功。因为我不了解他绑定的原理。不过据我了解。这种绑定好像只是如果ip=正确的mac 通过 ip不等于正确mac 好像是把包丢弃如果绑定可以做到不论接受到什么广播都以设置绑定的mac和ip关系发出数据帧，这样才会有用这个我就没试验了。。不知道那位高手知道

cloudsea · 发表于 2005-2-19 00:01:54

不错，支持！讨论的很有深度！以我个人理解，基本上，目前流行的传奇盗号木马，普通方法，都是档不住的。刚才EMP强人，解释的很清楚，MAC欺骗是针对交换机，而普通的MAC绑定，是针对网关系统就算在网关绑定了所有的客户机的MAC与IP地址的对应关系也不能排除MAC欺骗的形成，因为交换机的MAC地址池刷新之后，盗号木马截获数据的可能已经存在，虽然在网关处绑定了MAC，不会导至大规模的掉线情况但，盗号仍然存在！该木马流行期间，试过CL，和SM，最后，用SM+arp绑定，稍微缓解了集体掉线的情况。CL上去， 2分钟，OVER，ping网关不通，P3 800 /128M/软盘型 arp-send/在SM上，用tcudump arp抓包，找到疯狂发arp应答的源，去杀毒~ （卡巴基斯)就这样，基本上稳定了网吧arp欺骗的危害~以上，跟据实际情况，整理，如有错误，高手指正！谢~

账号		自动登录	找回密码
密码			注册