ARP SNIFFER攻击简单实施步骤和防范方法

苏州机房网络管理负责人以及中网科技技术负责人,您好,

    我是61.155.39.9和61.155.39.14的服务器的管理员胡天宇。最近黑客基地的一个朋友发现了我们服务器的一个漏洞,但此漏洞并非我们服务器的原因,而是因为一些网络设置的原因。这个漏洞除了影响我们的服务器以外,还影响到同一网关下的其他所有服务器。因此很冒昧给您们描述下这个漏洞,并恳请修复他。

    这种漏洞主要是采用了ARP SNIFFER(ARP嗅探)的方式,以下是我们的黑客基地的朋友给我写的一个简单的攻击教程。


    首先,若想嗅探服务器A,则第一步只要找到和A使用同一网关下的服务器B把他攻占下来,具体怎么扫描和A同一网关下的服务器并找有漏洞的服务器就就不赘述了,实际上很容易找到有漏洞的服务器,我们假设这个有漏洞的服务器叫做B。


    攻占下来B之后,把一些工具上传到B上去,主要是WinPcap.exe和arpsf.exe(附件中我附上了这两个程序),前一个是后一个程序的运行前提要先安装,安装好之后,运行以下命令:

arpsf -cheatsniff -t TargetIP -g GatewayIP -unecho -dp 80 -sniffpacket -o c:\sniff.txt -p TCP

(若提示检测不到本机MAC,用arp -s 本机IP 本机Mac绑定下即可。)


    然后只要耐心等待,一定能够得到你想要的信息。由于目前中国网络结构和相关技术人员素质等问题.这个可以说是百发百中。只要你攻占了其中一个服务器,你几乎能把同一个网关的所有服务器都拿下。

    (目前和61.155.39.1网关下的某台服务器已经被攻破,那位黑基的朋友就是采用上面的方法进行嗅探的,并可以得到我的ftp密码和帐号。)


防范的方法:

     这种ARP欺骗的原因是网关被欺骗了,上面的那个命令运行后,网关会认为B服务器是A服务器,结果就把所有应该发给A的信息发给了B,然后B就可以进行信息过滤,然后再转发给A。

     解决的方法就是在网关交换机那里, 把交换机上A服务器的端口和A服务器的网卡MAC值绑定即可,交换机默认设置是不做绑定而维护一个动态的MAC列表,所以很容易被B服务器欺骗。但由于交换机的物理端口是不可以伪造的,所以端口和网卡MAC值绑定是最保险的解决方案。


    很冒昧打扰你们,希望这个问题您那边能认真研究,并在以后上新服务器的时候作为一个默认的安全设置前提,这样一定能根除ARP嗅探攻击的危害性。

    另外附上我的两台服务器对外的网卡的MAC值和IP地址:

    61.155.39.9:  00-30-48-2a-a2-61
    61.155.39.14: 00-03-47-2f-ab-bb

    (获取一个服务器的网卡MAC的方法很简单,只要ping一下那个Ip,然后使用arp -a 命令即可看到那个ip的对应MAC值。)

祝工作顺利


天宇

QQ:895984
MSN:hu_tianyu@hotmail.com
MP:13305147035


评论

该日志第一篇评论

发表评论

评论也有版权!