ARP Sinffer攻防案例讲解

ARP攻击是近几年黑客界才兴起来的一个在局域网络内部实施的攻击手段， 通常利用安装arp-sniffer工具， 捕获如帐户密码， ftp用户名， 用户密码这样有价值的信息。 这种攻击手段属于网络渗透攻击的范畴。 子明分别以攻击和解决两个实例来帮助大家了解ARP欺骗攻击的本质， 目的是为广大arp网友提供一些有价值的参考资料。

大家都知道， 真正的网络攻击80%-90%都发生自内网中， 也就俗称的内网攻击， 一般黑客的惯用手法一般不亚于以下几个步骤：踩点、扫描、查点、攻击、系统提权、内网嗅探、得到情报或资源、毁机灭证、隐匿山林。

一、攻击实例

为了更好的让大家知道如何实施ARP攻击， 下面给大家介绍一个实际的攻击例子， 目的是为了更好的防范ARP攻击：

首先打开web站点， 看服务器的操作系统是Windows还是Unix的， 目的是要决定采用何种方式攻击， 一般大多数网管为了维护方便都是采用Win2k和Win2003来做操作系统的， 所以这里就以Windows系统为例， 给大家展现如何利用ARP攻击站点。

踩点和扫描

应用Windows系统的Web服务器的代码结构多数都是asp加mssql， 这些都存在sql injection隐患。 主要是通过注射工具， 如果是db-own的， 可以通过配置黑客字典来跑用户名和密码， 如果有论坛的话， 看是否存在漏洞， 如果存在就通过一句话木马来获得webshell， 也可以通过老的扫描思路， 利用x-scan， superscan等工具来查看对方主机开放了那些端口， 得知该主机提供了那些服务， 通过xscan的漏洞库比对， 判断是否存在安全漏洞。

查点、攻击和系统提权

利用whois查点， 得到该空间使用者的情况， 用户名， 联系方式， 邮件列表， 为社会工程做好铺垫。 通过nslookup命令来查看邮件服务器信息， 多数还是通过端口扫描来获得有价值的信息。 如果对方用的软件存在缓冲区溢出的话， 通过一些地下站点或安全站点公布的exp来做攻击， 经过exp攻击， 拿下主机权限。

内网嗅探和盗取资料

安装后门软件， 通过注册表或输入命令把自己添加到admin group组中， 接着上传nc（一个黑客工具）打开mstsc服务（3389服务）， 在命令行输入net user命令查看当前是否有管理员在线。 安装winpcap软件， 新版的winpcap不需要再重新启动就可以用， 安装arp sniffer进行网络嗅探， 我们这里简单介绍下arp siniffer的使用方法， 在cmd（命令行）下输入arpsniffer ip1 ip2   logfile netadp /reset。 这里ip1是指的该局域网网关 ip2指的是目标ip地址， logfile是保存嗅探得到的用户名和密码的一个本地文本文件， 通过嗅探网关ip来捕获局域网的用户名和密码， 利用反弹木马把资料下到自己的机器上面。

以上就是整个ARP入侵嗅探攻击思路， 非常简单， 但思路是死的， 人是活的， 这里我只是简单介绍了最普通的入侵思路， 还有其他很多入侵手段， 我也不再一一列举， 但万变不离其中， 如果你能明白我举的这个例子， 那其他的无非是用不同的手段实现踩点、扫描、查点、攻击、系统提权、内网嗅探、盗取资料等过程。

二、解决实例

对arp广大网友来说， 了解如何攻击并不是目的， 还是那句话， 如何解决问题才是我们应该学习的， 下面就再举一个例子说明， 碰到ARP入侵攻击， 应该如何解决， 解决后应该怎样防范。

受攻击现象

2008年8月23日， 下午4点， 嫂子打来电话说她们教育学院的网络遭受了攻击， 很多老师的机器上不去网， 邮件也无发正常收发， 一直提示IP地址冲突， 交换机上的黄灯也是常亮不灭。 这情况明显是有大量的数据包冲击网络。

了解网路拓扑结构很重要

根据嫂子的描述， 我画出了网络拓扑图， 并根据交换机部署和网络层次划分结构， 判断故障影响的网络范围。 这些看似没有用， 其实是必须要做的分析， 目的是合理的判断攻击原因和 方便查找攻击源头， 以便彻底解决问题。

抓包分析

使用siniffer抓包， 分析详细数据包情况。 根据分析初步判断是遭受了ARP欺骗攻击， 因为原本一个IP地址对应一个MAC地址， 但在siniffer的数据报告上面显示的IP地址对应的MAC地址全部都成了一个。

具体解决过程

打开服务器， 发现上面竟然安装了server-u5.0， 还有代理服务器 ccproxy。 前段时间还和朋友探讨这两个软件的溢出和提权， 估计是已经被人成功拿下了， 在服务器的c盘目录上发现了winpcap， 还发现了arp siniffer这两个软件。 前面已经讲过如何利用arp siniffer嗅探密码和资料了， 这里就不再过多介绍。

现在应该去抓这只鬼了， 首先我们要搜索.txt文本文件， 考虑到他既然如此大胆的把文件放在c盘根目录下， 从黑客行为上分析， 这个黑客的水平和技法也不怎么样， 也有可能我小看了他。 根据在c盘搜索到的txt文件， 按时间倒序排列， 找出最新生成的txt文档， 果然一个名叫admin.txt的文本文档进入了我们的视线。 打开一看， n多帐户和密码， 经过嫂子的辨认， 非常重要的一台办公服务器的用户名和密码都在上面， 要知道它可是直接和省增值服务网络直接互通的， 如果这个网络被入侵的话， 那么损失将是不可估量的。

现在做的只有迅速断开网络连接， 更改密码， 把server-u升级到6.0最新版本。 关闭了ccproxy代理服务器， 把这个arp sniffer这个垃圾清扫出去， 给其他老师的机器打补丁， 做漏洞扫描， 这里说句题外话， 在清理的过程中发现很多机器上面的用户名和密码都为空， ipc$,3389， 远程协助全都是打开状态。

至此， 所有的问题都已经解决了， 但并不是所有人都可以这样做， 其实遭受攻击的原因很多是因为内部员工使用终端不当， 抛开内部员工泄密不说， 单说基本的安全常识， 就有很多企业的员工不知道。 这些都给黑客的各种入侵带来了极大的便利。

据一些专业媒体调查， ARP欺骗攻击大多都发生在企业内部网络和办公网络， 员工的好奇和网络开发， 知识挖掘和资源共享， 往往成为一些病毒和网络攻击的训练场， 那么ARP欺骗究竟是怎么产生的？ARP又是依据怎样的原理实现攻击的呢？

……