ARP攻擊是近幾年黑客界才興起來(lái)的一個(gè)在局域網(wǎng)絡(luò)內(nèi)部實(shí)施的攻擊手段，通常利用安裝arp-sniffer工具，捕獲如帳戶密碼，ftp用戶名，用戶密碼這樣有價(jià)值的信息。這種攻擊手段屬于網(wǎng)絡(luò)滲透攻擊的范疇。本文分別以攻擊和解決兩個(gè)實(shí)例來(lái)幫助大家了解ARP欺騙攻擊的本質(zhì)，目的是為廣大網(wǎng)友提供一些有價(jià)值的參考資料。

大家都知道，真正的網(wǎng)絡(luò)攻擊80%-90%都發(fā)生自內(nèi)網(wǎng)中，也就俗稱的內(nèi)網(wǎng)攻擊，一般黑客的慣用手法一般不亞于以下幾個(gè)步驟：踩點(diǎn)、掃描、查點(diǎn)、攻擊、系統(tǒng)提權(quán)、內(nèi)網(wǎng)嗅探、得到情報(bào)或資源、毀機(jī)滅證、隱匿山林。

一、攻擊實(shí)例

為了更好的讓大家知道如何實(shí)施ARP攻擊，下面給大家介紹一個(gè)實(shí)際的攻擊例子，目的是為了更好的防范ARP攻擊：

首先打開(kāi)web站點(diǎn)，看服務(wù)器的操作系統(tǒng)是Windows還是Unix的，目的是要決定采用何種方式攻擊，一般大多數(shù)網(wǎng)管為了維護(hù)方便都是采用Win2k和Win2003來(lái)做操作系統(tǒng)的，所以這里就以Windows系統(tǒng)為例，給大家展現(xiàn)如何利用ARP攻擊站點(diǎn)。

踩點(diǎn)和掃描

應(yīng)用Windows系統(tǒng)的Web服務(wù)器的代碼結(jié)構(gòu)多數(shù)都是asp加mssql，這些都存在sql injection隱患。主要是通過(guò)注射工具，如果是db-own的，可以通過(guò)配置黑客字典來(lái)跑用戶名和密碼，如果有論壇的話，看是否存在漏洞，如果存在就通過(guò)一句話木馬來(lái)獲得webshell，也可以通過(guò)老的掃描思路，利用x-scan，superscan等工具來(lái)查看對(duì)方主機(jī)開(kāi)放了那些端口，得知該主機(jī)提供了那些服務(wù)，通過(guò)xscan的漏洞庫(kù)比對(duì)，判斷是否存在安全漏洞。

查點(diǎn)、攻擊和系統(tǒng)提權(quán)

利用whois查點(diǎn)，得到該空間使用者的情況，用戶名，聯(lián)系方式，郵件列表，為社會(huì)工程做好鋪墊。通過(guò)nslookup命令來(lái)查看郵件服務(wù)器信息，多數(shù)還是通過(guò)端口掃描來(lái)獲得有價(jià)值的信息。如果對(duì)方用的軟件存在緩沖區(qū)溢出的話，通過(guò)一些地下站點(diǎn)或安全站點(diǎn)公布的exp來(lái)做攻擊，經(jīng)過(guò)exp攻擊，拿下主機(jī)權(quán)限。

內(nèi)網(wǎng)嗅探和盜取資料

安裝后門軟件，通過(guò)注冊(cè)表或輸入命令把自己添加到admin group組中，接著上傳nc(一個(gè)黑客工具)打開(kāi)mstsc服務(wù)(3389服務(wù))，在命令行輸入net user命令查看當(dāng)前是否有管理員在線。安裝winpcap軟件，新版的winpcap不需要再重新啟動(dòng)就可以用，安裝arp sniffer進(jìn)行網(wǎng)絡(luò)嗅探，我們這里簡(jiǎn)單介紹下arp siniffer的使用方法，在cmd(命令行)下輸入arpsniffer ip1 ip2 logfile netadp /reset。這里ip1是指的該局域網(wǎng)網(wǎng)關(guān) ip2指的是目標(biāo)ip地址，logfile是保存嗅探得到的用戶名和密碼的一個(gè)本地文本文件，通過(guò)嗅探網(wǎng)關(guān)ip來(lái)捕獲局域網(wǎng)的用戶名和密碼，利用反彈木馬把資料下到自己的機(jī)器上面。

以上就是整個(gè)ARP入侵嗅探攻擊思路，非常簡(jiǎn)單，但思路是死的，人是活的，這里我只是簡(jiǎn)單介紹了最普通的入侵思路，還有其他很多入侵手段，我也不再一一列舉，但萬(wàn)變不離其中，如果你能明白我舉的這個(gè)例子，那其他的無(wú)非是用不同的手段實(shí)現(xiàn)踩點(diǎn)、掃描、查點(diǎn)、攻擊、系統(tǒng)提權(quán)、內(nèi)網(wǎng)嗅探、盜取資料等過(guò)程。

二、解決實(shí)例

對(duì)廣大網(wǎng)友來(lái)說(shuō)，了解如何攻擊并不是目的，還是那句話，如何解決問(wèn)題才是我們應(yīng)該學(xué)習(xí)的，下面就再舉一個(gè)例子說(shuō)明，碰到ARP入侵攻擊，應(yīng)該如何解決，解決后應(yīng)該怎樣防范。

受攻擊現(xiàn)象

2006年8月23日，下午4點(diǎn)，嫂子打來(lái)電話說(shuō)她們教育學(xué)院的網(wǎng)絡(luò)遭受了攻擊，很多老師的機(jī)器上不去網(wǎng)，郵件也無(wú)發(fā)正常收發(fā)，一直提示IP地址沖突，交換機(jī)上的黃燈也是常亮不滅。這情況明顯是有大量的數(shù)據(jù)包沖擊網(wǎng)絡(luò)。

了解網(wǎng)路拓?fù)浣Y(jié)構(gòu)很重要

根據(jù)嫂子的描述，我畫(huà)出了網(wǎng)絡(luò)拓?fù)鋱D，并根據(jù)交換機(jī)部署和網(wǎng)絡(luò)層次劃分結(jié)構(gòu)，判斷故障影響的網(wǎng)絡(luò)范圍。這些看似沒(méi)有用，其實(shí)是必須要做的分析，目的是合理的判斷攻擊原因和 方便查找攻擊源頭，以便徹底解決問(wèn)題。

抓包分析

使用siniffer抓包，分析詳細(xì)數(shù)據(jù)包情況。根據(jù)分析初步判斷是遭受了ARP欺騙攻擊，因?yàn)樵疽粋€(gè)IP地址對(duì)應(yīng)一個(gè)MAC地址，但在siniffer的數(shù)據(jù)報(bào)告上面顯示的IP地址對(duì)應(yīng)的MAC地址全部都成了一個(gè)。

具體解決過(guò)程

打開(kāi)服務(wù)器，發(fā)現(xiàn)上面竟然安裝了server-u5.0，還有代理服務(wù)器 ccproxy。前段時(shí)間還和朋友探討這兩個(gè)軟件的溢出和提權(quán)，估計(jì)是已經(jīng)被人成功拿下了，在服務(wù)器的c盤目錄上發(fā)現(xiàn)了winpcap，還發(fā)現(xiàn)了arp siniffer這兩個(gè)軟件。前面已經(jīng)講過(guò)如何利用arp siniffer嗅探密碼和資料了，這里就不再過(guò)多介紹。

現(xiàn)在應(yīng)該去抓這只鬼了，首先我們要搜索.txt文本文件，考慮到他既然如此大膽的把文件放在c盤根目錄下，從黑客行為上分析，這個(gè)黑客的水平和技法也不怎么樣，也有可能我小看了他。根據(jù)在c盤搜索到的txt文件，按時(shí)間倒序排列，找出最新生成的txt文檔，果然一個(gè)名叫admin.txt的文本文檔進(jìn)入了我們的視線。打開(kāi)一看，n多帳戶和密碼，經(jīng)過(guò)嫂子的辨認(rèn)，非常重要的一臺(tái)辦公服務(wù)器的用戶名和密碼都在上面，要知道它可是直接和省增值服務(wù)網(wǎng)絡(luò)直接互通的，如果這個(gè)網(wǎng)絡(luò)被入侵的話，那么損失將是不可估量的。

現(xiàn)在做的只有迅速斷開(kāi)網(wǎng)絡(luò)連接，更改密碼，把server-u升級(jí)到6.0最新版本。關(guān)閉了ccproxy代理服務(wù)器，把這個(gè)arp sniffer這個(gè)垃圾清掃出去，給其他老師的機(jī)器打補(bǔ)丁，做漏洞掃描，這里說(shuō)句題外話，在清理的過(guò)程中發(fā)現(xiàn)很多機(jī)器上面的用戶名和密碼都為空，ipc$,3389，遠(yuǎn)程協(xié)助全都是打開(kāi)狀態(tài)。

至此，所有的問(wèn)題都已經(jīng)解決了，但并不是所有人都可以這樣做，其實(shí)遭受攻擊的原因很多是因?yàn)閮?nèi)部員工使用終端不當(dāng)，拋開(kāi)內(nèi)部員工泄密不說(shuō)，單說(shuō)基本的安全常識(shí)，就有很多企業(yè)的員工不知道。這些都給黑客的各種入侵帶來(lái)了極大的便利。

【編輯推薦】

1. 發(fā)布網(wǎng)吧最新攻略之ARP攻擊和防治
2. 對(duì)抗SYN及ARP攻擊qno發(fā)布新路由器軟件