ARP Sinffer用戶攻防實例詳解

ARP攻擊是近幾年黑客界才興起來的一個在局域網絡內部實施的攻擊手段，通常利用安裝arp-sniffer工具，捕獲如帳戶密碼，ftp用戶名，用戶密碼這樣有價值的信息。這種攻擊手段屬於網絡滲透攻擊的範疇。子明分別以攻擊和解決兩個實例來幫助大家了解ARP欺騙攻擊的本質，目的是爲廣大51CTO網友提供一些有價值的參考資料。

　　大家都知道，真正的網絡攻擊80%-90%都發生自內網中，也就俗稱的內網攻擊，一般黑客的慣用手法一般不亞於以下幾個步驟：踩點、掃描、查點、攻擊、係統提權、內網嗅探、得到情報或資源、毀機滅證、隱匿山林。

　　一、攻擊實例

　　爲了更好的讓大家知道如何實施ARP攻擊，下面給大家介紹一個實際的攻擊例子，目的是爲了更好的防範ARP攻擊：

　　首先打開web站點，看服務器的操作係統是Windows還是Unix的，目的是要決定采用何種方式攻擊，一般大多數網管爲了維護方便都是采用Win2k和Win2003來做操作係統的，所以這裏就以Windows係統爲例，給大家展現如何利用ARP攻擊站點。

　　踩點和掃描

　　應用Windows係統的Web服務器的代碼結構多數都是asp加mssql，這些都存在sql injection隱患。主要是通過注射工具，如果是db-own的，可以通過配置黑客字典來跑用戶名和密碼，如果有論壇的話，看是否存在漏洞，如果存在就通過一句話木馬來獲得webshell，也可以通過老的掃描思路，利用x-scan，superscan等工具來查看對方主機開放了那些端口，得知該主機提供了那些服務，通過xscan的漏洞庫比對，判斷是否存在安全漏洞。

　　查點、攻擊和係統提權
　　
　　利用whois查點，得到該空間使用者的情況，用戶名，聯係方式，郵件列表，爲社會工程做好鋪墊。通過nslookup命令來查看郵件服務器信息，多數還是通過端口掃描來獲得有價值的信息。如果對方用的軟件存在緩沖區溢出的話，通過一些地下站點或安全站點公布的exp來做攻擊，經過exp攻擊，拿下主機權限。

　　內網嗅探和盜取資料

　　安裝後門軟件，通過注冊表或輸入命令把自己添加到admin group組中，接著上傳nc（一個黑客工具）打開mstsc服務（3389服務），在命令行輸入net user命令查看當前是否有管理員在線。安裝winpcap軟件，新版的winpcap不需要再重新啓動就可以用，安裝arp sniffer進行網絡嗅探，我們這裏簡單介紹下arp siniffer的使用方法，在cmd（命令行）下輸入arpsniffer ip1 ip2 logfile netadp /reset。這裏ip1是指的該局域網網關 ip2指的是目標ip地址，logfile是保存嗅探得到的用戶名和密碼的一個本地文本文件，通過嗅探網關ip來捕獲局域網的用戶名和密碼，利用反彈木馬把資料下到自己的機器上面。

　　以上就是整個ARP入侵嗅探攻擊思路，非常簡單，但思路是死的，人是活的，這裏我只是簡單介紹了最普通的入侵思路，還有其他很多入侵手段，我也不再一一列舉，但萬變不離其中，如果你能明白我舉的這個例子，那其他的無非是用不同的手段實現踩點、掃描、查點、攻擊、係統提權、內網嗅探、盜取資料等過程。

　　二、解決實例

　　對51CTO廣大網友來說，了解如何攻擊並不是目的，還是那句話，如何解決問題才是我們應該學習的，下面就再舉一個例子說明，碰到ARP入侵攻擊，應該如何解決，解決後應該怎樣防範。

　　受攻擊現象

　　2006年8月23日，下午4點，嫂子打來電話說她們教育學院的網絡遭受了攻擊，很多老師的機器上不去網，郵件也無發正常收發，一直提示IP地址沖突，交換機上的黃燈也是常亮不滅。這情況明顯是有大量的數據包沖擊網絡。

　　了解網路拓撲結構很重要

　　根據嫂子的描述，我畫出了網絡拓撲圖，並根據交換機部署和網絡層次劃分結構，判斷故障影響的網絡範圍。這些看似沒有用，其實是必須要做的分析，目的是合理的判斷攻擊原因和 方便查找攻擊源頭，以便徹底解決問題。

　　抓包分析

　　使用siniffer抓包，分析詳細數據包情況。根據分析初步判斷是遭受了ARP欺騙攻擊，因爲原本一個IP地址對應一個MAC地址，但在siniffer的數據報告上面顯示的IP地址對應的MAC地址全部都成了一個。

　　具體解決過程

　　打開服務器，發現上面竟然安裝了server-u5.0，還有代理服務器 ccproxy。前段時間還和朋友探討這兩個軟件的溢出和提權，估計是已經被人成功拿下了，在服務器的c盤目錄上發現了winpcap，還發現了arp siniffer這兩個軟件。前面已經講過如何利用arp siniffer嗅探密碼和資料了，這裏就不再過多介紹。

　　現在應該去抓這只鬼了，首先我們要搜索.txt文本文件，考慮到他既然如此大膽的把文件放在c盤根目錄下，從黑客行爲上分析，這個黑客的水平和技法也不怎麽樣，也有可能我小看了他。根據在c盤搜索到的txt文件，按時間倒序排列，找出最新生成的txt文檔，果然一個名叫admin.txt的文本文檔進入了我們的視線。打開一看，n多帳戶和密碼，經過嫂子的辨認，非常重要的一台辦公服務器的用戶名和密碼都在上面，要知道它可是直接和省增值服務網絡直接互通的，如果這個網絡被入侵的話，那麽損失將是不可估量的。

　　現在做的只有迅速斷開網絡連接，更改密碼，把server-u升級到6.0最新版本。關閉了ccproxy代理服務器，把這個arp sniffer這個垃圾清掃出去，給其他老師的機器打補丁，做漏洞掃描，這裏說句題外話，在清理的過程中發現很多機器上面的用戶名和密碼都爲空，ipc$,3389，遠程協助全都是打開狀態。

　　至此，所有的問題都已經解決了，但並不是所有人都可以這樣做，其實遭受攻擊的原因很多是因爲內部員工使用終端不當，抛開內部員工泄密不說，單說基本的安全常識，就有很多企業的員工不知道。這些都給黑客的各種入侵帶來了極大的便利。