前兩天買的過期雜誌上看到的一款軟體,剛開始還沒注意,後來就恨自己雜誌買晚了。(今年3月份的《黑客防線》)
那個神奇的軟體,就像我標題上說的,叫ssclone,解釋起來就是:switch session clone,也就是「交換機會話轉殖」(純字面翻譯,純的~ )。
這個軟體有什麼用?其特點就是可以不通過傳統的arp欺騙方法,來實現區域網內的會話監聽、劫持、複製等操作。(其實這個軟體本身是用來會話複製的,也就是攔截客戶機傳送給閘道器的資料報,如果攔截閘道器傳送給客戶機的資料報,那麼就是會話劫持了。)
因為採用了非arp欺騙的技術,結果不用測試都可想而知,所有的arp防火牆都對它不起作用。(廢話了,arp防火牆就是攔截arp的,沒有arp資料報有個鳥用啊,哈哈)
具體的環境介紹完了,下面我們開始分析攻擊的過程。
1、首先看看抓包後分析的閘道器mac下的ip位址,除了閘道器自己的內網ip,還有乙個192.168.1.42,呵呵,只要對自己網路心中有數的管理員,都會覺得不正常吧!
2、我們開啟了ssclone,開始搜尋區域網內的所有ip位址。程式發出大量的arp資料報查詢區域網中存活的主機。
這時可以看出,傳送這些arp請求的是操作者的真實主機,也就是說,如果要找用此程式搗亂的人,可以在此下手。
3、我們看到,筆記本(192.168.1.100)回答了這個請求。
4、在掃瞄結束後幾秒鐘,我們開始對筆記本的資料報進行劫持。
5、現在可以看到,攻擊者的計算機正在冒用閘道器的mac位址以及乙個假ip,向外傳送資料報。也就是向交換機宣稱,攻擊者所在的埠對應的是閘道器的mac,在真正的閘道器傳送乙個資料報,或攻擊者再次傳送乙個偽造資料報之前,這個錯誤的對映關係(閘道器mac攻擊者埠)將一直存在。
攻擊者以每秒鐘傳送10個包的速度繼續傳送,不斷地讓交換機接收這個錯誤的對映關係。
6、交換機果然被欺騙了,將目標mac為閘道器mac的資料報,都傳送到了攻擊者的計算機上。我的科來只在伺服器本地捕獲,如果欺騙不成功,是不可能收到筆記本與閘道器的通訊內容。
7、截獲之後,必然要把資料報**出去,否則網路就不通了嘛~可是現在交換機上對應閘道器mac的埠是攻擊者自己的埠,程式就開始用乙個假冒的mac和ip,通過arp請求192.168.1.1(閘道器)的mac位址,閘道器收到之後會產生乙個回應。
這樣正確的根據第5條所述的原理,正確的對映關係就恢復了,於是攻擊者的計算機可以把這些截獲的資料繼續傳遞給閘道器。
之後,通過再進行第5條所述的方法,設定錯誤的對映關係。
8、第5條說的資料報的具體結構。
最後,關於這個方法的一些個人理解:
設定錯誤對映關係的資料報,不一定是igmp,其他的資料報也有可能,只要偽造一下mac位址即可。
找出攻擊者,可以參考第2條的內容,但如果攻擊者變通一下手法,也不一定管用。
通過原理可以大致推斷出,這個方法除了搞劫持,還能搞斷網掉線……只要攻擊者不**資料報就可以了。
解決方法,需要通過交換機的埠繫結來實現,mac和ip雙綁已經沒有作用了。
因為是基於交換機埠的,所以那種設定子網來遮蔽arp氾濫的方法,也沒用啦!
tags:arp
, ssclone
SSClone非ARP會話劫持原理分析
1 首先看看抓包後分析的閘道器mac下的ip位址,除了閘道器自己的內網ip,還有乙個192.168.1.42,呵呵,只要對自己網路心中有數的管理員,都會覺得不正常吧!2 我們開啟了ssclone,開始搜尋區域網內的所有ip位址。程式發出大量的arp資料報查詢區域網中存活的主機。這時可以看出,傳送這些...
ARP欺騙攻擊和會話劫持和斷網攻擊
arp欺騙攻擊有很多很多的工具可用,可以達到的目的相應的也有很多。我會根據實現攻擊相應的更新一些工具的使用。arpspoof命令格式 arpspoof i 網絡卡 t 目標 host 欺騙攻擊 kali 192.168.46.136 win7 192.168.46.137 網管 192.168.46...
理解xss 劫持會話
xss 劫持會話攻擊實驗 step01 搭建好攻擊者的web伺服器 lamp或lnmp平台,phpstudy 驗證php環境 1 看埠 web 80 mysql 3306 php 9000 2 驗證php檔案能不能正常解析 的根目錄 c phpstudy pro www 建立乙個test.php檔案...