知道netcut原理的进来看看!

linucz 2003-10-19 12:05:15
有个叫netcut的工具还真霸道!
可以让局域网其它任何一太机器不能上网!不明白石什么原理
如果有人能提供详细的原理或的代码。。。。
...全文
197 3 打赏 收藏 转发到动态 举报
写回复
用AI写文章
3 条回复
切换为时间正序
请发表友善的回复…
发表回复
smallrascal 2003-10-20
  • 打赏
  • 举报
回复
ARP欺骗
首先还是得说一下什么是 ARP ,如果你在UNIX Shell下输入 arp -a (9x下也是),你的输出看起来应该是这样的: Interface: xxx.xxx.xxx.xxx Internet Address Physical Address Type xxx.xxx.xxx.xxx 00-00-93-64-48-d2 dynamic xxx.xxx.xxx.xxx 00-00-b4-52-43-10 dynamic …… ……… …. 这里第一列显示的是ip地址,第二列显示的是和ip地址对应的网络接口卡的硬件地址(MAC),第三列是该ip和mac的对应关系类型。 可见,arp是一种将ip转化成以ip对应的网卡的物理地址的一种协议,或者说 ARP协议是一种将ip地址转化成MAC地址的一种协议,它靠维持在内存中保存的一张表来使ip得以在网络上被目标机器应答。 为什么要将ip转化成mac 呢? 呵呵。。解释下去太多了,简单的说,这是因为在tcp网络环境下,一个ip包走到哪里,要怎么走是靠路由表定义,但是,当ip 包到达该网络后,哪台机器响应这个ip包却是靠该ip包中所包含的mac地址来识别,也就是说,只有mac地址和该ip包中的mac地址相同的机器才会应答这个ip包(好象很多余,呵呵。。),因为在网络中,每一台主机都会有发送ip包的时候,所以,在每台主机的内存中,都有一个 arp--> mac 的转换表。通常是动态的转 换表(注意在路由中,该arp表可以被设置成静态)。也就是说,该对应表会被主机在需要的时候刷新。这是由于乙太网在子网层上的传输是靠48位的mac地址而决定的。 通常主机在发送一个ip包之前,它要到该转换表中寻找和ip包对应的mac地址,如果没有找到,该主机就发送一个ARP广播包,看起来象这样子: “我是主机xxx.xxx.xxx.xxx , mac是xxxxxxxxxxx ,ip为xxx.xxx.xxx.xx1的主机请报上你的mac来” ip为xxx.xxx.xxx.xx1的主机响应这个广播,应答ARP广播为: “我是xxx.xxx.xxx.xx1,我的mac为xxxxxxxxxx2” 于是,主机刷新自己的ARP缓存。然后发出该ip包。 了解这些常识后,现在就可以谈在网络中如何实现ARP欺骗了,可以看看这样一个例子: 一个入侵者想非法进入某台主机,他知道这台主机的火墙只对192.0.0.3(假设) 这个ip开放23口(telnet),而他必须要使用telnet来进入这台主机,所以他要这么做: 1、他先研究192.0.0.3这台主机,发现这台95的机器使用一个oob就可以让他死掉。 2、于是,他送一个洪水包给192.0.0.3的139口,于是,该机器应包而死。 3、这时,主机发到192.0.0.3的ip包将无法被机器应答,系统开始更新自己的 arp对应表。将192.0.0.3的项目搽去。 4、这段时间里,入侵者把自己的ip改成192.0.0.3 5、他发一个ping(icmp 0)给主机,要求主机更新主机的arp转换表。 6、主机找到该ip,然后在arp表中加如新的ip-->mac对应关系。 7、火墙失效了,入侵的ip变成合法的mac地址,可以telnet 了。 (好象很罗嗦,呵呵。。不过这是很典型的例子) 现在,假如该主机不只提供telnet , 它还提供r命令(rsh,rcopy,rlogin等)那么,所有的安全约定将无效,入侵者可以放心的使用这台主机的资源而不用担心被记录什么。 有人也许会说,这其实就是冒用ip嘛。。呵呵。。不错,是冒用了ip,但决不是 ip欺骗,ip欺骗的原理比这要复杂的多,实现的机理也完全不一样。 上面就是一个ARP的欺骗过程,这是在同网段发生的情况,但是,提醒注意的是,利用交换集线器或网桥是无法阻止ARP欺骗的,只有路由分段是有效的阻 止手段。(也就是ip包必须经过路由转发。在有路由转发的情况下,ARP欺骗如配合ICMP欺骗将对网络造成极大的危害,从某种角度将,入侵者可以跨过路由监听网络中任何两点的通讯,如果有装火墙,请注意火墙有没有提示过类似:某某IP是局域IP但从某某路由来等这样的信息。详细实施以后会讨论到。) 在有路由转发的情况下,发送到达路由的ip的主机其arp对应表中,ip的对应值是路由的mac。比如: 我 ping www.nease.net 后,那么在我主机中,www.nease.net的IP对应项不是nease的mac 而是我路由的mac。其ip也是我路由的IP. (有些网络软件通过交换路由ARP可以得到远程IP的MAC) 有兴趣做深入一步的朋友可以考虑这样一种情况: 假设这个入侵者很不幸的从化学食堂出来后摔了一跤,突然想到:我要经过一个路由才可以走到那台有火墙的主机!!! ^^^^ 于是这个不幸的入侵者开始坐下来痛苦的思考: 1、我的机器可以进入那个网段,但是,不是用192.0.0.3的IP 2、如果我用那个IP,就算那台正版192.0.0.3的机器死了,那个网络里的机器也不会把ip包丢到路由传给我。 3、所以,我要骗主机把ip包丢到路由。 通过多种欺骗手法可以达到这个目的。所以他开始这样做: 1、为了使自己发出的非法ip包能在网络上活久一点,他开始修改ttl为下面的过程中可能带来的问题做准备。他把ttl改成255. (ttl定义一个ip包如果在网络上到不了主机后,在网络上能存活的时间,改长一点在本例中有利于做充足的广播) 2、他从贴身口袋中掏出一张软盘,这张有体温的软盘中有他以前用sniffer时保存的各种ip包类型。 3、他用一个合法的ip进入网络,然后和上面一样,发个洪水包让正版的 192.0.0.3死掉,然后他用192.0.0.3进入网络。 4、在该网络的主机找不到原来的192.0.0.3的mac后,将更新自己的ARP对应表。于是他赶紧修改软盘中的有关ARP广播包的数据,然后对网络广播说“能响应 ip为192.0.0.3的mac 是我”。 5、好了,现在每台主机都知道了,一个新的MAC地址对应ip 192.0.0.3,一个ARP 欺骗完成了,但是,每台主机都只会在局域网中找这个地址而根本就不会把发送给192.0.0.3的ip包丢给路由。于是他还得构造一个ICMP的重定向广播。 6、他开始再修改软盘中的有关ICMP广播包的数据,然后发送这个包,告诉网络中的主机:“到192.0.0.3的路由最短路径不是局域网,而是路由,请主机重定向你们的路由路径,把所有到192.0.0.3的ip包丢给路由哦。” 7、主机接受这个合理的ICMP重定向,于是修改自己的路由路径,把对192.0.0.3 的ip通讯都丢给路由器。 8、不幸的入侵者终于可以在路由外收到来自路由内的主机的ip包了,他可以开始 telnet到主机的23口,用ip 192.0.0.3. 9、这个入侵者一把冲出芙蓉一(229),对着楼下来往的女生喊到:“一二一。。” 呵呵。。他完成了。注意,这只是一个典型的例子,在实际操作中要考虑的问题还不只这些。 现在想想,如果他要用的是sniffer会怎样? 假如这个入侵者实在是倒霉 (因为喊“一二一。。”而被女生痛殴),当他从地上爬起来后突然发现:其实我要经过好几个路由才可以到那台主机啊。。。。。这时他要怎么做? 呵呵。。。有兴趣做更深入了解的朋友可以自己构思。通常入侵者是这样做的: 1、苦思冥想六天六夜。。。。。 . . . N、一把冲出芙蓉一(229),狂叫一声,一头栽向水泥马路。 可见,利用ARP欺骗,一个入侵者可以得到: 1、利用基于ip的安全性不足,冒用一个合法ip来进入主机。 2、逃过基于ip的许多程序的安全检查,如NSF,R系列命令等。 甚至可以得到: 栽账嫁祸给某人,让他跳到黄河洗不清,永世不得超生。 那么,如何防止ARP欺骗呢?从我收集整理的资料中,我找出这几条:(欢迎补充) 1、不要把你的网络安全信任关系建立在ip基础上或mac基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在ip+mac基础上。 2、设置静态的mac-->ip对应表,不要让主机刷新你设定好的转换表。 3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。 4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。 5、使用"proxy"代理ip的传输。 6、使用硬件屏蔽主机。设置好你的路由,确保ip地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。 7、管理员定期用响应的ip包中获得一个rarp请求,然后检查ARP响应的真实性。 8、管理员定期轮询,检查主机上的ARP缓存。 9、使用火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致 陷阱包丢失。 以下是我收集的资料,供做进一步了解ARP协议和掌握下次会说到的sniffer on arp spoofing ARP的缓存记录格式:每一行为: IF Index:Physical Address:IP Address:Type 其中: IF Index 为:1 乙太网 2 实验乙太网 3 X.25 4 Proteon ProNET (Token Ring) 5 混杂方式 6 IEEE802.X 7 ARC网 ARP广播申请和应答结构 硬件类型:协议类型:协议地址长:硬件地址长:操作码:发送机硬件地址: 发送机IP地址:接受机硬件地址:接受机IP地址。 其中:协议类型为: 512 XEROX PUP 513 PUP 地址转换 1536 XEROX NS IDP 2048 Internet 协议 (IP) 2049 X.752050NBS 2051 ECMA 2053 X.25第3层 2054 ARP 2055 XNS 4096 伯克利追踪者 21000 BBS Simnet 24577 DEC MOP 转储/装载 24578 DEC MOP 远程控制台 24579 DEC 网 IV 段 24580 DEC LAT 24582 DEC 32773 HP 探示器 32821 RARP 32823 Apple Talk 32824 DEC 局域网桥 如果你用过NetXRay ,那么这些可以帮助你了解在细节上的ARP欺骗如何配合 ICMP欺骗而让一个某种类型的广播包流入一个网络
syman815 2003-10-20
  • 打赏
  • 举报
回复
网管必备工具,切断局域网里任何主机使其断开网络。利用ARP 协议,同时也可以看到局域网内所有主机的IP。任何试用此软件带来的后果与此软件的作者无关,此软件的目的仅仅是为了方便调试ARP 协议使用winpcap。
可以到这个网站下载:http://www.qz158.com/down/soft/532.htm

sungod8 2003-10-19
  • 打赏
  • 举报
回复
应该是把网卡设置为混杂模式之类的软件!
使用交换机可以解决问题!

以太网环境下的嗅探本身是比较简单的,只要网卡能设置成混杂模式且有数据包到达网卡,则可用多种方法捕获数据包并进行各种协议分析。在LINUX下可用RAW套接字,SOCK_PACKET套接字, LIBPCAP函数包等方法捕获数据包,典型的应用程序如TCPDUMP, LINUX_SNIFFER等。

在共享型以太网中,上述两个条件显然是满足的。所有的主机都连接到HUB,而HUB对数据包传输形式是广播。这意味着发给某个主机的数据包也会被其它所有主机的网卡所收到。因此在这样的环境中,任何设置成混杂模式的主机,都可以捕获发送给其它主机的数据包,从而窃听网络上的所有通信。

在交换型以太网中,上述条件2是不满足的。

9,506

社区成员

发帖
与我相关
我的任务
社区描述
Windows专区 安全技术/病毒
社区管理员
  • 安全技术/病毒社区
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧