|
|
发表于 2003-7-6 13:55:01
|
显示全部楼层
下面是川大的同学在我们学校论坛贴的帖子!!
发信人: shusi (舒思), 信区: Cisco
标 题: 网络执法官工作原理(一)
发信站: 四川大学蓝色星空站 (2003年04月13日00:51:11 星期天), 站内信件
经过今晚的实验、抓包和分析,终于了解了网络执法官的工作原理和运行过程,
正如popo和lightwind等人曾设想的,它是通过ARP欺骗来实现破坏他人主机网络
连接的目的的。
实验环境描述:主机A、B、C,A机为装有网络执法官的主机,B机为A的攻击目
的主机,C机为监控分析主机。
在A机启动网络执法官后,在C机上可以看到网络中出现了大量的ARP请求报文,
源ip和mac地址就是A机的ip和mac,目的mac地址则是FF:FF:FF:FF:FF:FF的广播地
址,而目的ip为所在网段可用的全部ip地址(比如从202.115.32.1到32.255),
对这些ip地址逐一请求,即使这个地址的主机并未开机。当正在网络中运行的主
机收到ARP请求报文后,会作出ARP应答,网络执法官便根据这个应答在程序界面
中描绘出正在运行的主机的图和ip、mac地址等相关细节。
这里要注意的一点是,根据以前作实验的结果,如果在A机上进行抓包分析,会
发现本机捕获的包与C机捕获的包格式不同,除了目的ip和mac没变以外,源的ip
和mac地址都是全零的。
此外,目的主机的ip范围是根据A机的ip地址和子网掩码进行与运算之后得出的,
就是说,如果A机的掩码出错,它就会向错误的ip范围发送ARP请求。比如,应该
是202.115.32.1-255的,由于掩码错写成255.255.255.128,会让它发送请求的时
候只向202.115.32.1-126发送。
发信人: shusi (舒思), 信区: Cisco
标 题: 网络执法官工作原理(二)
发信站: 四川大学蓝色星空站 (2003年04月13日01:29:29 星期天), 站内信件
当A机上的鼠标指向运行界面中的B机,下令让它弹出ip冲突警告并且断网时,
我发现B机的右下角立即弹出了ip冲突的警告(windows xp系统),ping外部主机
也变成了Request timed out。此时C机上发现了问题。
连续出现相同的ARP响应报文,目的和源主机的ip地址相同,都是B机的ip,目
的主机的mac地址为B机的mac地址,而源的mac地址则是B机的mac地址加1。很显然
这是一个虚假的ARP应答,是由网络执法官产生的,它的直接后果就是令B机产生
ip冲突。这个虚假的应答发送速度极快,每次在1ms之内连续发送16个,足以令你
应接不暇。
但这只是找到了产生ip冲突的根源,对于网络断掉的原因则仍未能给出解释。
我在1600多个抓到的包中仔细的寻找着。
看下面这些经过我处理的包,由于bbs每行字数限制,我只能写出源和目的的ip
以及mac地址,其他细节忽略。重要的提示是这些包的类型全部都是ARP Reply,
也就是ARP响应包。
源mac地址 目的mac地址 源ip 目的ip
52:54:AB:2E:7B1 52:54:AB:2F:22:22 202.115.46.193 202.115.46.199
52:54:AB:29:783 52:54:AB:32:3B:46 202.115.46.199 202.115.46.193
52:54:AB:35:60:CA 52:54:AB:2F:22:22 202.115.46.200 202.115.46.199
52:54:AB:30:61:CA 52:54:AB:34:7BF 202.115.46.199 202.115.46.200
52:54:AB:3A:6F:C5 52:54:AB:2F:22:22 202.115.46.205 202.115.46.199
※ 来源:·四川大学蓝色星空站 SCU.cn-bbs.org·[WROM: TQNQ
发信人: shusi (舒思), 信区: Cisco
标 题: 网络执法官工作原理(三)
发信站: 四川大学蓝色星空站 (2003年04月13日02:04:56 星期天), 站内信件
仔细看刚才那个列表的同学会发现,我抓到的包每两个为一组,源和目的的
ip地址是互换的,而mac地址么,则有点奇怪,第一个的源mac按道理说应该是
第二个的目的mac,第一个的目的mac也应该是第二个的源mac,但我们抓到的却
不是,没有这个对应关系。
嗯,这里漏掉了第一个说明,表中每一行都出现的只有这个46.199的ip地址,
它就是我们要令之断网的目的主机B的ip。并且,这些包不是只有这几个,而是
同一子网中所有在线的主机都和46.199在发送这种成对的arp响应报文,而且周
而复始,大约每500毫秒就重新发送一次。
那么,有同学可能又发现了,当B机的ip出现在目的ip位置上时,相对应的目
的mac地址是一样的,都是52:54:AB:2F:22:22,这个mac地址到底是不是B机的
真实mac呢?我当时也带着这个查看了B机的网卡情况,答案时肯定的。
紧接着,我作出了这样的推测,就是每个出现在目的主机位置上的mac地址都
是目的主机ip位置上对应主机的真实mac地址。而源主机mac位置上的地址则都
是虚假的,由网络执法官编造出来的。网络执法官正是通过这样的虚假arp应答
报文,让被攻击的主机arp列表中储藏了所在网段中全部主机的错误的ip和arp
对应关系,使得在主机想要和某个ip的主机通讯时无法找到真正的mac地址。同
样,对于网段内的其他主机,他们收到的响应也是一个错误的B机的mac地址。很
重要的一点是,这些ip当中包含了B机所在网段的网关ip地址,这样,B机连找
不断的高频率的发送虚假arp reply,就是为了防止某一时候由于arp列表过期
而删除了其中一条,使得B机和网络中的某主机可以产生通讯。
在A机关掉了网络执法官之后,实验网络恢复正常,我查看了网络中其他主机
的mac地址,证实了上面的推测:网络执法官是通过反复向网络中的所有主机发
送关于被攻击主机的ARP reply,让所有主机获得一个被攻击主机的虚假mac地
址;同时反复向被攻击主机发送网络中所有主机(含网关)的ARP reply,让目
的主机获得所有主机的错误mac地址。以这种ARP欺骗的手段来达到所谓“网络
执法”的目的。
几点补充:
1、如果你的机子弹出对话框说网络执法官正在运行的时候,表明对方的软件版本是
未注册的,他只能监视网络状况,而无法真正令你断网。为了避免这种骚扰,建
议在控制面板里找到管理工具,在其中的服务里将messenger服务停止,并且将启
动类型改为手动或者已禁用。
2、网络执法官是那种“杀敌一千自损八百”的工具,在使用者令你断网的时候,他
自己的CPU占用率也将大幅提升,大约而且管理的ip越多,占用率越高,大概能高
到70%以上。因为它在不断的向网段内所有管理主机发送arp请求,而对想攻击的
主机还要大量的不停的发送虚假arp reply,对于普通的pc机来说,这也是个很艰
巨而痛苦的工作。这也是开发网络执法官的人声称此软件适合于在网吧里使用的
重要原因,因为网吧里可以有一台服务器专门做这个管理工作。
3、我的实验是在一台hub为中心节点的小网络中完成的,对于共享式网络肯定有效,
从工作原理看,网络执法官应该是可以穿透交换机的,就是说它可能在全交换的
网络环境里也能起到相同作用。但从我以前的实验记录来看,我在交换式网络中
没有成功过。而在学生宿舍里,被影响的主机似乎也只限定在同一个楼层的同一
个hub之下,原因还有待分析。
4、检测网络中是否有人在使用网络执法官很容易,在学生宿舍的共享式网络下,只
要你装一个sniffer之类的抓包分析软件,看到某个ip在网络中向所有的ip逐一发
送ARP请求报文,并且周而复始,频率很高,那么这个ip就脱不了嫌疑。
相信应该是清除本机的arp列表,重新获取新的mac方式。因为通常使用网络执法
官的人不会一直运行着它,只是为了令你暂时断网然后抢一个ip,在它完成这个
工作后,重建arp列表就好了。或者,可以通过改变ip的方式来上网。
6、第五条中的方法仅仅是发生了问题后的补救措施,关键的,要从根本上解决。这
点必须由网管来做,首先更换学生宿舍楼的hub为交换机,然后改变学生宿舍网的
ip地址规划,通过NAT转换分配10.*.*.*给宿舍,解决ip不够的问题,最后将宿舍
网的vlan和子网尽可能的划小,大概小到每层楼甚至半层楼用一个vlan,让网络
执法官没有存在的必要,或者一旦出现也可以很容易的找到使用者。
以上种种,皆系昨晚实验后匆匆分析写就,错误难免,欢迎指正,欢迎讨论。 |
|
IP卡
狗仔卡
显身卡
楼主