Unbending Notes
94hao 发表于 2006-10-16 0:13:00 阅读全文 | 回复(0) | 引用通告 | 编辑
自从去年9月开始,笔者发现在许多论坛上出现了不少局域网的IP攻击求助其表现是大面积IP地址冲突,造成机器暂时停止网络响应,无法上网。有的
是大学宿舍局域网的抢IP,有的则是针对网吧的恶意攻击,危害极大。与此同时,笔者在一些站点上发现了网络执法官和局域网终结者这两款软件。其原理相近,都是针对局域网的,都可以实现将局域网用户网络连接切断的功能。于是笔者对这两款软件作了试用。
对于网络执法官而言,该软件作者的本意本身是为了提出一种局域网管理的新思路,而经过笔者试用,该软件在对网管在局域网中进行网络管理确实感觉非常方便,但是由于它所提供的功能的原因,不可避免的被一些人用来当作攻击的工具。该软件可以对局域网中已上网或者未上网的机器进行网络封锁,只需要知道网卡的硬件地址就可以了。它不但可以封锁单机,也可以一次封锁多台机器的上网权限。尽管说该软件的使用不算复杂,但还说不上是傻瓜式的操作。在该软件的官方站点作者仅仅提供了试用版,对该软件使用时间进行了限制,也提供了检测版本,我们还是可以通过使用检测版本的软件得知谁在局域网中为所欲为的,从这个角度来讲,该软件的非法使用危害程度还是收到了一定限制的。下面我们主要来看看操作傻瓜式的局域网终结者的危害与防范。
我们假设在局域网中有两台机器A与B,操作系统均为WIN2000,A的IP地址和网卡硬件地址分别为202.XXX.232.120和52-54-AB-50-EE-B1,B的IP地址和网卡硬件地址分别为202.XXX.232.118和00-07-57-3D-0E-06。下面我们以A机作为攻击方,B机作为受害方.在A机运行局域网终结者,填入B机的IP地址,并选择填入到切断列表。就是这样简单,现在B机的反应就是不断弹出大量的IP冲突提示框,并且无法上网。同样,局域网终结者也可以同时对多台机器进行攻击,只要将IP都填入切断列表就可以了。不少网吧管理员反应经常在生意正好的时候突然出现大面积IP冲突现象,其直接的后果便是导致经济损失。也许有人说,IP冲突的话会在机器上留下攻击方的网卡硬件地址的,这样不就能找出攻击者了吗?
注意看被攻击方的事件日志记录,这个网卡硬件地址并不是A机的网卡硬件地址的哦。也就是说这种攻击是可以伪装网卡硬件地址的。这个伪装的网卡硬件地址是在写软件的时候就已经设置好的了。从这个角度来讲是无法找出攻击者的。那么如何来防范这种攻击呢?我们先来简单了解一下这种攻击的原理。
我们知道一个局域网中不可以同时有两个相同的ip。否则就会发生冲突,结果必然是其中的一台机器无法上网。假设在一个局域网中有两台主机甲和乙,主机甲只知道乙的IP而不知道其MAC,主机甲想与主机乙进行通讯时,根据OSI七层模型,当数据封装到数据链路层时(也就是MAC层),
便会向局域网内所有的机器发送一个arp请求包(小知识:arp就是地址解析协议,它的功能在于将IP地址转换为对应的MAC地址,这时如果乙收到该请求包,便会返回给甲一个arp应答包,将自己的MAC告诉甲,这样就可以继续进行数据传输了。但是如果在这个过程中,如果主机甲在发送ARP请求时,该局域网内有一台主机丙的IP和甲相同,丙就会得知有一台主机的IP地址同自已的IP地址相同,于时就弹出一个我们通常所见到的IP冲突的对话框。既然一个主机接收到与自已相同IP发出的ARP请求就会弹出一个IP冲突框来,假如伪造任一台主机的IP向局域网不停地发送ARP请求,同时自已的MAC也是伪造的,那么被伪造IP的主机便会不停地收到IP冲突提示。这便构成了局域网终结者的攻击原理。从上面的分析来看,这实际上属于一种arp请求包的拒绝服务攻击了。
网卡的工作有两种模式:一种是正常模式,即只能接收到指定目的MAC的广播包或都是目的MAC与网卡MAC相同的包。第二种是不检查目的MAC而接收所有的包,sniffer(监听程序)就是用这种原理来窃取网络上的数据的。那么也就是说我们只要检测出局域网中哪个网卡工作在混杂模式,它就很可能是在进行攻击的那台计算机了。当然,检测的时候需要排除自己哦,因为这个时候自己也是出于混杂模式的。
上进行):
1也可以使用arp -s命令对IP和MAC进行绑定,但是这种方法对网管来说工作量比较大。而且如果学生宿舍局域网的用户一般是没有这种权限的。这种绑定必须要在交换机上进行操作才可以达到目的。如果仅仅是在本机上进行操作,那么也只是以后需要向该IP主机发送数据时不再使用ARP查询,网络中可以减少占用的带宽,提高传输效率。并不能达到我们所要求的目的。(小知识:使用arp -s IP MAC命令可以对IP地址和网卡硬件地址进行绑定。)
2可以使用网络执法官的检测版进行检测。
