1
分类: 系统运维
2010-09-30 10:18:41
文章提交:Longhai
局域网内争斗是永不停歇啊.记得最初的网络执法官-P2终结者-还有有着文雅名字的聚生网管-这现在有来了一个CnCerT.Net.Skiller汉语名字也不知道。 前面那些都是利用了ARP欺骗,不管你是欺骗网关也好欺骗PC也好。都是用了ARP协议的弱点。
这个CnCerT.Net.Skiller已经不是了。我说的是竹工作原理,当然他扫描的时候还是使用ARP的广播询问的。所以你ARP防火墙报警正常。
那么CnCerT.Net.Skiller用的是什么神秘的技术呢。呵呵其实比ARP还简单。我先卖个关子,其实如果你仔细看我的那片ARP攻击与防御的那片文章,你就应该了解。
其实CnCerT.Net.Skiller 一不攻击网关二步攻击PC。那他攻击的什么的。局域网内还有什么,网线??厉害,。,。,。,呵呵你应该想到了吧。就是交换机。
交换机-比HUB先进,那到底先进到哪呢,就是交换机的MAC表,那这个表什么用呢,HUB没有这张表所以流量从一个口近来从其他的所有口出去。而正因为这张表。交换机不这么笨了。所以这个表记录的是MAC地址与端口的对应关系
给你看一张表
这也就说交换机有MAC地址的学习能力,从交换机的一个口来的流量,就不泛红出去,而是根据MAC表转发。那也是有规定的,针对这个软件攻击我说这个表就是攻击,那是怎么规定的呢。再针对这个软件我说下MAC表。你看这个 一个MAC一个端口,其实一个口可以学习多个MAC地址的对么?对阿怎么不对阿,我这个口下面接个交换机-交换机下面再接3台PC那么这个口不就3个MAC地址了么。这是没有问题的,但是翻过来。一个MAC地址可以被不同端口同时学习到么?那是不行的。还有交换机的学习是基于以太网帧头的源MAC地址学习的别问为什么,交换机就这么规定的。
那如果2个相同MAC的PC P1 P2 都接在一台交换机上有什么情况发生呢,很简单,表会不稳定。MAC表翻动。那传送给P1 或P2的流量该怎么办呢,就看这个流量到了交换机的时候,谁的MAC-端口 对应关系还在。所以两者都可能出现丢包。
谁有流量谁做主,都有流量那就看谁的流量频率大。我想这个现象大家都能想象的出来。
CnCerT.Net.Skiller正是一个利用这个原理进行攻击的一工具。其实又叫MAC欺骗,受骗对象交换机。
不用这个工具也能达到这个效果,你把你的MAC地址改成和受害PC的MAC一样造成 统一交换机下2个MAC相同的模型,然后不断地向外发送数据,PING就可以 PING 谁无所谓,(当然别PING写127 什么的。PING写走你默认网关的流量)就是制造MAC地址表翻动。。不过这时候你上网也成问题。因为你们两个都是受害者。是吧。那CnCerT.Net.Skiller
呢可以让你发送假的MAC同时又发送你真的MAC地址。看看我抓到的包。
你发出的包有两个源MAC地址 1时受害者的MAC 2 是你自己的。
我们来看看这个包里面都有什么。
这个包只包含以太网目标地址和原地址。连一个基本的以太网头都不能算。标准的以太头14字节这个少了2字节的TYPE 字段。很明显这个包目的就是让交换机学习到MAC地址,从而造成MAC地址翻动。
这个软件的攻击强度就是发包速度。
好了介绍了这么多,那怎么防治呢,我都想起两种方法,1把交换机换成HUB呵呵谁会那么去做呢,2就是在交换机上邦定MAC地址,和学习MAC地址的最大数量。至于怎么实现不同设备有不同作法,不同厂商有不同解决方案。
好了关于CnCerT.Net.Skiller我就说这么多了,再多声明一点这个和ARP没有半点关系。
该软件在本站也能下载的到。到软件页面去DOWN吧,我再再声明,别拿来做坏事。
