Date: 2007-03-29 18:52
Views:0
本来这个是我blog的一个文章,由于有云舒和SS加入讨论,转过来。
一直不喜欢用arp欺骗,因为arp欺骗对网络影响太大,特别是在繁忙的网络里,更容易出现问题,比如丢包严重甚至断网。不过最近欠朋友一个人情,作为交换,我得折腾一下ettercap并做一个录像给他。要想做好防护就先得熟悉如何攻击。
去ettercap的论坛翻了一下,发现一个不错的文章,转载之。How can I prevent myself from being detected while sniffing--you'll have to be a little more specific. do you mean another computer detecting your computer's activity? It depends on what kind of security there is. You can use the delay functions ( -D and -Z ) you could not use arp modes, but instead use the non-switched network methods (if possible). You could also not scan ( -z ) or use pings instead of arp requests ( -b ) and there's always passive scanning ( -O ) to see what hosts you can get just by sitting around.
However you should know that an administrator that's on the ball will detect your activity. When you redirect traffic to yourself (mitm) it disrupts stuff. If the machines are on different switches than you, LAN traffic will slow down a bit because it has to travel further.
...just food for thought.
当然,上面的方法我没验证过,如何逃避arpwatch和arpcop的确是一个很关键的问题,虽然不是人人都把arpwatch配置好并使用的,我想应该是很少人使用arpwatch的,虽然只是猜测。
cain以前我搞过一下arp欺骗的测试,还挺不错的,图形的东西,用起来好上手,使用过程也简单,不过在功能上和ettercap比起来差距就是十分之大了,灵活使用arp欺骗是可以做很多事情的,比如用arp欺骗挂马。
检测和防止arp欺骗攻击是一个大问题,要做到检测应该不难,但要防止的话,似乎两边做mac绑定是唯一的办法,并且可以使用vlan来降低风险,但是mac绑定操作起来挺麻烦的,并且不能解决所有的欺骗问题,不知道是否有什么更好更完美的办法来防止arp欺骗呢。
https ssh都可以被攻击这个十分清楚了,https是通过伪造证书,而ssh是通过发送虚假banner来降级到sshv1来达到目的,喜欢按 YES的朋友注意了,呵呵。而用pre-shared key的pptpd和ipsec呢?他们都可以通过降级来达到欺骗的目的,即使不能搞到密码,我们可能搞到会话信息还原吗?这个可能性有多大,需要什么样 的条件呢?可操作性如何?用pre-shared key的openssl vpn呢?这些都是需要我们去好好验证的事情,光听人家嘴巴说说那不实在,谁知道他有没忽悠我们,呵呵。
下面是云舒的回复
ARP SPOOF的话,根据信息敏感程度划分VLAN,分割不同的安全域。静态IP的话,可以绑定,动态DHCP的话,可以使用Cisco的DAI技术。
阅读(2493) | 评论(0) | 转发(0) |
