ARP Sinffer攻防实例讲解

大家都知道，真正的网络攻击80%-90%都发生自内网中，也就俗称的内网攻击，一般黑客的惯用手法一般不亚于以下几个步骤：踩点、扫描、查点、攻击、系统提权、内网嗅探、得到情报或资源、毁机灭证、隐匿山林。

一、攻击实例
为了更好的让大家知道如何实施ARP攻击，下面给大家介绍一个实际的攻击例子，目的是为了更好的防范ARP攻击：

首先打开web站点，看服务器的操作系统是Windows还是Unix的，目的是要决定采用何种方式攻击，一般大多数网管为了维护方便都是采用Win2k和Win2003来做操作系统的，所以这里就以Windows系统为例，给大家展现如何利用ARP攻击站点。

踩点和扫描

应用Windows系统的Web服务器的代码结构多数都是asp加mssql，这些都存在sql injection隐患。主要是通过注射工具，如果是db-own的，可以通过配置黑客字典来跑用户名和密码，如果有论坛的话，看是否存在漏洞，如果存在就通过一句话木马来获得webshell，也可以通过老的扫描思路，利用x-scan，superscan等工具来查看对方主机开放了那些端口，得知该主机提供了那些服务，通过xscan的漏洞库比对，判断是否存在安全漏洞。

查点、攻击和系统提权

利用whois查点，得到该空间使用者的情况，用户名，联系方式，邮件列表，为社会工程做好铺垫。通过nslookup命令来查看邮件服务器信息，多数还是通过端口扫描来获得有价值的信息。如果对方用的软件存在缓冲区溢出的话，通过一些地下站点或安全站点公布的exp来做攻击，经过exp攻击，拿下主机权限。

内网嗅探和盗取资料

安装后门软件，通过注册表或输入命令把自己添加到admin group组中，接着上传nc（一个黑客工具）打开mstsc服务（3389服务），在命令行输入net user命令查看当前是否有管理员在线。安装winpcap软件，新版的winpcap不需要再重新启动就可以用，安装arp sniffer进行网络嗅探，我们这里简单介绍下arp siniffer的使用方法，在cmd（命令行）下输入arpsniffer ip1 ip2 logfile netadp /reset。这里ip1是指的该局域网网关 ip2指的是目标ip地址，logfile是保存嗅探得到的用户名和密码的一个本地文本文件，通过嗅探网关ip来捕获局域网的用户名和密码，利用反弹木马把资料下到自己的机器上面。

以上就是整个ARP入侵嗅探攻击思路，非常简单，但思路是死的，人是活的，这里我只是简单介绍了最普通的入侵思路，还有其他很多入侵手段，我也不再一一列举，但万变不离其中，如果你能明白我举的这个例子，那其他的无非是用不同的手段实现踩点、扫描、查点、攻击、系统提权、内网嗅探、盗取资料等过程。

二、解决实例
对51CTO广大网友来说，了解如何攻击并不是目的，还是那句话，如何解决问题才是我们应该学习的，下面就再举一个例子说明，碰到ARP入侵攻击，应该如何解决，解决后应该怎样防范。

受攻击现象

2006年8月23日，下午4点，嫂子打来电话说她们教育学院的网络遭受了攻击，很多老师的机器上不去网，邮件也无发正常收发，一直提示IP地址冲突，交换机上的黄灯也是常亮不灭。这情况明显是有大量的数据包冲击网络。

了解网路拓扑结构很重要

根据嫂子的描述，我画出了网络拓扑图，并根据交换机部署和网络层次划分结构，判断故障影响的网络范围。这些看似没有用，其实是必须要做的分析，目的是合理的判断攻击原因和 方便查找攻击源头，以便彻底解决问题。

抓包分析

使用siniffer抓包，分析详细数据包情况。根据分析初步判断是遭受了ARP欺骗攻击，因为原本一个IP地址对应一个MAC地址，但在siniffer的数据报告上面显示的IP地址对应的MAC地址全部都成了一个。

具体解决过程

打开服务器，发现上面竟然安装了server-u5.0，还有代理服务器 ccproxy。前段时间还和朋友探讨这两个软件的溢出和提权，估计是已经被人成功拿下了，在服务器的c盘目录上发现了winpcap，还发现了arp siniffer这两个软件。前面已经讲过如何利用arp siniffer嗅探密码和资料了，这里就不再过多介绍。
现在应该去抓这只鬼了，首先我们要搜索.txt文本文件，考虑到他既然如此大胆的把文件放在c盘根目录下，从黑客行为上分析，这个黑客的水平和技法也不怎么样，也有可能我小看了他。根据在c盘搜索到的txt文件，按时间倒序排列，找出最新生成的txt文档，果然一个名叫admin.txt的文本文档进入了我们的视线。打开一看，n多帐户和密码，经过嫂子的辨认，非常重要的一台办公服务器的用户名和密码都在上面，要知道它可是直接和省增值服务网络直接互通的，如果这个网络被入侵的话，那么损失将是不可估量的。
现在做的只有迅速断开网络连接，更改密码，把server-u升级到6.0最新版本。关闭了ccproxy代理服务器，把这个arp sniffer这个垃圾清扫出去，给其他老师的机器打补丁，做漏洞扫描，这里说句题外话，在清理的过程中发现很多机器上面的用户名和密码都为空，ipc$,3389，远程协助全都是打开状态。
至此，所有的问题都已经解决了，但并不是所有人都可以这样做，其实遭受攻击的原因很多是因为内部员工使用终端不当，抛开内部员工泄密不说，单说基本的安全常识，就有很多企业的员工不知道。这些都给黑客的各种入侵带来了极大的便利。

据一些专业媒体调查，ARP欺骗攻击大多都发生在企业内部网络和办公网络，员工的好奇和网络开发，知识挖掘和资源共享，往往成为一些病毒和网络攻击的训练场，那么ARP欺骗究竟是怎么产生的？ARP又是依据怎样的原理实现攻击的呢？敬请期待下篇：《ARP欺骗攻击原理也可以这样理解。