无ARP欺骗的嗅探技术(绘图)
评论:ARP欺骗攻击和防御技术比较成熟,不再详细阐述,这是一个重点是如何使用ARP欺骗来嗅探和会话劫持的技术原理。实际的攻击方法是mac欺骗。1。原理:
在开始之前,我们先简单介绍一下交换机转发过程:当交换机上的端口接收到数据帧时,首先
ARP欺骗的攻击和防御技术比较成熟,在这里已经不再说了,这是如何使用ARP欺骗来嗅探和会话劫持的技术原理的一个重点。实际的攻击方法是mac欺骗。
1。原理:
以前我们看交换机转发过程:一个端口交换机接收到一个数据帧,首先检查修改后的数据帧在MAC地址表(CAM)的目的MAC地址对应的端口,如果目的端口和相同的端口,源端口,提出帧从目的端口,端口和更新源MAC地址表源的源端口和目的端口之间的对应关系;如果相同,该帧将被丢弃。
有以下工作场景:
一个4端口的交换机,端口是端口。A、端口B、端口C、端口D对应主机A、B、C、D和D是网关。
当主机A向B发送数据时,主机将根据OSI封装数据帧。在此过程中,将根据IP地址查找B主机的MAC地址,并将其填充到数据帧中的目的MAC地址,在发送前,还将对网卡的mac层协议控制电路进行判断。如果目标MAC与网卡的MAC相同,则不会发送,否则网卡将发送数据。根据以上的检查过程中,MAC地址表,发现B的MAC地址的端口号(数据帧的目的MAC)是港口。B,而数据源端口号端口,然后发送数据帧从端口的开关port.b.the B主机接收该数据帧。
U3000 U3000
图1
这个寻址过程也可以概括为IP > MAC >端口。ARP欺骗是欺骗的IP / MAC之间的关系,而MAC欺骗欺骗MAC / port.the早些时候攻击方法的对应关系是洪水交换机的MAC地址,并使开关工作在广播方式实现嗅探的目的,但它将对开关造成太大的负荷,缓慢网络和数据包丢失,甚至瘫痪。我们不使用这个方法。
两。真正的战斗
工作环境是上述4个开关,和软件作为CNCERT的httphijack例,用来劫持C主机数据由主机。
以下是劫持过程(以mac、SA为源MAC)
1,发送数据包到任何大=网关网关MAC和SA = b.mac。
这表明,b.mac对应端口,并在一段时间内,交换机将所有数据帧发送到b.mac的主持人。这次到B主机发送一个数据包,或一个大=网关。生活MAC和SA = b.mac数据。
评论:ARP欺骗攻击和防御技术比较成熟,不再详细阐述,这是一个重点是如何使用ARP欺骗来嗅探和会话劫持的技术原理。实际的攻击方法是mac欺骗。
1。原理:
在开始之前,我们先简单介绍一下交换机转发过程:当交换机上的端口接收到数据帧时,首先
图2
2个:主机接收通过网关发送给B的数据。在发送或修改之前,它将被转发给B。
发送广播,请求B.MAC,这个包是正常的
Mac的信息是:大= = a.mac ffffffffff,SA。
这一数据帧显示a.mac对应端口,而B主机响应一个应答包
MAC的信息是:大= = b.mac a.mac,SA
这一数据帧显示b.mac对应端口。B
此时,相应的关系已经恢复,主机将将被劫持的数据转发给B。
U3000 U3000
图3
三.将被劫持的数据转发到B并完成劫持
三。进攻特点
1。由于攻击方法具有时间分割的特点,流量越大,劫持频率越低,网络越稳定。
2。隐蔽性强,基于1的特殊性和工作性质,可以在ARP防火墙和双向绑定环境中工作。
四。如何保护
先进的交换机可以使用IP MAC端口绑定来控制CAM表的自动学习,没有任何软件可以保护这种攻击。
五。使用工具
1.httphijackβ2说明:HTTP会话劫持
2.ssclone解释:会话复制软件(Gmail,qqmail,sohumail)在交换环境。)。
3.skiller描述:流量控制