兵Cookies欺骗工具”主窗口中的“Cookie”文本框中看到当前页面的Cookie信息:
loveyuki%5Fzzwb=memPassword=E10ADC3949BA59ABBE56E057F20F883E&memStatus=Member&memName=shuangyuzuo7;ASPSESSIONIDSCQCDRRB=NOJMGPADFOCHCOFAABOJJMOM,其中包含了登录的用户名和密码等信息。黑客可以对Cookie信息进行修改,欺骗Blog程序,使其认为登录用户的身份是管理员。
步骤04单击工具栏中的【设置自定义的Cookies】按钮,即可对Cookie信息进行修改。将Cookie信息中的“memStatus=Member&”修改为“memStatus=SupAdmin”或“memStatus=Admin”。
步骤05继续保持【设置自定义的Cookies】按钮处于按下状态,退出当前的用户登录,重新打开Blog首页,虽然此时没有登录,但已具有管理员的权限。
获得管理员权限后,黑客即可利用专门的漏洞上传工具将ASP木马上传到Blog服务器上,进而对网站进行攻击。
第二章 局域网中的ARP欺骗与防范
在局域网中,通过ARP协议可以完成IP地址转换为第二层物理地址(即MAC地址)。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。为了防止计算机遭受ARP欺骗,用户还应该掌握一些防范软件的使用方法,利用它们来截获ARP攻击。
10。2。1认识ARP
ARP是“AddressResolutionProtocol”的缩写,即地址解析协议,它是一种将IP地址转化成物理地址的协议。在TCP/IP网络环境下,每个主机都分配了一个32位的IP地址,这种互联网地址是在网际范围标识主机的一种逻辑地址。
为了让报文在物理网路上传送,必须知道对方目的主机的物理地址。这样就存在把IP地址变换成物理地址的地址转换问题。具体说来,ARP就是将网络层(IP层,相当于OSI的第三层)地址解析为数据连接层(MAC层,相当于OSI的第二层)的MAC地址。
在局域网中,网络中实际传输的是“帧”,帧里面有目标主机的MAC地址。在以太网中,一个主机要和另一个主机进行直接通信,除要知道目标主机的网络层逻辑地址(如IP地址)外,还必须要知道目标主机的MAC地址。
而这个目标MAC地址就是通过地址解析协议获得的。关于“地址解析”的含义,可以这样来解释,就是主机在发送帧之前,将目标IP地址转换成目标MAC地址的过程。
10。2。2ARP协议工作原理
在能够正常上网的计算机中,都安装有TCP/IP协议,这些电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的。
ARP协议的工作原理:假如IP地址为192。168。1。3的某主机A要向IP地址为192。168。0。7的主机B发送数据,这时主机A就会先来查询本地的ARP缓存表,如果找到主机B的IP地址对应的MAC地址00…73…44…60…db…69,就会进行数据传输。但如果在ARP缓存表里面没有目标的IP地址,主机A就会在网络上发送一个广播,A主机MAC地址是“00…aa…01…75…c3…06”,这表示向同一网段内的所有主机发出这样的询问:“我是192。168。1。3,我的物理地址是“00…aa…01…75…c3…06”,请问IP地址为192。168。0。7的MAC地址是什么?”网络上的所有主机包括主机B都收到这个ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文,告诉主机A它的MCA地址是00…73…44…60…db…69。
主机A知道了主机B的MAC地址后,就可以进行数据传输了,同时,还会更新本地的ARP缓存表。当主机A再次向B发送数据时,就可以直接在ARP缓存表中找到主机B的MAC地址,使用它发送数据。
因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。ARP表使用老化机制,会自动删除在一段时间内没有使用过的IP与MAC地址的映射关系,这样可以大大减少ARP缓存表的长度,加快查询速度。
10。2。3如何查看和清除ARP表
在Windows下查看ARP缓存信息最简单的方法就是通过CMD命令行来完成。
在命令提示符窗口的命令提示符下输入命令“asp…a”,就可以查看ARP缓存表中的内容。
不仅可以查看ARP缓存表,还可以根据需要修改或清除ARP表中的内容。在命令提示符下,在其中输入命令“arp…d+空格+”,即可删除指定IP所在行的内容;在其中输入命令“arp–d”,即可删除ARP缓存表里的所有内容;在其中输入命令“arp…s”,即可手动在ARP表中指定IP地址与MAC地址的对应,类型为static(静态)。
该项并没有存储在ARP缓存表中,而是存储在硬盘中,计算机重新启动后仍然存在,且遵循静态优于动态的原则,因此,这个设置非常重要。如果设置不正确,可能会导致用户无法上网。
10。2。4遭遇ARP攻击后的现象
遭遇ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和安全网关,让所有上网的流量必须经过病毒主机。这就可能导致局域网内的用户突然掉线,过一段时间后又会恢复正常。
在此期间,用户的主机还可能会出现频繁断网、IE浏览器频繁出错以及一些常用软件出现故障等情况。如果局域网中是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启计算机或在命令提示符窗口中输入命令“arp–d”后,又可恢复上网。一般来说,遭遇ARP欺骗攻击后,就会出现上面介绍的几种情况,但如果情况严重的话,还可能导致整个网络的瘫痪。
使用局域网的一些用户遇到上面的情况时,常常认为PC没有问题,交换机也没有掉线的“本事”。而且如果用户遭遇ARP欺骗攻击的类型是对路由器ARP表的欺骗,那么,只要用户重新启动路由器,就能使网络恢复正常。
这样,用户就会认为造成断网的罪魁祸首就是路由器。其实不然,通过上面的分析,知道造成这种现象的原因其实就是受到ARP欺骗攻击。
另外,一旦计算机中的ARP欺骗木马发作时,除了会使局域网内的计算机出现以上现象外,攻击者还会利用该木马窃取用户的密码,如盗取QQ密码、各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,会给用户造成了很大的不便和巨大的经济损失。
10。2。5ARP欺骗攻击原理
由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通C,这就是ARP欺骗。
ARP欺骗容易造成客户端断网,进行数据嗅探。从影响网络连接通畅的方式来看,ARP欺骗可以分为两种:一种是对路由器ARP表的欺骗,另一种是对内网PC的网关欺骗。
下面分别介绍这两种ARP欺骗的原理。
1。对路由器ARP表的欺骗
对路由器ARP表的欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址。由于网关MAC地址错误,所以从网络中计算机发来的数据无法正常发到网关,自然也就无法正常上网。
2。对内网PC的网关欺骗
对内网PC的网关欺骗的原理是伪造网关。也就是说,这种ARP欺骗会先建立假网关,让被它欺骗的PC向这个假网关发送数据,而不是通过正常的路由器途径上网。这样,内网的PC就会认为上不了网。
10。2。6ARP欺骗的过程
下面以某网络中的ARP欺骗攻击为例,介绍ARP欺骗的过程。
假设某局域网内的交换机连接了3台计算机,分别为计算机A、B、C。其中A的IP地址为192。168。0。6,MAC地址为00…1E…8C…17…BO…8B,B的IP地址为192。168。0。9,MAC地址为00…e0…4c…00…53…e8,C的IP地址为192。168。0。12,MAC地址为00…15…58…89…f7…b1。
在未受到ARP欺骗攻击之前,在计算机A中打开命令提示符窗口,运行命令“arp…a”查询ARP缓存表,应该出现如下信息:
Interface:192。168。0。7——020002
InterAddressPhysicalAddressType
192。168。0。1200…15…58…89…f7…b1dynamic
在计算机B上运行ARP欺骗程序,向A发送一个自己伪造的ARP应答,而这个应答中的数据则是C的IP地址192。168。0。12,MAC地址是08…00…2E…73…2D…BA(C的MAC地址原本是00…15…58…89…f7…b1,这里是伪造的MAC地址)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存。A不知道这个应答是从B发送过来的,A这里只有192。168。0。12(C的IP地址)和无效的08…00…2E…73…2D…BA(伪造的MAC地址)地址。
当计算机A受到ARP欺骗攻击后,再在计算机A上运行“arp…a”命令来查询ARP缓存信息,会发现此时的信息已出现错误,变成如下所示的信息:
Interface:192。168。0。7——020002
InterAddressPhysicalAddressType
192。168。0。1208…00…2E…73…2D…BAdynamic
通过上述信息可以看出,在使用网络传输数据时,虽然都是通过IP地址传输的,但最后还需要通过ARP协议进行地址转换,将IP地址转换为MAC地址。
而上面实例中的计算机A接收到的关于计算机C的MAC地址已经发生错误,所以就算以后从计算机A访问计算机C的这个IP地址,也会被ARP协议解析成错误的MAC地址08…00…2E…73…2D…BA(伪造的MAC地址)。
10。2。7用“P2P终结者”控制局域网
“P2P终结者”是一款局域网控制软件,它的主要功能就是控制和限制同一个局域网内其他的上网用户,比如,限制他人上QQ,不让他人浏览网页和下载资料。只要和你在同一局域网内的计算机用户,都可以控制他,而且只要在电脑上安装运行“P2P终结者”就可以达到前面所述的功能。需要注意的是,“P2P终结者”本身是黑客软件,因此,在使用前,需要关闭本地电脑的防火墙,包括ARP防火墙。
下面了解一下用“P2P终结者”控制局域网的方法。
步骤01在计算机中安装并运行“P2P终结者4。13”,会自动打开【系统设置】对话框,进入软件配置界面(在使用软件之前要先进行配置)。在“请选择连接到待控制网段的网卡”下拉列表中选择自己连接网络所用的网卡,此时下面就会显示网卡的当前IP地址、子网掩码、MAC地址和网关地址等内容。
步骤02切换到【控制设置】选项卡,在其中选中“本软件启动后自动开启控制网络”复选框;为防止新接入主机不受控制,需勾选“发现新主机自动对其进行控制”复选框;为了避免被其他人安装的ARP防火墙探测到正在使用P2P终结者,还需勾选“启用反ARP防护墙追踪模式”复选框。在选中之后,对方ARP防火墙将无法发现ARP攻击IP地址,但是依然能够顺利的阻挡P2P终结者的控制。
步骤03单击【确定】按钮,返回P2P终结者4。13的主界面中。在界面上方单击【启动控制】按钮,即可启动控制服务。
步骤04单击【扫描网络】按钮,稍等片刻后,即可自动显示本网络内正在工作的计算机,从主机列表中可以清楚的看到局域网中每台主机的带宽使用情况。
如果想要主机列表中某一用户的网速,可按照下面的步骤进行操作。
步骤01先创建一个时间计划,也就是设置在什么时间段运行什么规则。在左侧选择“系统设置→时间计划设置”选项,即可打开【时间计划设置】对话框。
步骤02单击【新建】按钮,即可弹出【时间计划】对话框。在“请输入时间计划名称”文本框中输入计划名称,并在下面选中想要生效的时间段。
步骤03创建该时间计划对应的控制规则。在主界面的左侧选择“系统设置→控制规则设置”选项,即可打开【控制规则设置】对话框。
步骤04单击【新建】按钮,即可打开【规则名称】对话框。在“请输入一个规则名称”文本框中输入规则名称,并在“请为规则选定一个时间计划”下拉列表中选择一个时间计划,这里选择刚才创建的时间计划。
步骤05设置宽带限制数值。单击【下一步】按钮,在弹出的【带宽限制】对话框中设置带宽限制数据。
【提示】
默认情况下,2MADSL宽带下行速度是512KB/S,这里推荐限制为50K
B/S,否则在2MADSL宽带中相当于没有限制。
步骤06设置P2P下载限制。单击【下一步】按钮,在弹出的【P2P下载限制】对话框中可以看到包含了下载工具、网络视频工具等使用带宽较多的软件,在其中选择要限制的P2P下载。
步骤07设置即时通讯限制。单击【下一步】按钮,在弹出的【即时通讯限制】对话框中可以选择希望限制的即时通讯工具,如QQ、飞信等。
步骤08限制使用IE直接下载文件的类型。单击【下一步】按钮,在【普通下载限制】对话框中可以添加要进行限制下载的文件类型。
步骤09单击“请输入您希望禁止HTTP下载的文件后缀名”列表框右侧的【添加】按钮,在【文件扩展名输入】对话框中输入要添加的文件后缀名,如exe。
步骤10按照同样的方法,添加其他要禁止HTTP下载的文件后缀名,如zip、rar等,然后单击【确定】按钮,返回【普通下载限制】对话框中。在其中可看到添加的禁止HTTP下载的文件后缀名。
步骤11设置访问限制。单击【下一步】按钮,在弹出的【访问限制】对话框中可以设置访问限制(网页浏览限制)。若选择“使用规则限制访问”选项,则可以设置能够浏览或不能浏览的网址的白/黑名单,还可以让被控主机无法浏览网页。
步骤12设置ACL规则。单击【下一步】按钮,在弹出的【ACL规则设置】对话框中单击【新建】按钮,在其中可以自定义设置需要控制的协议类型及端口范