扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
前两天买的过期杂志上看到的一款软件,刚开始还没注意,后来就恨自己杂志买晚了。(今年3月份的《黑客防线》)
那个神奇的软件,就像我标题上说的,叫SSClone,解释起来就是:Switch Session Clone,也就是“交换机会话克隆”(纯字面翻译,纯的~ )。
这个软件有什么用?其特点就是可以不通过传统的ARP欺骗方法,来实现局域网内的会话监听、劫持、复制等操作。(其实这个软件本身是用来会话复制的,也就是拦截客户机发送给网关的数据包,如果拦截网关发送给客户机的数据包,那么就是会话劫持了。)
因为采用了非ARP欺骗的技术,结果不用测试都可想而知,所有的ARP防火墙都对它不起作用。(废话了,ARP防火墙就是拦截ARP的,没有ARP数据包有个鸟用啊,哈哈)
今天自己组建了一个小环境,做了测试,具体环境如下:
一台傻瓜交换机(就是不可管理的),一台笔记本(作为被攻击者),一台服务器(作为发动攻击者),还有一个网关(局域网通过NAT网关上网)。
笔记本、服务器和网关通过那个傻瓜交换机连接。科来分析系统部署在服务器上,只捕获服务器本机网卡收发的数据包……
服务器的地址:192.168.1.27 (00 D0 68 06 22 74)
笔记本的地址:192.168.1.100 (00 11 5B CD E8 46)
网关的地址:192.168.1.1 (00 0A EB DA 06 E0)
具体的环境介绍完了,下面我们开始分析攻击的过程。
1、首先看看抓包后分析的网关MAC下的IP地址,除了网关自己的内网IP,还有一个192.168.1.42,呵呵,只要对自己网络心中有数的管理员,都会觉得不正常吧!
2、我们打开了SSClone,开始搜索局域网内的所有IP地址。程序发出大量的ARP数据包查询局域网中存活的主机。
这时可以看出,发送这些ARP请求的是操作者的真实主机,也就是说,如果要找用此程序捣乱的人,可以在此下手。
3、我们看到,笔记本(192.168.1.100)回答了这个请求。
4、在扫描结束后几秒钟,我们开始对笔记本的数据包进行劫持。
5、现在可以看到,攻击者的计算机正在冒用网关的MAC地址以及一个假IP,向外发送数据包。也就是向交换机宣称,攻击者所在的端口对应的是网关的MAC,在真正的网关发送一个数据包,或攻击者再次发送一个伪造数据包之前,这个错误的映射关系(网关MAC<——>攻击者端口)将一直存在。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。