推荐:SSClone非ARP会话劫持原理分析

前两天买的过期杂志上看到的一款软件，刚开始还没注意，后来就恨自己杂志买晚了。（今年3月份的《黑客防线》）
那个神奇的软件，就像我标题上说的，叫SSClone，解释起来就是：Switch Session Clone，也就是“交换机会话克隆”（纯字面翻译，纯的～ ）。

这个软件有什么用？其特点就是可以不通过传统的ARP欺骗方法，来实现局域网内的会话监听、劫持、复制等操作。（其实这个软件本身是用来会话复制的，也就是拦截客户机发送给网关的数据包，如果拦截网关发送给客户机的数据包，那么就是会话劫持了。）
因为采用了非ARP欺骗的技术，结果不用测试都可想而知，所有的ARP防火墙都对它不起作用。（废话了，ARP防火墙就是拦截ARP的，没有ARP数据包有个鸟用啊，哈哈）

今天自己组建了一个小环境，做了测试，具体环境如下：
一台傻瓜交换机（就是不可管理的），一台笔记本（作为被攻击者），一台服务器（作为发动攻击者），还有一个网关（局域网通过NAT网关上网）。
笔记本、服务器和网关通过那个傻瓜交换机连接。科来分析系统部署在服务器上，只捕获服务器本机网卡收发的数据包……
服务器的地址：192.168.1.27  （00 D0 68 06 22 74）
笔记本的地址：192.168.1.100  （00 11 5B CD E8 46）
网关的地址：192.168.1.1  （00 0A EB DA 06 E0）

具体的环境介绍完了，下面我们开始分析攻击的过程。

1、首先看看抓包后分析的网关MAC下的IP地址，除了网关自己的内网IP，还有一个192.168.1.42，呵呵，只要对自己网络心中有数的管理员，都会觉得不正常吧！

2、我们打开了SSClone，开始搜索局域网内的所有IP地址。程序发出大量的ARP数据包查询局域网中存活的主机。
这时可以看出，发送这些ARP请求的是操作者的真实主机，也就是说，如果要找用此程序捣乱的人，可以在此下手。

3、我们看到，笔记本（192.168.1.100）回答了这个请求。

4、在扫描结束后几秒钟，我们开始对笔记本的数据包进行劫持。

5、现在可以看到，攻击者的计算机正在冒用网关的MAC地址以及一个假IP，向外发送数据包。也就是向交换机宣称，攻击者所在的端口对应的是网关的MAC，在真正的网关发送一个数据包，或攻击者再次发送一个伪造数据包之前，这个错误的映射关系（网关MAC<——>攻击者端口）将一直存在。