ARP Sinffer用户攻防实例详解以及关于ARP病毒造成断网的处理方法

         ARP攻击是近几年黑客界才兴起来的一个在局域网络内部实施的攻击手段，通常利用安装arp-sniffer工具，捕捉如帐户密码，ftp用户名，用户密码这样有价值的信息。这种攻击手段属于网络渗透攻击的范畴。子明分别以攻击和解决两个实例来帮助大家了解ARP欺骗攻击的本质，目的是为广大51CTO网友提供一些有价值的参考资料。

　　大家都知道，真正的网络攻击80%-90%都发生自内网中，也就俗称的内网攻击，一般黑客的惯用手法一般不亚于以下几个步骤：踩点、扫描、查点、攻击、系统提权、内网嗅探、得到情报或资源、毁机灭证、隐匿山林。

　　一、攻击实例

　　为了更好的让大家知道如何实施ARP攻击，下面给大家介绍一个实际的攻击例子，目的是为了更好的防范ARP攻击：

　　首先打开web站点，看服务器的操作系统是Windows还是Unix的，目的是要决定采用何种方式攻击，一般大多数网管为了维护方便都是采用Win2k和Win2003来做操作系统的，所以这里就以Windows系统为例，给大家展现如何利用ARP攻击站点。

　　踩点和扫描

　　应用Windows系统的Web服务器的代码结构多数都是asp加mssql，这些都存在sql injection隐患。主要是通过注射工具，假如是db-own的，可以通过配置黑客字典来跑用户名和密码，假如有论坛的话，看是否存在漏洞，假如存在就通过一句话木马来获得webshell，也可以通过老的扫描思路，利用x-scan，superscan等工具来查看对方主机开放了那些端口，得知该主机提供了那些服务，通过xscan的漏洞库比对，判定是否存在安全漏洞。

　　查点、攻击和系统提权
　　
　　利用whois查点，得到该空间使用者的情况，用户名，联系方式，邮件列表，为社会工程做好铺垫。通过nslookup命令来查看邮件服务器信息，多数还是通过端口扫描来获得有价值的信息。假如对方用的软件存在缓冲区溢出的话，通过一些地下站点或安全站点公布的exp来做攻击，经过exp攻击，拿下主机权限。

　　内网嗅探和盗取资料

　　安装后门软件，通过注册表或输入命令把自己添加到admin group组中，接着上传nc（一个黑客工具）打开mstsc服务（3389服务），在命令行输入net user命令查看当前是否有治理员在线。安装winpcap软件，新版的winpcap不需要再重新启动就可以用，安装arp sniffer进行网络嗅探，我们这里简单介绍下arp siniffer的使用方法，在cmd（命令行）下输入arpsniffer ip1 ip2 logfile netadp /reset。这里ip1是指的该局域网网关 ip2指的是目标ip地址，logfile是保存嗅探得到的用户名和密码的一个本地文本文件，通过嗅探网关ip来捕捉局域网的用户名和密码，利用反弹木马把资料下到自己的机器上面。

　　以上就是整个ARP入侵嗅探攻击思路，非常简单，但思路是死的，人是活的，这里我只是简单介绍了最普通的入侵思路，还有其他很多入侵手段，我也不再一一列举，但万变不离其中，假如你能明白我举的这个例子，那其他的无非是用不同的手段实现踩点、扫描、查点、攻击、系统提权、内网嗅探、盗取资料等过程。

　　二、解决实例

　　对51CTO广大网友来说，了解如何攻击并不是目的，还是那句话，如何解决问题才是我们应该学习的，下面就再举一个例子说明，碰到ARP入侵攻击，应该如何解决，解决后应该怎样防范。

　　受攻击现象

　　2006年8月23日，下午4点，嫂子打来电话说她们教育学院的网络遭受了攻击，很多老师的机器上不去网，邮件也无发正常收发，一直提示IP地址冲突，交换机上的黄灯也是常亮不灭。这情况明显是有大量的数据包冲击网络。

　　了解网路拓扑结构很重要

　　根据嫂子的描述，我画出了网络拓扑图，并根据交换机部署和网络层次划分结构，判定故障影响的网络范围。这些看似没有用，其实是必须要做的分析，目的是合理的判定攻击原因和 方便查找攻击源头，以便彻底解决问题。