利用ARP欺騙突破防火牆

利用ARP欺騙突破防火牆

4 人贊了文章

說起ARP欺騙手段,我相信大家都一定很熟悉吧!在網上也常常看到一些防火牆,聲稱能夠防範內網的ARP欺騙,,對ARP欺騙束手無策,那麼防火牆到底能不能防範內網的ARP欺騙呢!接下來我就通過一個實驗來和大家詳細解說一下吧!

網路執法官是一款很強的網路管理軟體,它可以穿透防火牆,實時監控記錄整個區域網用戶上線情況,可限制各用戶上線時所用的IP時段,並將非法用戶提下區域網。

首先我們需要在一號主機上安裝和網路執法官,然後運行網路執法官,選擇好網卡,添加IP地址,子網掩碼以及要監控的網段範圍,然後確定,程序將自動找出網段里所有的主機。

在2號主機上安裝好防火牆,將防火牆運行,我們在來到一號主機,對2號主機進行ARP欺騙,看看2號主機還能不能上網,防火牆一點反應都沒有,打開個網頁試試看,你就會發現它打不開了。

防火牆一般都是工作在網路層,並且所有的防火牆都具有IP地址過濾功能,這項任務要檢查ip包頭,根據前一批原地址和目標地址作出放行丟棄決定,但是這項功能在內,網裡使用就顯得有些被動,因為內網的ARP不像外網一樣,是電信或網通分配的,而是可以根據自身的需要修改的,再說防火牆只認可IP地址,,不認可MAC號碼。就憑這一點ARP欺騙就可以實現了,還有ARP協議工作在數據鏈路層,防火牆和ARP工作在兩個不同的層,所以在內網裡很容易實現冒充他人的合法IP突破防火牆,訪問對方主機。

一號主機IP地址為192.168.0.22,2號主機IP地址為192.168.0.94,說不讓怎麼辦?主機IP地址為192.168.0.185。我們先來給2號主機的防火牆安裝一個IP埠規則,只允許IP,192.168.0.185,訪問主機21.23.3389埠通過,點擊ip埠規則,增加IP規則,名稱可以隨便填一個,數據包方向選擇接收,協議類型選擇TCP,IP地址從192.168.0.185到192.168.0.185,只有一個IP地址埠填寫為3389,規則動作選擇為通行,接下來我們再把21和23埠也添加進去,操作步驟和之前一樣,當然之前要在2號主機上開放這些埠。

現在防火牆已經設置完成了,下面我們需要打開CMD,給3號主機發送一個ICMP包,再用ARP-A命令查看一下目前二號主機ARP緩存表的情況。

當前IP為192.168.0.182,MAC為00-60-08-1c-2d-3d,在防火牆的配置里只要IP地址為192.168.0.185的主機訪問蹦極的21.23.3389埠都是可以通過的。不管那個IP地址是不是非法用戶可以偽裝的,區域網的網路流通不是靠一批地址來傳輸的,而是通過MAC地址進行通信的,和防火牆的通信原理恰恰相反,既然知道了這個原理,下面我們只需要想辦法讓192.168.0.185死機或者關機,然後將一號主機的IP修改為192.168.0.185,但是如果現在直接去連接2號主機的話,可能會連接不上,因為現在2號主機的ARP換成表還存在著原主機的IP地址和MAC號,通常2號主機在向3號主機發送一個IP包之前,他要到該ARP標中尋找和IP包相對應的MAC地址,五,如果發往3號主機的IP包沒有被應答,則系統就開始更新自身的ARP表,將3號主機的IP和MAC地址去掉,在校2號主機發送一個ICMP包。要求2號主機更新自身的ARP表,於是主機找到該批更新自己的ARP表將新IP和MAC地址加進去。

這樣他的防火牆就會被突破的。其實防火牆本身也存在很多不足之處,你就拿ARP欺騙來說吧,目前網上流行的防火牆很少有擋得住的。

本文來自 危險漫步博客 轉載請註明;

本文地址:weixianmanbu.com/articl

推薦閱讀:

TAG:黑客Hacker | 計算機 | 網路安全 |