利用ARP欺騙突破防火牆

4 人贊了文章

說起ARP欺騙手段，我相信大家都一定很熟悉吧！在網上也常常看到一些防火牆，聲稱能夠防範內網的ARP欺騙,，對ARP欺騙束手無策，那麼防火牆到底能不能防範內網的ARP欺騙呢！接下來我就通過一個實驗來和大家詳細解說一下吧！

網路執法官是一款很強的網路管理軟體，它可以穿透防火牆，實時監控記錄整個區域網用戶上線情況，可限制各用戶上線時所用的IP時段，並將非法用戶提下區域網。

首先我們需要在一號主機上安裝和網路執法官，然後運行網路執法官，選擇好網卡，添加IP地址，子網掩碼以及要監控的網段範圍，然後確定，程序將自動找出網段里所有的主機。

在2號主機上安裝好防火牆，將防火牆運行，我們在來到一號主機，對2號主機進行ARP欺騙，看看2號主機還能不能上網，防火牆一點反應都沒有，打開個網頁試試看，你就會發現它打不開了。

防火牆一般都是工作在網路層，並且所有的防火牆都具有IP地址過濾功能，這項任務要檢查ip包頭，根據前一批原地址和目標地址作出放行丟棄決定，但是這項功能在內，網裡使用就顯得有些被動，因為內網的ARP不像外網一樣，是電信或網通分配的，而是可以根據自身的需要修改的，再說防火牆只認可IP地址，，不認可MAC號碼。就憑這一點ARP欺騙就可以實現了，還有ARP協議工作在數據鏈路層，防火牆和ARP工作在兩個不同的層，所以在內網裡很容易實現冒充他人的合法IP突破防火牆，訪問對方主機。

一號主機IP地址為192.168.0.22，2號主機IP地址為192.168.0.94，說不讓怎麼辦？主機IP地址為192.168.0.185。我們先來給2號主機的防火牆安裝一個IP埠規則，只允許IP，192.168.0.185，訪問主機21.23.3389埠通過，點擊ip埠規則，增加IP規則，名稱可以隨便填一個，數據包方向選擇接收，協議類型選擇TCP,IP地址從192.168.0.185到192.168.0.185，只有一個IP地址埠填寫為3389，規則動作選擇為通行，接下來我們再把21和23埠也添加進去，操作步驟和之前一樣，當然之前要在2號主機上開放這些埠。

現在防火牆已經設置完成了，下面我們需要打開CMD，給3號主機發送一個ICMP包，再用ARP-A命令查看一下目前二號主機ARP緩存表的情況。

當前IP為192.168.0.182，MAC為00-60-08-1c-2d-3d,在防火牆的配置里只要IP地址為192.168.0.185的主機訪問蹦極的21.23.3389埠都是可以通過的。不管那個IP地址是不是非法用戶可以偽裝的，區域網的網路流通不是靠一批地址來傳輸的，而是通過MAC地址進行通信的，和防火牆的通信原理恰恰相反，既然知道了這個原理，下面我們只需要想辦法讓192.168.0.185死機或者關機，然後將一號主機的IP修改為192.168.0.185，但是如果現在直接去連接2號主機的話，可能會連接不上，因為現在2號主機的ARP換成表還存在著原主機的IP地址和MAC號，通常2號主機在向3號主機發送一個IP包之前，他要到該ARP標中尋找和IP包相對應的MAC地址，五，如果發往3號主機的IP包沒有被應答，則系統就開始更新自身的ARP表，將3號主機的IP和MAC地址去掉，在校2號主機發送一個ICMP包。要求2號主機更新自身的ARP表，於是主機找到該批更新自己的ARP表將新IP和MAC地址加進去。

這樣他的防火牆就會被突破的。其實防火牆本身也存在很多不足之處，你就拿ARP欺騙來說吧,目前網上流行的防火牆很少有擋得住的。

本文來自 危險漫步博客 轉載請註明；

本文地址：http://www.weixianmanbu.com/article/945.html

推薦閱讀：