常见的网络攻防技术_网络攻防软件的工作原理

hacker|
221

网络攻防是什么原理?复杂吗?

就是找系统漏洞进行入侵,简单点说就是写病毒的和杀毒软件的比赛

为什么内网的人用网络管理软件可以禁止我上网,这是通过什么原理进行的,如何阻止

反击网络执法官

作为管理软件的“网络执法官”已经流行一段时间了,对于深受其害的小菜们一定对他非常痛恨,今天我们以网管及被管理者的身份说说该软件的执法过程、突破过程。首先我们先看一下网络上对“网络执法官”的描述:可以在局域网中任意一台机器上运行网络执法官的主程,它可以穿透防火墙、实时监控、记录整个局域网用户上线情况,可限制各用户上线时所用的IP、时段,并可将非法用户踢下局域网。该软件适用范围为局域网内部,不能对网关或路由器外的机器进行监视或管理!

因为在网络上传闻它可以穿透防火墙,真是吓了我一大跳,但在软件方有没有这种说法,我就不清楚了,可能是一些拥护者把他神圣化了,于是俺开始研究他如何穿透防火墙的。读完此文您也就知道“穿透防火墙是怎么实现的”。

其实“络网执法官”是通过ARP欺骗来达到管理目的,网络关于ARP欺骗的文章很多,不太清楚的可以去搜索一下。其实“络网执法官”只不过是一个很普通的管理软件,其功能虽说更全面、更稳定但也和其它软件没有什么本质上的分别。要想知道他是怎么管理所在网段而不让所管理的工作站上网,这还要追寻到网络通信原理上面。因为此软件主要特性是建立在数据链路层,所以其它我就将他简化了,图表一是IOS七层参考模型主要功能。

网络基础:物理层、数据链路层、网络层

使用者方面:传输、会话、表示及应用层

我们知道,我们的通信是和网络的七层协议密切相关的,以下我们虚拟一个局域网,来讲解网络通信过程及“网络执法官”的管理过程。当我们在七层协议最上层,主机A想和其它主机通信,比如telnet到主机B,各层都为数据打包后在封装自己能识别的数据标签,我们只说四层以下的通信过程,如图二。

1、当数据包到达传输层,由于telnet使用TCP协议,传输层将上层传过来的数据不变在封装TCP的包头以便目标主机可以正确解包,继续向下层(网络层)传递。

2、网络层同样不会改变之前的数据包,当然也包括之前的任何头文件,首先主机A要对目标主机作判断,他会用自己的IP地址和自己的子网掩码进行与运算结果是172.16.12.0,然后在拿自己的掩码和主机B的IP地址作与运算,结果是172.16.12.0,这个时候他知道他们在同一网段内,这时他会封装自己的IP及目标的IP地址,同上层传下来的数据一下向下传。

3、数据链路层其实包括两个子层,一是LLC子层另一个是MAC子层。我们知道在以太网中通信是物理寻址的,在这层中会封装自己的MAC地址及对方的MAC地址。当然用户是没有通知他MAC地址是多少的,这时主机会查自己的缓存表,看有没有主机B的MAC地址,如果有就封装,否则他会发一个ARP的地址解析广播包,该包只会存活在该网段并且以打了标签,虽说所有的主机都可以收到该广播包,但只会传递到该主机的数据链路层,更确切的说传递到了数据链路层的高层就给丢弃了。

4、接着该数据会从我们的网线等传输介质传出去,主机B当收到数据的时候进行相同的工作但是作相反的操作,我相信不用解释太多您能明白,如图三所示。

以上是简单的描述了一下两台主机的数据传输过程,说了半天也没说到“络网执法官”是怎么可以不让我们上网的,其实我们局域网的工作站想通过代理服务器上公网的数据包和以上就有点不同了,其实明白了上面的我们就很容易了解工作站去公网的数据包是怎么走的了。

话说主机A想去黑X官方网站,数据在传输到网络层的时候在这个时候呢他会用自己的IP和自己的子网掩码进行与结果是172.16.12.0,然后在拿自己的掩码和黑X官方网站的IP与运算(黑X的IP地址由DNS得到),结果为61.152.251.0发现不在同一个网段,注意:这时也是用自己IP和目标IP进行封装,然后向下层传递。在数据链路层这时就不会封装黑X的MAC地址,他也不知道MAC地址是什么,这时他会封装网关的MAC地址,而让网关将数据转发出去。同时在网关收到数据时候,他会查看目标IP地址,当然不是他自己的IP地址了,所以他知道这个数据发是要由他路由出去的,然后把数据包发给了他的邻居或网络运营商的路由器上去,重复以上动作,在TTL值为0之前将数据传递给黑X官方网站,数据传递成功!

至于“网络执法官”为什么可以根据网卡的MAC剥夺我们上网的权力呢!由于“网络执法官”利用ARP欺骗的原理,他会持续不断的发低速的ARP广播包,他主要是欺骗该PC机的第二层设备,使得该主机迷失正确的MAC地址,使第二层功能失效。该软件管理有如下症状:

1、主机无法访问internet,而局域网功能没问题,是由于ARP歪曲的通告一个伪网关MAC地址,使用户机器无法找到真正网关的MAC地址,当然在数据链路层就封装错误了。

2、无法访问internet、无法使用局域网功能(一般网管不会这么做,只会对付受限制用户的手法),这种情况是运行“网络执法官”的主机欺骗了所有局域网中同网段主机,使所有主机歪曲的记录了被管理的主机的MAC地址,同样被管理的主机也会错误的记录到其它主机的MAC地址,导致如上结果。

3、无法访问internet、无法使用局域网功能、桌面上常常弹出“IP地址冲突”的字样(一般受限制用户也不会有此待遇),这种是一个典型的“IP地址争夺游戏”。

在针对这种以MAC地址+IP地址来管理我们的网络管理软件,在对付第一种限制时,局域网无限制。网上有种方法就是用http、sock代理,就是给同网段一台机器上安装相应的软件,起到可以上网的办法!但是您说这种方法可行吗?图四给你结论,当网管发现后会继续封杀!一般网管不用发现该方法也是不可行的,比如:你看到一件事物是假的,你用看到的事物在去思考当然也是假的。

还有一种方法,就是改MAC地址,当然,这种方法是从原理上把这种软件控制功能给搞定了,但是您别忘了这个公司除了网络管理软件还有网管本人呢!他会根据您的IP地址及计算机名继续封杀。小菜问了:“我改了计算机名、IP地址、MAC地址那不就OK了吗?”常理说这种方法是一定行的,但是一个合理规划的网络是不会让你随意更改以上各种设置的。比如公司30台主机,网关的设置是192.168.1.1/27,看你怎么改,当网管工作不认真的时候告诉您,你暂时胜了,要是遇到我哈哈……。如果网管也是个小菜完全可以用这个方法以达到上网的目的,但是这个时候在“网络络执法官”的主界面中会多出一个用户来。

在网络上呼声最高的一种,暴力解决,拿个比管理软件频率更高的ARP软件和网管(频率达到几千个Frame/秒)对攻,更有甚者提倡用网络执法官VS网络执法官,这种方法是最可笑的,因为软件设计中为了保护网管不被攻击而设置了“友邻用户”他们可以相互发现但不能相互管理,这是我说为什么这种方法可笑的原因。另外在“日志”中可以查到友邻用户的记录,如果被网管查到是你在搞鬼,我相信你的这个月的奖金没了!

静态MAC地址突破管理,arp –d、arp –s等命令把ARP高速缓存改成ARP静态缓存,这种对于只限制了internet的功能,并且网络执法官是安装在网关上是行之有效的,如果软件没有安装在网关上嘿嘿……还是不行。(小菜:那么我们就没办法上网了吗?)当然不是,一种方法只能保证TCP连接可以通信,就是自己用静态ARP缓存,并且不断的向网关及其它主机发送正确自己的MAC地址信息,可以保证上internet的TCP正常连接,注:TCP有错误检测机制,可以重传!当然,如果网管是一个非常狡猾而且卑鄙的话,还会在一分钟内把你踢出局!

看网络执法官很厉害吧!大家一定以为我在为这款软件作广告,其实是想告诉大家不同的管理方法我们要用不同的对策,攻防中才有进步嘛!我在来看看他的管理范围如图四,他的管理%

所谓的黑客攻防是通过什么实现的呢?

黑客攻防:攻击基本原理与防范技术据统计,在所有黑客攻击事件中,SYN攻击是最常见又最容易被利用的一种攻击手法。相信很多人还记得2000年YAHOO网站遭受的攻击事例,当时黑客利用的就是简单而有效的SYN攻击,有些网络蠕虫病毒配合SYN攻击造成更大的破坏。本文介绍SYN攻击的基本原理、工具及检测方法,并全面探讨SYN攻击防范技术。

中文名

黑客攻防

外文名

Hacker attack and defense

介绍

SYN攻击基本原理工具及检测方法

tcp握手协议

采用三次握手建立一个连接

在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接。

第一次握手:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SEND状态,等待服务器确认;

第二次握手:服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个SYN包(syn=k),即SYN+ACK包,此时服务器进入SYN_RECV状态;

第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(ack=k+1),此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手。

完成三次握手,客户端与服务器开始传送数据,在上述过程中,还有一些重要的概念:

未连接队列:在三次握手协议中,服务器维护一个未连接队列,该队列为每个客户端的SYN包(syn=j)开设一个条目,该条目表明服务器已收到SYN包,并向客户发出确认,正在等待客户的确认包。这些条目所标识的连接在服务器处于Syn_RECV状态,当服务器收到客户的确认包时,删除该条目,服务器进入ESTABLISHED状态。

Backlog参数:表示未连接队列的最大容纳数目。

SYN-ACK 重传次数 服务器发送完SYN-ACK包,如果未收到客户确认包,服务器进行首次重传,等待一段时间仍未收到客户确认包,进行第二次重传,如果重传次数超过系统规定的最大重传次数,系统将该连接信息从半连接队列中删除。注意,每次重传等待的时间不一定相同。

半连接存活时间:是指半连接队列的条目存活的最长时间,也即服务从收到SYN包到确认这个报文无效的最长时间,该时间值是所有重传请求包的最长等待时间总和。有时我们也称半连接存活时间为Timeout时间、SYN_RECV存活时间。

SYN攻击原理

SYN攻击属于DOS攻击的一种,它利用TCP协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。SYN攻击除了能影响主机外,还可以危害路由器、防火墙等网络系统,事实上SYN攻击并不管目标是什么系统,只要这些系统打开TCP服务就可以实施。从上图可看到,服务器接收到连接请求(syn=j),将此信息加入未连接队列,并发送请求包给客户(syn=k,ack=j+1),此时进入SYN_RECV状态。当服务器未收到客户端的确认包时,重发请求包,一直到超时,才将此条目从未连接队列删除。配合IP欺骗,SYN攻击能达到很好的效果,通常,客户端在短时间内伪造大量不存在的IP地址,向服务器不断地发送syn包,服务器回复确认包,并等待客户的确认,由于源地址是不存在的,服务器需要不断的重发直至超时,这些伪造的SYN包将长时间占用未连接队列

局域网病毒入侵原理及防范方法

教你一个ARP防攻方法,简单、容易操作,不用任何防攻软件,可以现学现教。可以拿这个去教你的学生。

ARP攻击原理:调用系统里的npptools.dll文件。

网络执法官、彩影arp防火墙等ARP攻防软件也用这个,如果你把这个DLL文件删除了,之后随便弄个DLL改名为npptools.dll即可。

如果C盘是NTFS分区格式就把权限都去掉,如果是FAT格式弄个只读就可以了。

防攻击文件:C:\WINDOWS\system32\ npptools.dll

处理方法:新建一个空文本文档,改名为npptools.dll然后把它复制到system32文件夹里,覆盖原有的npptools.dll,如果没关闭文件保护,先关闭。再把system32\dllcache里的npptools.dll也覆盖了,然后把它们的属性改为只读、隐藏,最后再把它们的everyone权限都去掉,即可!

npptools.dll文件的属性改为只读、隐藏后,再把它们的everyone的权限去掉,病毒就不能替换也不能使用它了,arp就不会起作用,从而达到防范ARP的目的。

0条大神的评论

发表评论