分享
分享赚钱 收藏 举报 版权申诉 / 14

类型盗用别人的IP上网.doc

  • 上传人:rav7596
  • 文档编号:8161261
  • 上传时间:2019-06-11
  • 格式:DOC
  • 页数:14
  • 大小:46KB
  • 配套讲稿:

    如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。

    特殊限制:

    部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。

    关 键  词:
    盗用别人的IP上网.doc
    资源描述:

    1、局域网内如何盗用别人的 IP 上网现在很多局域网都根据 IP 地址的不同,给不同 IP 地址分配不同资源;或则网内自己 ip由于一些原因被封掉,不能访问外网;这些时候可能我们可能就需要先借别人的 IP 用用了。下面分两种情况来介绍具体的方法:一、IP 地址没有和网卡地址帮定简单,设置换个 ip 地址就行了。换个你想用的得 IP,阿,不知道如何换? 我这里以windows2000为例,右键网上邻居,选属性, 右键本地连接,选属性,选 tcp/ip,属性然后就可以设置了。二、IP 地址和网卡地址 MAC 绑定在命令行里 ping 你想要到盗用的主机(根据 ip,别说你不知道),然后命令行里 arp

    2、 -a, Physical Address 地址里和他的 ip 对应的就是就是他的物理地址。 然后右键网上邻居,选属性, 右键本地连接,选属性,这个时候网卡标示下有个配制选项,点击选高级 然后设置 Network Address 为刚才的 Physical Address,接着参考上一种情况的方法 ip 设置成他的ip。这样你就已经 IP 和 MAC 地址都修改为你要盗用的机器的了,然后你就可以用他的 ip上网了.ISA Server 中没有提供对于 MAC 地址的控制功能,Why?这是因为 MAC 地址只能在本地网络中使用,当数据包跨越路由器时,数据包中主机的源 MAC 地址就会被路由器的出

    3、站接口的 MAC 地址所代替,这个时候,使用 MAC 地址来进行控制就不适用了。所以只要是企业级的硬件或者软件防火墙,都基本没有提供对 MAC 地址的控制功能。不过微软也早就考虑到了这点,在 Windows 中,如果你安装了 TCP/IP 网络协议组件,那么你就可以执行命令 ARP。ARP 命令的作用是查看本机的 ARP 缓存、静态绑定 IP 地址和MAC 地址和删除静态绑定项。其实绑定 IP 地址和 MAC 地址的本意是为了减少 ARP 广播流量,只是可以利用这一功能来控制 IP 地址的使用。在这里我还是先简单的描述一下 Windows 下 ARP 协议的工作原理。ARP 协议(Addres

    4、s Resolve Protocol,地址解析协议)工作在 TCP/IP 协议的第二层数据链路层,用于将 IP地址转换为网络接口的硬件地址(媒体访问控制地址,即 MAC 地址) 。无论是任何高层协议的通讯,最终都将转换为数据链路层硬件地址的通讯。每台主机都具有一个用于缓存 MAC 地址的 ARP 缓存列表,你可以使用命令 ARP -a 或ARP -g 来查看当前的 ARP 缓存列表。此 ARP 缓存列表是动态更新的,默认情况下,当其中的缓存项超过两分钟没有活动时,此缓存项就会超时被删除。你可以使用 ARP -s 来静态绑定 IP 地址和 MAC 地址,不过在 Windows server 20

    5、03和 XP 以前的 Windows 系统中,就算你设置了静态 MAC 地址绑定项,同样会通过接收其他主机的数据包而更新已经绑定的项。在 Windows server 2003和 XP 中,静态绑定的项不会被动态更新,直到 TCP/IP 协议终止为止,例如重启计算机。如果要创建永久的静态 MAC 地址绑定项,你可以写一个脚本文件来执行 ARP 静态绑定,然后使用计划任务在启动计算机时执行该脚本即可。例如 A 主机的 IP 地址为192.168.0.1,它现在需要与 IP 为192.168.0.8的主机(主机 B)进行通讯,那么将进行以下动作:A 主机查询自己的 ARP 缓存列表, 如果发现具有

    6、对应于目的 IP 地址192.168.0.8的 MAC地址项,则直接使用此 MAC 地址项构造并发送以太网数据包,如果没有发现对应的 MAC地址项则继续下一步;A 主机发出 ARP 解析请求广播,目的 MAC 地址是 FF:FF:FF:FF:FF:FF,请求 IP 为192.168.0.8的主机回复 MAC 地址;B 主机收到 ARP 解析请求广播后,回复给 A 主机一个 ARP 应答数据包,其中包含自己的IP 地址和 MAC 地址;A 接收到 B 主机的 ARP 回复后,将 B 主机的 MAC 地址放入自己的 ARP 缓存列表,然后使用 B 主机的 MAC 地址作为目的 MAC 地址,B 主

    7、机的 IP 地址(192.168.0.8)作为目的IP 地址, 构造并发送以太网数据包;如果 A 主机还要发送数据包给 192.168.0.8, 由于在 ARP 缓存列表中已经具有 IP 地址192.168.0.8的 MAC 地址,所以 A 主机直接使用此 MAC 地址发送数据包,而不再发送ARP 解析请求广播;当此缓存地址项超过两分钟没有活动(没有使用)后,此 ARP 缓存将超时被删除。默认情况下 ARP 缓存的超时时限是两分钟,你可以在注册表中进行修改。可以修改的键值有两个,都位于HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipP

    8、arameters修改的键值:键值1:ArpCacheLife,类型为 Dword,单位为秒,默认值为120键值2:ArpCacheMinReferencedLife,类型为 Dword,单位为秒,默认值为600注意:这些键值默认是不存在的,如果你想修改,必须自行创建;修改后重启计算机后生效。如果 ArpCacheLife 的值比 ArpCacheMinReferencedLife 的值大,那么 ARP 缓存的超时时间设置为 ArpCacheLife 的值;如果 ArpCacheLife 的值不存在或者比ArpCacheMinReferencedLife 的值小,那么对于未使用的 ARP 缓存

    9、,超时时间设置为120秒;对于正在使用的 ARP 缓存,超时时间则设置为 ArpCacheMinReferencedLife 的值。下图是我们的试验网络结构,ISA Server 作为一个边缘防火墙,内部局域网(192.168.0.0/24)通过 ISA Server 接入 Internet。在这个试验中,我将在 ISA Server 上绑定内部客户 True 的 IP 地址192.168.0.8和 MAC 地址,这样,当 True 不在线时,另外一个内部客户 Fake 就算修改自己的 IP 地址为 True 的 IP 地址192.168.0.8,也不能通过 ISA Server来上网。scr

    10、een.width*0.7) this.resized=true; this.width=screen.width*0.7; this.alt=Click here to open new windownCTRL+Mouse wheel to zoom in/out;“ border=0各计算机的 TCP/IP 设置如下,本次试验不涉及 DNS 解析,各服务器的 DNS 服务器设置为空,在试验之前已经确认了网络连接工作正常:ISA 2004 Firewall:LAN Interface:IP:192.168.0.1/24DG:NoneMAC:00:03:47:F4:FC:E7True(将离线)

    11、:IP:192.168.0.8/24DG:192.168.0.1MAC:00:0D:60:C3:05:34Fake(将修改 IP 地址为192.168.0.8):IP:192.168.0.8/24DG:192.168.0.1MAC:00:06:D0:06:05:47首先,我在 ISA Server 上使用 ARP -S 来绑定 True 的 IP 地址和 MAC 地址,运行命令:ARP -s 192.168.0.8 00-0D-60-C3-05-34然后执行 ARP -a 来查看 ARP 缓存列表,结果如下图所示。你可以看到在 ARP 缓存列表中IP 地址192.168.0.8的类型为 sta

    12、tic,这表明它是静态项。此时,我们在 ISA Server 上的绑定就成功了。screen.width*0.7) this.resized=true; this.width=screen.width*0.7; this.alt=Click here to open new windownCTRL+Mouse wheel to zoom in/out;“ border=0现在我们在客户机 Fake 上,将自己的 IP 地址修改为192.168.0.8,然后 Ping ISA Server:C:Documents and Settingsadminipconfig /allWindows IP

    13、ConfigurationHost Name . . . . . . . . . . . . : anonymousPrimary Dns Suffix . . . . . . . :Node Type . . . . . . . . . . . . : UnknownIP Routing Enabled. . . . . . . . : NoWINS Proxy Enabled. . . . . . . . : NoEthernet adapter 本地连接:Connection-specific DNS Suffix . :Description . . . . . . . . . . .

    14、 : Intel(R) PRO/100 VE Network ConnectionPhysical Address. . . . . . . . . : 00-06-D0-06-05-47Dhcp Enabled. . . . . . . . . . . : NoIP Address. . . . . . . . . . . . : 192.168.0.8Subnet Mask . . . . . . . . . . . : 255.255.255.0Default Gateway . . . . . . . . . : 192.168.0.1DNS Servers . . . . . . .

    15、 . . . . : 192.168.0.1C:Documents and Settingsadminping 192.168.0.1 -n 2Pinging 192.168.0.1 with 32 bytes of data:Request timed out.Request timed out.Ping statistics for 192.168.0.1:Packets: Sent = 2, Received = 0, Lost = 2 (100% loss),Ping 超时,Why?从 Sniffer 上捕获的数据包可以更清楚的进行说明:下图是捕获的数据包,它描述了 Fake(192.

    16、168.0.8) Ping 192.168.0.1的全部过程:screen.width*0.7) this.resized=true; this.width=screen.width*0.7; this.alt=Click here to open new windownCTRL+Mouse wheel to zoom in/out;“ border=0 resized=“true“由于 Fake(00:06:D0:06:05:47)没有192.168.0.1的 MAC 地址,所以 Fake 发送 ARP 地址解析请求广播,询问192.168.0.1的 MAC 地址是什么;ISA Server

    17、(00:03:47:F4:FC:E7)使用 ARP 应答回复 Fake(00:06:D0:06:05:47) ,告诉 Fake自己的 IP 地址(192.168.0.1)和 MAC 地址;获得192.168.0.1的 MAC 地址后,Fake(192.168.0.8)向192.168.0.1发送 PING 请求数据包;192.168.0.1向192.168.0.8回复 PING 回复数据包;Fake(192.168.0.8)再次向192.168.0.1发送 PING 请求数据包;192.168.0.1再次向192.168.0.8回复 PING 回复数据包;这一切看起来没有任何问题?那为什么 F

    18、ake 的 Ping 会超时呢?这一切从表明上看是没有任何问题,但是仔细看捕获的数据包的以太网头部,你就会发现问题所在:首先,我们看第三个数据包,Fake(192.168.0.8)向192.168.0.1发送的 Ping 请求,如下图所示,Fake 以自己的 MAC 地址为源 MAC 地址、192.168.0.1的 MAC 地址(00:03:47:F4:FC:E7)为目的 MAC 地址发送数据包,这没有任何问题。screen.width*0.7) this.resized=true; this.width=screen.width*0.7; this.alt=Click here to ope

    19、n new windownCTRL+Mouse wheel to zoom in/out;“ border=0 resized=“true“那么看看第四个 ISA Server 回复的 Ping 回复数据包呢,源 MAC 地址是 ISA Server 的MAC 地址(00:03:47:F4:FC:E7) ,这也没有问题,但是注意看目的 MAC 地址,00:0D:60:C3:05:34是离线的客户机 True 的 MAC 地址。还记得我们在 ISA Server 上做的 IP地址(192.168.0.8)和 MAC 地址绑定吗?ISA Server 直接使用自己 ARP 缓存中的静态绑定项来发送

    20、数据,而不是使用收到的 Ping 请求数据包中的源 MAC 地址来作为目的地址。因此,Fake 认为此数据包不是发给自己的,不会处理此数据包,所以认为没有 Ping 回复数据包,自然就是超时了。screen.width*0.7) this.resized=true; this.width=screen.width*0.7; this.alt=Click here to open new windownCTRL+Mouse wheel to zoom in/out;“ border=0 resized=“true“最后说一下,我不推荐大家使用静态 IP 地址和 MAC 地址的绑定,这会带来更多的

    21、管理负荷。你可以利用 ISA Server 强大的身份验证功能,结合 IP 地址来进行管理,这样具有更好的效果arp 命令使用详解(3)、路由器 ARP 表绑定设置视具体路由器而定。比如安庆教育网使用的是 Quidway Eudemon 500/1000防火墙。兼用路由器。他的命令是:# 配置客户机 IP 地址和 MAC 地址到地址绑定关系中。Eudemon firewall mac-binding 202.169.168.1 00e0-fc00-0100# 使能地址绑定功能。Eudemon firewall mac-binding enable二、电脑 ARP 绑定设置Windows 操作系

    22、统带有 ARP 命令程序,可以在 Windows 的命令提示符下就用这个命令来完成 ARP 绑定。打开 Windows 命令提示符,输入 “arp a”,可以查看当前电脑上的 ARP 映射表。可以看到当前的 ARP 表的类型是 “dynamic”,即动态的,通过“arp s w.x.y.z aa-bb-cc-dd-ee-ff”命令来添加静态 ARP 实现 ARP 绑定。其中 w.x.y.z 代表路由器的 IP 地址,aa-bb-cc-dd-ee-ff 代表路由器的 MAC 地址。例如:arp -s 192.168.1.1 00-02-b3-3c-16-95再输入“arp -a”就可以看到刚才添

    23、加的静态 ARP 条目了。为了不必每次重启电脑后都要重新输入上面的命令来实现防止 ARP 欺骗,可以新建一个批处理文件如 arp_bind.bat。在里面加入我们刚才的命令:arp -s 192.168.1.1 00-02-b3-3c-16-95保存就可以了,以后可以通过双击它来执行这条命令,还可以把它放置到系统的启动目录下来实现启动时自己执行。打开电脑“开始”“ 程序”,双击“ 启动”打开启动的文件夹目录,把刚才建立的 arp_bind.bat 复制到里面去。这样每次重启都会执行 ARP 绑定命令,通过这些设置,就可以很好的防止 ARP 攻击了。局域网出现“arp 欺骗” 木马用户无法上网的

    24、解决 (转) 今天早上朋友单位很多电脑突然无法上网,请我过去看看,到了之后询问之下,这个情况在多台电脑上出现,并且很多电脑都是 XP SP2的系统,而且开启了防火墙。但仔细观察发现大部分电脑都是开启了文件和打印机共享服务,由于这个服务开放的137、138、139、445端口正是病毒常用的入侵端口,因此特别需要注意,如果没必要的话,还是建议别开放,或者在防火墙的设置上关闭这个服务的端口。今天出现的部分用户无法上网现象和以前经常遇到的集体瘫痪有所不同,用 sniffer 观察一段时间后症状并不明显,联想到现在比较流行的 arp 欺骗木马就找了一台无法上网的电脑,运行 cmd,输入 arp -a 发

    25、现出现多个地址,并且出现不同的 IP 地址对应的 MAC 是一样的,因此基本确定是中了arp 欺骗。以下说明下处理这种情况的方法:首先进入命令行模式然后运行 arp -a 命令,该命令是查看当前 arp 表,可以确认网关和对应的 mac 地址局域网内盗用 IP 的安全问题一、IP 地址盗用方法分析IP 地址的盗用方法多种多样,其常用方法主要有以下几种:1、静态修改 IP 地址对于任何一个 TCP/IP 实现来说, IP 地址都是其用户配置的必选项。如果用户在配置TCP/IP 或修改 TCP/IP 配置时,使用的不是授权机构分配的 IP 地址,就形成了 IP 地址盗用。由于 IP 地址是一个逻辑

    26、地址,是一个需要用户设置的值,因此无法限制用户对于 IP 地址的静态修改,除非使用 DHCP 服务器分配 IP 地址,但又会带来其它管理问题。2、成对修改 IP-MAC 地址对于静态修改 IP 地址的问题,现在很多单位都采用静态路由技术加以解决。针对静态路由技术,IP 盗用技术又有了新的发展,即成对修改 IP-MAC 地址。MAC 地址是设备的硬件地址,对于我们常用的以太网来说,即俗称的计算机网卡地址。每一个网卡的 MAC地址在所有以太网设备中必须是唯一的,它由 IEEE 分配,是固化在网卡上的,一般不能随意改动。但是,现在的一些兼容网卡,其 MAC 地址可以使用网卡配置程序进行修改。如果将一

    27、台计算机的 IP 地址和 MAC 地址都改为另外一台合法主机的 IP 地址和 MAC 地址,那静态路由技术就无能为力了。另外,对于那些 MAC 地址不能直接修改的网卡来说,用户还可以采用软件的办法来修改 MAC 地址,即通过修改底层网络软件达到欺骗上层网络软件的目的。3、动态修改 IP 地址对于一些黑客高手来说,直接编写程序在网络上收发数据包,绕过上层网络软件,动态修改自己的 IP 地址(或 IP-MAC 地址对) ,达到 IP 欺骗并不是一件很困难的事。二、防范技术研究针对 IP 盗用问题,网络专家采用了各种防范技术,现在比较通常的防范技术主要是根据 TCP/IP 的层次结构,在不同的层次采

    28、用不同的方法来防止 IP 地址的盗用。1、交换机控制解决 IP 地址的最彻底的方法是使用交换机进行控制,即在 TCP/IP 第二层进行控制:使用交换机提供的端口的单地址工作模式,即交换机的每一个端口只允许一台主机通过该端口访问网络,任何其它地址的主机的访问被拒绝。但此方案的最大缺点在于它需要网络上全部采用交换机提供用户接入,这在交换机相对昂贵的今天不是一个能够普遍采用的解决方案。2、路由器隔离采用路由器隔离的办法其主要依据是 MAC 地址作为以太网卡地址全球唯一不能改变。其实现方法为通过 SNMP 协议定期扫描校园网各路由器的 ARP 表,获得当前 IP 和 MAC的对照关系,和事先合法的 I

    29、P 和 MAC 地址比较,如不一致,则为非法访问。对于非法访问,有几种办法可以制止,如:a.使用正确的 IP 与 MAC 地址映射覆盖非法的 IP-MAC 表项;b.向非法访问的主机发送 ICMP 不可达的欺骗包,干扰其数据发送;c.修改路由器的存取控制列表,禁止非法访问。路由器隔离的另外一种实现方法是使用静态 ARP 表,即路由器中 IP 与 MAC 地址的映射不通过 ARP 来获得,而采用静态设置。这样,当非法访问的 IP 地址和 MAC 地址不一致时,路由器根据正确的静态设置转发的帧就不会到达非法主机。路由器隔离技术能够较好地解决 IP 地址的盗用问题,但是如果非法用户针对其理论依据进行

    30、破坏,成对修改 IP-MAC 地址,对这样的 IP 地址盗用它就无能为力了。3、防火墙与代理服务器使用防火墙与代理服务器相结合,也能较好地解决 IP 地址盗用问题:防火墙用来隔离内部网络和外部网络,用户访问外部网络通过代理服务器进行。使用这样的办法是将 IP 防盗放到应用层来解决,变 IP 管理为用户身份和口令的管理,因为用户对于网络的使用归根结底是要使用网络应用。这样实现的好处是,盗用 IP 地址只能在子网内使用,失去盗用的意义;合法用户可以选择任意一台 IP 主机使用,通过代理服务器访问外部网络资源,而无权用户即使盗用 IP,也没有身份和密码,不能使用外部网络。使用防火墙和代理服务器的缺点

    31、也是明显的,由于使用代理服务器访问外部网络对用户不是透明的,增加了用户操作的麻烦;另外,对于大数量的用户群(如高校的学生) 来说,用户管理也是一个问题。如何禁止用户修改 IP 地址1、单击“开始”“ 运行”,输入“gpedit.msc”,运行“组策略”2、启用“用户配置” “管理模板 ”“网络”“ 网络连接”中的“禁用 TCP/IP 高级配置” ,以下是此项设置的解释:确定用户是否可以配置高级 TCP/IP 设置。如果启用此设置(并启用“为管理员启用网络连接设置”设置 ),就对所有用户(包括管理员)禁用“网际协议(TCP/IP) 属性” 对话框上的 “高级”按钮。因此,用户不能打开“高级 TC

    32、P/IP 设置属性”页并修改 IP 设置( 例如,DNS 和 WINS 服务器信息)。重要提示:如果禁用或不配置 “为管理员启用网络连接设置”,此设置将不适用于 Windows 2000 以后的计算机上的管理员。如果禁用此设置,则启用“高级”按钮,并且所有用户均可打开“高级 TCP/IP 设置”对话框。注意:此设置会由禁止访问连接属性或连接组件属性的设置取代。如果将这些策略设置为拒绝访问连接属性对话框或用于连接组件的“属性按钮”,用户就无法访问用于 TCP/IP 配置的“高级”按钮。注意:不管此设置如何,非管理员用户 (不包括网络配置操作员)均不具有访问用于 LAN 连接的 TCP/IP 高级

    33、配置的权限。提示:要打开“高级 TCP/IP 设置”对话框,在“网络连接”文件夹中,右键单击连接图标,并单击“属性”。对于远程访问连接,请选择“ 网络”选项卡。在“ 此连接使用下列项目”框中,单击“Internet 协议(TCP/IP)”,单击 “属性”按钮,然后单击“高级”按钮。注意:在用户退出系统之前,将此设置从 “启用”更改为“未配置”不会启用“高级”按钮。3、启用“为管理员启用网络连接设置”,以下是此项设置的解释:确定 Windows 2000 Server 家族中的已有设置是否将适用于管理员。Windows 2000 Professional 中已有的“网络连接”组设置的集合也存在于

    34、 Windows XP Professional 之中。在 Windows 2000 Professional 中,所有这些设置都具有禁止管理员使用某些功能的能力。默认情况下,Windows XP Professional 中的“网络连接”组设置不具有禁止管理员使用功能的能力。如果启用此设置,已存在于 Windows 2000 Professional 中的 Windows XP 设置会具有阻止管理员使用某些功能的能力。这些设置为:“重命名所有用户可以使用的 LAN 连接或远程访问连接的能力”、 “禁止访问 LAN 连接组件的属性”、 “禁止访问远程访问连接组件的属性”、 “访问 TCP/IP

    35、 高级配置的能力”、 “禁止访问高级菜单上的高级设置项 ”、 “禁止添加和删除用来进行 LAN 连接或远程访问连接的组件”、 “禁止访问 LAN 连接的属性” 、 “禁止启用/禁用 LAN 连接组件”、 “更改所有用户远程访问连接的属性的能力”、 “禁止更改专用远程访问连接的属性”、 “禁止删除远程访问连接” 、 “删除所有用户远程访问连接的能力” 、 “禁止连接和断开连接远程访问连接”、 “启用/ 禁用 LAN 连接的能力”、 “禁止访问新建连接向导”、 “禁止重命名专用远程访问连接”、 “禁止访问高级菜单上的远程访问首选项菜单项”、 “禁止查看活动连接的状态”。启用此设置时,同时存在于 Windows 2000 Professional 和 Windows XP Professional 中的设置对管理员的行为相同。如果禁用或不配置此设置,已存在于 Windows 2000 中的 Windows XP 设置将不适用于管理员。注意:此设置是专门用于正在应用这些设置的组策略对象同时包含 Windows 2000 Professional 和 Windows XP Professional 计算机的情形中,并且在所有 Windows 2000 Professional 和 Windows XP Professional 计算机之间必需相同的网络连接策略行为。

    展开阅读全文
    提示  道客多多所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    关于本文
    本文标题:盗用别人的IP上网.doc
    链接地址:https://www.docduoduo.com/p-8161261.html
    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

    道客多多用户QQ群:832276834  微博官方号:道客多多官方   知乎号:道客多多

    Copyright© 2025 道客多多 docduoduo.com 网站版权所有世界地图

    经营许可证编号:粤ICP备2021046453号    营业执照商标

    1.png 2.png 3.png 4.png 5.png 6.png 7.png 8.png 9.png 10.png



    收起
    展开