一,arp欺骗
在xp中ping kali 并使用命令arp -a 查看缓存表 记录动态物理地址
在win7中打开packeth包 点击 interface 选择网卡 选择network的网卡
实验目的对xp 130欺骗 不能上网 (能上网是因为网关的mac地址对应是一样的) 首先测试能否上网 把mac地址改了就不能上网
Arp发送 目的IP mac 写真的 填xp的IP
发送的mac 写假的,ip选择写网关的 是让网关欺骗
目的选择xp的mac 源选择欺骗的网关mac
选择发送会有显示
回到xp ping www.baidu.com 查询能否上网 arp -a 查看网关mac
显示无法上网 网关mac也改成aa:aa:aa:aa:aa:aa 试验成功
清除缓存 既可以上网 因为mac是动态的
Arp -d
广播
对整个网段81地址进行欺骗
二,中间人攻击
把xp定位目标一 win7定为目标二
打开嗅探 先ping一下win7 xp
发现有两个request 中间人攻击成功
三,后门
在win7中打开exe文件 可以查看端口为9527
在xp中 命令行 telnet win7IP
成功进到win7里
Xp关闭程序 win7重启发现还是有9527端口 及程序开机自启
9527端口 进程号为1642
查看任务管理器 找到进程号为1642 查看名字是
还可以在注册表中 win +r regedit 编辑查找
然后在计算机中找到文件
查看源代码发现 后门代码是写入了注册表中以及系统的目录下所以才会自启动
四,制作vbs
编写vbs代码 完成后保存将后缀名改成backdoor.vbs
编写程序完成 ,打开xp
用账号zs 密码 001 进行登录
Win7显示
远程登陆成功
五,APR欺骗的防御措施
1. 不要把网络安全信任关系,单纯地建立在IP基础上或MAC基础上,理想的关系应该建立在“IP + MAC”基础上。
2.设置添加静态的“ARP映射表”,不要让主机刷新设定好的“ARP映射表”。
3. 除非很有必要,否则停止使用ARP(地址解析协议),将ARP(地址解析协议)作为永久条目保存在“ARP映射表”中。
4.使用ARP服务器,通过该服务器查找自己的“ARP映射表”,以此来响应其他机器的ARP请求广播,并确保这台ARP服务器不被黑。
5.IP的传输,使用“proxy”代理。
6. 使用硬件屏蔽主机,设置好路由,确保IP地址能到达合法的路径(静态配置路由ARP条目)。
7. 使用防火墙连续监控网络。注意有使用SNMP(简单网络管理协议)的情况下,ARP欺骗有可能导致陷阱包丢失。
8.若感染ARP病毒,可以通过“清空ARP缓存、指定ARP对应关系、添加路由信息、使用防病毒软件”等方式解决。
若把后门设置视为攻击的一个环节,则对后门的防范首先也应该遵循网络安全攻防的一般措施,如关闭不用的端口、进行扫描、查看隐藏进程、专业工具查杀、查看系统日志、安全配置防火墙和IDS等。除安全综合防范措施外,还需要针对不同后门采用专门防范措施。针对后门木马的防范措施包括:
- 关闭本机不用的端口或只允许指定的端口访问。多一个端口就等于多给了攻击者一次尝试的机会,而那个不必要的服务,或许正是开门揖盗的罪魁祸首。
- 使用专杀木马的软件。为了有效地防范木马后门,可以使用一些木马专杀工具,如木马克星、木马清除大师、木马猎手、木马分析专家等。这类软件一般是免费的,而且体积小巧,非常适合用来对系统进行经常性的“体检”。
- 学会对进程操作。时时注意系统运行状况,看看是否有一些不明进程正运行,并及时地将不明进程终止掉。常用的进程查看工具有进程杀手、IceSword、柳叶擦眼、系统查看大师、WinProc等,可用它们来检查系统中的进程,并且结束掉有危险的进程。
- 选定适合的网络接口。例如如果你的mysql服务只针对本机,那么完全可以将接口只绑定到127.0.0.1的3306上,这样就避免了其他人外连的可能。
- 对于公开对外的服务,一定需要及时打上相应的patch,犹如我在模拟攻击最开始中透露的一样——获得root权限那一步很多时候是用现成的漏洞找对应bug版本的服务软件的机器来有针对性攻击来实现的。因此记得开了什么服务,就需要随时关注那个服务器软件的bug信息,争取在第一时间升级到稳定版本。