호스트 A 가 호스트 B 에 메시지를 보내려고 합니다.
사이버 법 집행관들이 사용하는 ARP 스푸핑은 공격받은 컴퓨터를 인터넷에 접속할 수 없게 하는데, 이는 컴퓨터가 게이트웨이의 MAC 주소를 찾지 못하게 하는 원리다. 그럼 ARP 스푸핑은 어떻게 된 건가요? 그 이유를 알고, 그 이유를 아는 것은 우리 해커 X 파일의 훌륭한 전통이다. 이제 이 문제에 대해 말씀드리겠습니다.
우선, ARP 가 무엇인지 말씀드리겠습니다. ARP (address resolution protocol) 는 IP 주소를 물리적 주소로 변환하는 프로토콜인 주소 확인 프로토콜입니다. IP 주소를 물리적 주소에 매핑하는 두 가지 방법 (목록 및 비목록) 이 있습니다. 특히 ARP 는 네트워크 계층 (OSI 의 세 번째 계층에 해당하는 IP 계층) 의 주소를 데이터 연결 계층 (OSI 의 두 번째 계층에 해당하는 MAC 계층) 의 MAC 주소로 분석하는 것입니다.
ARP 원칙: 시스템 A 가 호스트 B 에 메시지를 보낼 때 로컬 ARP 캐시 테이블을 쿼리하여 B 의 IP 주소에 해당하는 MAC 주소를 찾으면 데이터를 전송합니다. 찾지 못한 경우 브로드캐스트 A 의 ARP 요청 메시지 (호스트 A 의 IP 주소 IA- 물리적 주소 Pa 포함), IP 주소가 Ib 인 호스트 B 가 물리적 주소 Pb 에 응답하도록 요청합니다. 인터넷에 있는 모든 호스트 (B 포함) 가 ARP 요청을 받았지만 호스트 B 만 IP 주소를 인식하여 호스트 A 에 ARP 응답 메시지를 보냈습니다. B 의 MAC 주소를 포함합니다. A 가 b 로부터 응답을 받으면 로컬 ARP 캐시가 업데이트됩니다. 그런 다음 이 MAC 주소로 데이터를 보냅니다 (MAC 주소는 네트워크 카드와 함께 제공됨). 따라서 로컬 캐시의 이 ARP 테이블은 로컬 네트워크 루프의 기초이며, 이 캐시는 동적입니다.
ARP 프로토콜은 ARP 응답을 받기 전에 ARP 요청을 보내는 것이 아닙니다. 컴퓨터가 ARP 응답 패키지를 받으면 로컬 ARP 캐시를 업데이트하고 응답의 IP 및 MAC 주소를 ARP 캐시에 저장합니다. 따라서 LAN 의 한 시스템 B 가 A 에게 위조된 ARP 응답을 보냈는데, 이 응답이 B 가 C 로 위조된 경우, 즉 IP 주소가 C 이고 MAC 주소가 위조된 경우 A 가 B 의 위조된 ARP 응답을 받으면 로컬 ARP 캐시가 업데이트되므로 A 에서 C 의 IP 주소는 변경되지 않고 MAC 주소는 변경되지 않습니다. LAN 의 네트워크 흐름은 IP 주소가 아니라 MAC 주소를 기반으로 하기 때문입니다. 따라서 위조된 MAC 주소가 A 에서 존재하지 않는 MAC 주소로 바뀌어 네트워크가 차단되어 A 가 C 에 ping 을 할 수 없게 됩니다! 이것은 간단한 ARP 사기입니다.
이것은 인터넷 법 집행관이 사용하는 원칙이다! 그것의 원리를 알면 그것의 방어를 돌파하는 것이 훨씬 쉬워진다.
셋째, MAC 주소를 수정해 인터넷 법 집행인의 봉쇄를 돌파한다.
위의 분석에 따르면 MAC 주소만 수정하면 인터넷 법 집행인의 스캔을 속여 봉쇄를 돌파할 수 있다는 결론을 내리기는 어렵지 않다. 다음은 네트워크 카드의 MAC 주소를 수정하는 방법입니다.
시작 메뉴의 실행에 regedit 를 입력하고 레지스트리 편집기를 연 다음 레지스트리를 HKEY _ local _ machine/system/current control 로 확장합니다.
Set/control/class/{4d36 e972-e325-11ce-bfc1-080
18} 1 차 하위 구성요소, 0000,000 1, 0002 의 1 차 하위 구성요소에서 DriverDesc 찾기 (네트워크 카드가 여러 개 있는 경우 0001, (0002 ............................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................ 네트워크 카드에 0,000 개의 하위 키가 있다고 가정해 봅시다.
하위 항목 0000 아래에' NetworkAddress' 라는 문자열을 추가합니다. 키 값은 수정된 MAC 주소이며 12 개의 연속 16 개의 16 진수가 필요합니다. 그런 다음 하위 항목' 0000' 아래의 NDI/params 에 NetworkAddress 라는 새 하위 항목을 만들고 해당 하위 항목 아래에 수정된 MAC 주소인' default' 라는 문자열을 추가합니다.
계속해서 NetworkAddress 의 하위 항목 아래에 "ParamDesc" 라는 문자열을 작성하여 네트워크 주소에 대한 설명을 지정합니다. 값은 "MAC Address" 일 수 있습니다. 이렇게 하면 나중에 인터넷 이웃의 "속성" 을 열고 해당 네트워크 카드를 두 번 클릭하여 "고급" 설정을 찾습니다. 이 설정 아래에는 MAC 주소 옵션이 있습니다. 즉, 레지스트리에 추가한 새 항목인 "네트워크 주소" 가 있습니다. 나중에 여기서 MAC 주소를 수정할 수 있습니다.
레지스트리를 닫고 다시 시작합니다. 네트워크 카드 주소가 변경되었습니다. 인터넷 이웃의 속성을 열고 해당 네트워크 카드 항목을 두 번 클릭하여 MAC 주소에 대한 고급 설정 항목을 찾아 MAC 주소를 직접 수정할 수 있습니다.
MAC 주소 (물리적 주소, 하드웨어 주소 또는 링크 주소라고도 함) 는 네트워크 장치 제조업체가 생산할 때 하드웨어에 기록됩니다. 이 주소는 네트워크와 무관합니다. 즉, 이 주소의 하드웨어 (예: 네트워크 카드, 허브, 라우터 등) 가 어디에 있든 상관없습니다. ) 는 네트워크에 연결되어 있으며 동일한 MAC 주소를 가지고 있으며, MAC 주소는 일반적으로 변경할 수 없으며 사용자가 직접 설정할 수 없습니다. MAC 주소는 일반적으로 12 16 자리 16 진수로 표시되며 두 개의 16 자리 16 진수는 콜론으로 구분됩니다. 예를 들어 08:00:20:0A:8C:6D 는 MAC 주소입니다. 여기서 처음 6 자리는 16 의 16 진수이고 08:00:20 은 네트워크 하드웨어를 나타냅니다. 각 네트워크 제조업체는 제조한 각 이더넷 장치의 처음 세 바이트와 마지막 세 바이트가 같은지 확인해야 합니다. 이를 통해 전 세계의 모든 이더넷 장치에 고유한 MAC 주소가 있는지 확인할 수 있습니다.
또한 네트워크 법 집행인의 원칙은 ARP 스푸핑을 통해 가짜 게이트웨이 IP 주소에 해당하는 MAC 주소를 컴퓨터에 보내 게이트웨이의 실제 MAC 주소를 찾을 수 없도록 하는 것입니다. 따라서 IP-MAC 매핑을 수정하면 인터넷 법 집행인의 ARP 사기가 무효가 되어 한계를 돌파할 수 있습니다. 게이트웨이를 미리 Ping 한 다음 ARP -a 명령을 사용하여 게이트웨이의 MAC 주소를 얻을 수 있으며, 마지막으로 ARP -s IP NIC MAC 주소 명령을 사용하여 게이트웨이의 IP 주소를 MAC 주소에 매핑할 수 있습니다.
넷째, 인터넷을 할 수 없게 만든 상대를 찾아라.
인터넷 법 집행관의 봉쇄가 해제되면 우리는 Arpkiller 의' 스니퍼 블랙 애버딘' 으로 LAN 의 전체 IP 세그먼트를 스캔한 다음' 혼합' 모드의 컴퓨터를 찾으면 상대를 찾을 수 있다. 구체적인 방법은 Arpkiller 를 실행하고 "스니퍼 모니터링 도구" 를 클릭하는 것입니다. 나타나는 스니퍼 블랙 애버딘 창에서 테스트의 시작 및 종료 IP 를 입력한 다음 테스트 시작 을 클릭합니다.
테스트 결과 해당 IP 가 녹색 모자 아이콘이면 해당 IP 가 정상 모드이고, 빨간색 모자인 경우 네트워크 카드가 혼합 모드에 있는 것으로 나타났습니다. 이것이 우리의 목표입니다. 이 사람은 사이버 경찰을 이용해 문제를 일으키고 있습니다.
나는 스캔할 때 난잡한 모드에 있어서 자신을 계산할 수 없다!
그들을 찾은 후에 상대방을 어떻게 처리하느냐는 너의 일이다. 예를 들면, 예를 들면, 너는 인터넷 법 집행관으로 상대를 가릴 수 있다.