作者:hacker发布时间:2022-12-29分类:破解邮箱浏览:67评论:3
WinArpAttacker3.5中文教学手册
关乎人品问题,请慎用!
WinArpAttacker这个ARP攻击软件的使用方法。
WinArpAttacker的界面分为四块输出区域。
第一个区域:主机列表区,显示的信息有局域网内的机器IP、MAC、主机名、是否在线、是否在监听、是否处于被攻击状态。
另外,还有一些ARP数据包和转发数据包统计信息,如
ArpSQ:是该机器的发送ARP请求包的个数
ArpSP:是该机器的发送回应包个数
ArpRQ:是该机器的接收请求包个数
ArpRQ:是该机器的接收回应包个数
Packets:是转发的数据包个数,这个信息在进行SPOOF时才有用。
Traffic:转发的流量,是K为单位,这个信息在进行SPOOF时才有用。
第二个区域是检测事件显示区,在这里显示检测到的主机状态变化和攻击事件。能够检测的事件列表请看英文说明文档。
主要有IP冲突、扫描、SPOOF监听、本地ARP表改变、新机器上线等。当你用鼠标在上面移动时,会显示对于该事件的说明。
第三个区域显示的是本机的ARP表中的项,这对于实时监控本机ARP表变化,防止别人进行SPOOF攻击是很有好处的。
第四个区域是信息显示区,主要显示软件运行时的一些输出,如果运行有错误,则都会从这里输出。
好,软件界面就讲到这里。
下面我们来说明一下几个重要功能。
一、扫描。
当点击“Scan”工具栏的图标时,软件会自动扫描局域网上的机器。并且显示在其中。
当点击“Scan checked"时,要求在机器列表中选定一些机器才扫描,目的是扫描这些选定机器的情况。
当点击"Advanced"时,会弹出一个扫描框。这个扫描框有三个扫描方式。
第一个是扫描一个主机,获得其MAC地址。
第二个方式是扫描一个网络范围,可以是一个C类地址,也可以是一个B类地址,建议不要用B类地址扫描,因为太费时间,对网络有些影响。
可设为本地的C类地址扫描,也可设为另一个C类地址,如192.168.0.1-254。也可以扫描成功。
第三个方式是多网段扫描,如果本机存在两个以上IP地址,就会出现两个子网选项。下面有两个选项,一个是正常扫描,扫描在不在线,另一个是反监听扫描,可以把
正在监听的机器扫描出来。
好,扫描功能就这些。下面我们讲攻击。
二、攻击
攻击功能有六个:
FLOOD:不间断的IP冲突攻击
BANGATEWAY:禁止上网
IPConflict:定时的IP冲突
SniffGateway:监听选定机器与网关的通讯
SniffHosts:监听选定的几台机器之间的通讯
SniffLan:监听整个网络任意机器之间的通讯,这个功能过于危险,可能会把整个网络搞乱,建议不要乱用。
所有的攻击在你觉得可以停止后都要点击STOP停止,否则将会一直进行。
FLOOD:选定机器,在攻击中选择FLOOD攻击,FLOOD攻击默认是一千次,你可以在选项中改变这个数值。
FLOOD攻击可使对方机器弹出IP冲突对话框,导致当机,因而要小心使用。
BANGATEWAY:选定机器,选择BANGATEWAY攻击。可使对方机器不能上网。
IPConflict:会使对方机器弹出IP冲突对话框。这次用本机来演示。
SniffGateway:监听对方机器的上网流量。发动攻击后用抓包软件来抓包看内容。我们可以看到Packets、
Traffic两个统计数据正在增加。我们现在已经可以看到对方机器的上网流量。
SniffHosts和SniffLan也类似,因而不再演示。
在选项中可以对攻击时间和行为进行控制。除了FLOOD是次数外,其他的都是持续的时间,如果是0则不停止。
下面的三个选项,一个是攻击后自动恢复ARP表,其他两个是为了保证被监听机器能正常上网因而要进行数据转发。建议都保持选择。
在检测事件列表中,我们刚才进行的攻击已经在检测事件列表中被检测出来。你在这里可以看到是否有人对你
进行攻击,以便采取措施。
好,攻击功能介绍到这里。
三、选项
Adapter是选择要绑定的网卡和IP地址,以及网关IP、MAC等信息。有时一个电脑中有许多网卡,你要选择正确的以太网网卡。
一个网卡也可以有多个IP地址,你要选择你要选择的那个IP地址。网关也是一样。
如果你在Gateway Mac中看到的是全0的MAC,那么可能没有正确获得网关MAC。你可以刷新一下来重新获得。
UPDATE是针对机器列表的更新来说的,其中有两个选项,
第一个是定时扫描网络来更新机器列表。
第二个是被动监听,从过往的数据包中获取新机器的信息。定时扫描可设定扫描间隔时间。
被动监听可以选择数据包类型,因为一些数据包可以是假的,因而获得的IP和MAC对可能是错误的。
所以要仔细选择。
DETECT第一个选项是说是不是要一运行就开始检测,第二个数据包个数是指每秒达到多少个数据包时才被认为是扫描,这个是与检测事件输出有关的。
第三个是在多少的时间内我们把许多相同的事件认为是一个事件,如扫描,扫描一个C网段时要扫描254个机器,会产生254个事件,当这些事件都在一定时间内
(默认是5分钟时,只输出一个扫描事件。)
ANALYSIS:只是一个保存数据包功能,供高级用户分析。
ARP代理:当你启用代理功能之后,这些选项才会有效。在Arp Packet Send Mode中,是要选择当谁发送ARP请求包时我要回应,
在Mac address中是要选定回应什么MAC地址,可以是本机、网关或者一个任意的MAC。
当局域网内的机器要访问其他机器或网关时,它会发出ARP请求询问包,如果你启用了该功能,软件就会自动回应你设定的MAC地址,因而你如果设的是错误的MAC,则许多机器可能都上不了网。
PROTECT:这是一个保护功能,当有人对你或者局域网内的机器进行ARP监听攻击时,它可以自动阻止。
其中有两个选项,一个是本机防护,防护本机不被SPOOF,第二是远程防护,也就是防护其它机器。不过估计第二个功能实现得不会好,因而SPOOF另外两机器时,
ARP包是不大可能到达本机的。但是本机防护还是较为实用。当你对本机进行禁止上网攻击时,软件能正确地检测到四个事件:
两个禁止访问事件,说0.0.0.0发送特别ARP包禁止本机和网关192.168.253.1通讯,第三个事件说一个IP-MAC对加入到本机ARP表中,且是错误的IP-MAC对,
最后一个事件说01-01-01-01-01-01已经被修改成正确的MAC:00-11-22-33-44-54,这就是PROTECT起作用了,软件根据机器列表中的MAC地址修改了ARP中的错误MAC。
下面的软件运行信息也证实了这一点。
四、手动发送ARP包
再讲一下手动发送ARP包的功能,这是给高级用户使用的,要对ARP包的结构比较熟悉才行。如果你知道ARP攻击原理,你可以在这里手工制作出任何攻击包。
按照以下步骤制作一个IP冲突包,冲突的对象是本机。
目标MAC是本机,源MAC可以是任意的MAC,目标IP和源IP都是本机IP,做完后发送试试。
如果操作正确你会看到IP冲突报警,软件也有检测出来,这是IP冲突包。
大家可以试试多种组合来测试一下,看看检测效果。
好了,WinArpAttacker的基本功能介绍就到这里,其他功能大家可以自己去试试,BYEBYE!
下载地址
智能防火墙的关键技术
1、防攻击技术
智能防火墙能智能识别恶意数据流量,并有效地阻断恶意数据攻击。智能防火墙可以有效地解决SYN Flooding,Land Attack,UDP Flooding,Fraggle Attack,Ping Flooding,Smurf,Ping of Death,Unreachable Host等攻击。防攻击技术还可以有效的切断恶意病毒或木马的流量攻击。
2、防扫描技术
智能防火墙能智能识别黑客的恶意扫描,并有效地阻断或欺骗恶意扫描者。对目前已知的扫描工具如ISS,SSS,NMAP等扫描工具,智能防火墙可以防止被扫描。防扫描技术还可以有效地解决代表或恶意代码的恶意扫描攻击。
3、防欺骗技术
智能防火墙提供基于MAC的访问控制机制,可以防止MAC欺骗和IP欺骗,支持MAC过滤,支持IP过滤。将防火墙的访问控制扩展到OSI的第二层。
4、入侵防御技术
智能防火墙为了解决准许放行包的安全性,对准许放行的数据进行入侵检测,并提供入侵防御保护。入侵防御技术采用了多种检测技术,特征检测可以准确检测已知的攻击,特征库涵盖了目前流行的网络攻击;异常检测基于对监控网络的自学习能力,可以有效地检测新出现的攻击;检测引擎中还集成了针对缓冲区溢出等特定攻击的检测。智能防火墙完成了深层数据包监控,并能阻断应用层攻击。
5、包擦洗和协议正常化技术
智能防火墙支持包擦洗技术,对IP,TCP,UDP,ICMP等协议的擦洗,实现协议的正常化,消除潜在的协议风险和攻击。这些方法对消除TCP/IP协议的缺陷和应用协议的漏洞所带来的威胁,效果显著。
6、AAA技术
IP v4版本的一大缺陷是缺乏身份认证功能,所以在IP v6版本中增加了该功能。问题是IP v6的推广尚需时日,IP v4在相当长一段时间内,还会继续存在。智能防火墙增加了对IP层的身份认证。基于身份来实现访问控制。
DNS server is running on this port. If you do not use it, disable it.
Risk factor : Low
NESSUS_ID : 11002
smtp (25/tcp) 开放服务
"SMTP"服务运行于该端口
BANNER信息 :
220 ESMTP on WebEasyMail [3.6.2.1] ready.
NESSUS_ID : 10330
smtp (25/tcp) SMTP 服务端类型和版本
解决方案: 修改登陆banner不包含相关标识信息
Remote SMTP server banner :
220 ESMTP on WebEasyMail [3.6.2.1] ready.
NESSUS_ID : 10263
www (80/tcp) 开放服务
"WEB"服务运行于该端口
BANNER信息 :
HTTP/1.1 302 Object moved
Server: Microsoft-IIS/5.0
Date: Sat, 06 May 2006 01:59:08 GMT
X-Powered-By: ASP.NET
Location:
Connection: Keep-Alive
Content-Length: 153
Content-Type: text/html
Set-Cookie: ASPSESSIONIDQCDAARQD=GKKAEJJDABAOBCMIOEBDNPGC
path=/
Cache-control: private
headtitleObject moved/title/head
bodyh1Object Moved/h1This object may be found a HREF=""here/a./body
NESSUS_ID : 10330
www (80/tcp) http TRACE 跨站攻击
你的webserver支持TRACE 和/或 TRACK 方式。 TRACE和TRACK是用来调试web服务器连接的HTTP方式。
支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。
攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。
如果你使用的是Apache, 在各虚拟主机的配置文件里添加如下语句:
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
如果你使用的是Microsoft IIS, 使用URLScan工具禁用HTTP TRACE请求,或者只开放满足站点需求和策略的方式。
如果你使用的是Sun ONE Web Server releases 6.0 SP2 或者更高的版本, 在obj.conf文件的默认object section里添加下面的语句:
Client method="TRACE"
AuthTrans fn="set-variable"
remove-headers="transfer-encoding"
set-headers="content-length: -1"
error="501"
/Client
An attacker may use this flaw to trick your legitimate web users to
give him their credentials.
提示 unknown (8000/tcp) 开放服务
未知服务运行于该端口.
NESSUS_ID : 10330
提示 netbios-ns (137/udp) 使用NetBIOS探测Windows主机信息
如果NetBIOS端口(UDP:137)已经打开,
一个远程攻击者可以利用这个漏洞获得主机
的敏感信息,比如机器名,工作组/域名,
当前登陆用户名等。
Risk factor : Low
CVE_ID : CAN-1999-0621
NESSUS_ID : 10150
警告 ms-sql-m (1434/udp) Microsoft's SQL UDP Info Query
提示 domain (53/udp) DNS Server Detection
提示 domain (53/udp) DNS 缓存泄露
针对TCP/IP协议的薄弱环节进行攻击;
发动攻击时,只要很少的数据流量就可以产生显著的效果;
攻击来源无法定位;
在服务端无法区分TCP连接请求是否合法。
二、系统检查
一般情况下,可以一些简单步骤进行检查,来判断系统是否正在遭受TCP SYN Flood攻击。
1、服务端无法提供正常的TCP服务。连接请求被拒绝或超时;
2、通过 netstat -an 命令检查系统,发现有大量的SYN_RECV连接状态。
三、防范
如何才能做到有效的防范呢?
1、 TCP Wrapper
使用TCP Wrapper(只有unix-like系统支持该功能,NT?可怜)可能在某些有限的场合下有用,比如服务端只处理有限来源IP的TCP连接请求,其它未指定来源的连接请求一概拒绝。这在一个需要面向公众提供服务的场合下是不适合的。而且攻击者可以通过IP伪装(IP Spoof)来直接攻击受TCP Wrapper保护的TCP服务,更甚者可以攻击者可以伪装成服务器本身的地址进行攻击。
2、增加TCP Backlog容量
增加TCP Backlog容量是一种治标不治本的做法。它一方面要占用更多的系统内存,另一方面延长了TCP处理缓存队列的时间。攻击者只要不停地的进行SYN Flood一样可以达到拒绝服务的目的。
3、 ISP接入
所有的ISP在边界处理进入的主干网络的IP数据包时检测其来源地址是否合法,如果非指定来源IP地址范围,可以认为是IP Spoofing行为并将之丢弃。 在实际环境中,应为涉及的范围太过广泛,该方案无法实施。这是一个社会问题而非技术问题。
TCP SYN Flood检测与防范 一、TCP连接监控(TCP Interception)
为了有效的防范TCP SYN Flood攻击,在保证通过慢速网络的用户可以正常建立到服务端的合法连接的同时,需要尽可能的减少服务端TCP Backlog的清空时间,大多数防火墙采用了TCP连接监控的工作模式。1.防火墙接到来自用户端Z的SYN连接请求,在本地建立面向该连接的监控表项;
2.防火墙将该连接请求之转发至服务端A;
3.服务端A相应该连接请求返回SYN/ACK,同时更新与该连接相关联的监控表项;
4.防火墙将该SYN/ACK转发至用户端Z;
5.防火墙发送ACK至服务端A,同时服务端A中TCP Backlog该连接的表项被移出;
6.这时,根据连接请求是否合法,可能有以下两种情况发生:
a.如果来自用户端Z的连接请求合法,防火墙将该ACK转发至服务端A,服务端A会忽略该ACK,因为一个完整的TCP连接已经建立;
b.如果来自用户端Z的连接请求非法(来源IP地址非法),没有在规定的时间内收到返回的ACK,防火墙会发送RST至服务端A以拆除该连接。
7.开始TCP传输过程。
由此可以看出,该方法具有两个局限:
1.不论是否合法的连接请求都直接转发至服务端A,待判断为非法连接(无返回ACK)时才采取措施拆除连接,浪费服务端系统资源;
2.防火墙在本地建立表项以监控连接(一个类似TCP Backlog的表),有可能被攻击者利用。
二、天网DoS防御网关
天网防火墙采用经过优化的TCP连接监控工作方式。该方式在处理TCP连接请求的时候,在确定连接请求是否合法以前,用户端Z与服务端A是隔断的。1.防火墙接到来自用户端Z的SYN连接请求;
2.防火墙返回一个经过特殊处理的SYN/ACK至客户端Z以验证连接的合法性;
3.这时,根据连接请求是否合法,可能有以下两种情况发生:
a.防火墙接收到来自客户端Z的ACK回应,该连接请求合法。转至第4步继续;
b.防火墙没有接收到来自客户端Z的ACK回应,该连接请求非法,不进行处理;
4.防火墙在本地建立面向该连接的监控表项,并发送与该连接请求相关联的SYN至服务端A;
5.防火墙接到来自服务端A的SYN/ACK回应;
6.防火墙返回ACK以建立一个完整的TCP连接;
7.防火墙发送ACK至客户端Z,提示可以开始TCP传输过程。
其中,在第2/3/4/7步过程中,防火墙内部进行了如下操作:
1.在第2步中,为了验证连接的合法性,防火墙返回的SYN/ACK是经过特殊处理的,并提示客户端Z暂时不要传送有效数据;
2.在第3步中,防火墙接收到来自客户端Z的ACK,检验其合法性。
3.在第4步中,防火墙在本地建立面向该连接的监控表项,同时发送与该连接相关的SYN至服务端A;
4.在第7步中,防火墙通过将TCP数据传输与监控表项进行比对,并调整序列号和窗口以使之匹配。开始TCP数据传输。
在这里,天网防火墙通过高效的算法(64K位的Hash)提供了超过30万以上的同时连接数的容量,为数据传输的高效和可靠提供了强有力地保障。
用iptables对付syn-flood攻击:
使用说明:
1、 下图为打开SYNKFW.EXE的界面形状,其中包括了新建攻击、激活线程和退出选项。
在此我们要说一下为什么要发布这个SYNKFW的终结者的DDOS类工具,原因是正版的KFW也就是傲盾防火墙被所谓的中国黑客联盟破解,并且正
在向网友进行销售,并且对外宣传是他们自己开发的产品,对于这种卑鄙的行为,我们感到可耻!不过我们劝告大家,使用抗DDOS类产品的防
火墙最好使用正版授权,不要贪图便宜而去购买被破解后的版本,如果使用被破解后的KFW防火墙给自己带来任何的损失那后果将是惨重的,
发布这个版本就是打击使用破解后的KFW防火墙,如果正在使用破解后的KFW防火墙,在收到此工具发来的攻击包或许会导致你的硬盘损坏,请
正在使用盗版KFW防火墙的用户立即停止使用,否则给自己带来的损失将是惨重的!(同样黑盟也将会为此事付出代价的)
2、 下图是SYNKFW攻击属性设置的界面,我们简单介绍一下各个功能。攻击目标:你要攻击的机器,比如 192.168.0.1或者域名。
连接:选中连接选项后,攻击过去的SYN数据包全部是ESTABLISHED状态,但此选种此选项后攻击过去后,在被攻击机器上可以查到真实的攻
击IP地址,所以不建议选中此选项。
转移:只有在攻击目标那里输入的是被攻击的域名此功能才起作用,比如在攻击目标里输入的是 那么会自动攻击解析的IP地址
,如果域名更换IP后,攻击工具会自动刷新攻击新的IP地址,此功能只对部分的DNS服务器有效,例如万网,新网的DNS。如果攻击目标那里输
入的是IP地址,请不要选中转移选项。
伪造源地址:这里也可以不做任何设置,可以使用默认的,那么攻击过去的包是随机的,如果你想指定某一段或者某多段IP地址攻击,请设
置。例如我想伪造61段攻击目标,那么在那里改为 61.0.0.0到61.255.255.255 那么攻击过去数据包都是为 61.x.x.x开头的攻击包。
伪造源端口:这里同样也可以不设置,那么攻击所伪造的端口也是随机的,如果你想伪造某一个或者某一个范围的端口,请自己设置,例如
80-8000 然后选添加就可以了。建议使用默认的。
默认的攻击是不需要采用任何设置的,直接在攻击目标那里写如你要攻击的域名或者IP地址,然后按确定SYNKFW就开始攻击。一般3个线程可
以挂掉国内比较好的硬件防火墙。
3、开始实战了。我们去查一个开区着的私服吧。如下图,就拿第一行的私服来演习。IP地址:218.66.104.138,攻击端口:7000.
选择7000端口作为目标端口,原因跟上一篇xdos攻击文章一样,只要传奇私服开放着,它的7000端口就开放并且服务着。除非他要人为去修改
这个端口。要是服务器修改掉7000端口,他一定会公布出来,不然玩家都不能连接上服务器,因为登陆器连接服务器的端口默认为7000。
另外,攻击7000端口效果更为明显,直观,服务器失去抵抗能力的时候,我们从登陆器上检测它的连接状态是否良好,连接速度是否减慢。
就能立即知道服务器现在的防御状态。
4、反复建立攻击线程,建议使用我们站内提供的流量检测软件检测你的机器打出的攻击流量。可以一直建立攻击线程,直到机器流量打到峰值。
如果你要停止掉攻击,点"退出"就可以了。或者选中线程,点"激活线程"就可以执行攻击或则暂停的操作。
图片传不上来,你到这看:
被syn-flood攻击和局域网里面的电脑中毒无直接关系,但是会感染导致你的防火墙无效~~呵呵,希望你得到解决~~~
标签:flood攻击测试软件
已有3位网友发表了看法:
访客 评论于 2022-12-29 19:08:23 回复
接请求都直接转发至服务端A,待判断为非法连接(无返回ACK)时才采取措施拆除连接,浪费服务端系统资源; 2.防火墙在本地建立表项以监控连接(一个类似TCP Backlog的表),有
访客 评论于 2022-12-29 18:40:54 回复
Y:禁止上网 IPConflict:定时的IP冲突 SniffGateway:监听选定机器与网关的通讯 SniffHosts:监听选定的几台机器之间的通讯 SniffLan:监听整个网络任意机器之间的通讯,这个功能过于危险,可能会把整个网络搞乱,建议不要乱用。 所有的攻击在你觉得可以停止后都
访客 评论于 2022-12-29 12:14:24 回复
未指定来源的连接请求一概拒绝。这在一个需要面向公众提供服务的场合下是不适合的。而且攻击者可以通过IP伪装(IP Spoof)来直接攻击受TCP Wrapper保护的TCP服务,更甚者可以