网络攻击：如何中断指定两台电脑的连接

[52144] 主题：网络攻击：如何中断指定两台电脑的连接

	作者： leaflet (Leaf)
	标题：网络攻击：如何中断指定两台电脑的连接[转载]
	来自： 218.80..
	发贴时间： 2003年04月26日 13:33:52
	长度： 2080字

	网络攻击：如何中断指定两台电脑的连接作者：宋宾关键字:MAC ARP 本文讲述如何中断两个电脑A和B之间的连接，这个问题听起来好像没有什么实际用处，不过如果你喜欢玩CS这样的局域网对战游戏就知道他的妙处了。。。。J 首先，我们要知道，局域网中的任何一台电脑都有自身的IP，但是IP只是一个逻辑地址，是可以随便改变的，两个节点之间如果要进行数据的传输，就必须知道对方的IP。这是任何人都知道的，但是只知道IP，还不能进行数据传输，我们必须知道它的物理地址，也就是说网卡的MAC地址。那么如何知道一个MAC地址呢？当两个节点A和B第一次进行连接以前，A并不知道B的MAC地址，此时A通过ARP协议发送一个广播包，网络中的所有节点都会收到这个广播包，这个包中记载了A的IP和MAC地址，同时记载了B的IP，这个时候当节点B接收到这个广播包以后发现里面的IP就是自己的IP地址，于是就向A的IP发送一个回复包，告诉A 节点B的MAC地址是什么，这样A和B就完成了第一次连接，以后再进行数据的传输就不用再去获得对方的MAC地址了，只要从自己的ARP高速缓存中取出B或者A的MAC地址，然后直接发送。此时我们看到，他首先会查找自己的ARP高速缓存，如果缓存中没有才会去发送广播包找寻MAC地址。这里就是关键了，也就是说如果我们能让A的ARP高速缓存中B的IP 所对应的MAC地址永远是错的，就可以造成A不能访问B了，当然，A还可以随便访问别人，而且B可以访问A，明白了吗？下面我们说说具体实现。首先我们需要有一个局域网流量分析软件，我是用的是Iris，开动Iris的监控，截获B回复A的ARP数据包（这个包保存好，以后可以随时用），停止监控。在数据包中，找到B的MAC地址（ARP Data中），改成FFFFFFFFFFFF，然后把这个包发送出去，可以设置为发送9999次，间隔1，这样，A电脑里面ARP高速缓存的MAC地址和IP地址的对照就会一直错下去，直到停止发送后过几秒钟才会恢复正常。这样A和B的传输就中断了。如果不能轻易获得B回复A的ARP数据包，可以更改自己的IP为A的IP，然后Ping B的IP，得到这个包，把包中MAC header里面的Dest Address改成A的MAC地址再使用上面的方法。实际上由于ARP数据字段和MAC Header字段都没有检验和，所以可以使用任何一个数据包来伪造。上面就是我的土方法，已经自己测试过了，如果大家有其他的方法希望能够告诉我，让我们共同进步，也欢迎指出错误或者不明白的可以问我，谢谢。 QQ:393356（请注明看了这篇文章。） Email:guiwang.com@163.com
	========== * * * * * ==========

上级目录