arp欺骗 中间人攻击 后门

一，arp欺骗

在xp中ping kali  并使用命令arp -a 查看缓存表 记录动态物理地址

在win7中打开packeth包  点击 interface 选择网卡 选择network的网卡

实验目的对xp 130欺骗 不能上网 （能上网是因为网关的mac地址对应是一样的） 首先测试能否上网   把mac地址改了就不能上网

Arp发送 目的IP mac 写真的 填xp的IP

发送的mac  写假的，ip选择写网关的 是让网关欺骗

目的选择xp的mac  源选择欺骗的网关mac

选择发送会有显示

回到xp  ping www.baidu.com 查询能否上网 arp -a 查看网关mac

显示无法上网 网关mac也改成aa:aa:aa:aa:aa:aa   试验成功

清除缓存 既可以上网 因为mac是动态的

Arp -d 

广播

对整个网段81地址进行欺骗

二，中间人攻击

把xp定位目标一  win7定为目标二

打开嗅探 先ping一下win7 xp

发现有两个request  中间人攻击成功

三，后门

在win7中打开exe文件 可以查看端口为9527

在xp中 命令行 telnet win7IP 

成功进到win7里

Xp关闭程序  win7重启发现还是有9527端口 及程序开机自启

9527端口 进程号为1642 

查看任务管理器 找到进程号为1642 查看名字是

还可以在注册表中 win +r  regedit 编辑查找

然后在计算机中找到文件  

查看源代码发现 后门代码是写入了注册表中以及系统的目录下所以才会自启动   

四，制作vbs

编写vbs代码  完成后保存将后缀名改成backdoor.vbs

编写程序完成 ，打开xp

用账号zs  密码 001 进行登录

Win7显示

远程登陆成功

五，APR欺骗的防御措施

1. 不要把网络安全信任关系，单纯地建立在IP基础上或MAC基础上，理想的关系应该建立在“IP + MAC”基础上。

2.设置添加静态的“ARP映射表”，不要让主机刷新设定好的“ARP映射表”。

3. 除非很有必要，否则停止使用ARP（地址解析协议），将ARP（地址解析协议）作为永久条目保存在“ARP映射表”中。

4.使用ARP服务器，通过该服务器查找自己的“ARP映射表”，以此来响应其他机器的ARP请求广播，并确保这台ARP服务器不被黑。

5.IP的传输，使用“proxy”代理。

6. 使用硬件屏蔽主机，设置好路由，确保IP地址能到达合法的路径（静态配置路由ARP条目）。

7. 使用防火墙连续监控网络。注意有使用SNMP（简单网络管理协议）的情况下，ARP欺骗有可能导致陷阱包丢失。

8.若感染ARP病毒，可以通过“清空ARP缓存、指定ARP对应关系、添加路由信息、使用防病毒软件”等方式解决。

若把后门设置视为攻击的一个环节，则对后门的防范首先也应该遵循网络安全攻防的一般措施，如关闭不用的端口、进行扫描、查看隐藏进程、专业工具查杀、查看系统日志、安全配置防火墙和IDS等。除安全综合防范措施外，还需要针对不同后门采用专门防范措施。针对后门木马的防范措施包括：

• 关闭本机不用的端口或只允许指定的端口访问。多一个端口就等于多给了攻击者一次尝试的机会，而那个不必要的服务，或许正是开门揖盗的罪魁祸首。
• 使用专杀木马的软件。为了有效地防范木马后门，可以使用一些木马专杀工具，如木马克星、木马清除大师、木马猎手、木马分析专家等。这类软件一般是免费的，而且体积小巧，非常适合用来对系统进行经常性的“体检”。
• 学会对进程操作。时时注意系统运行状况，看看是否有一些不明进程正运行，并及时地将不明进程终止掉。常用的进程查看工具有进程杀手、IceSword、柳叶擦眼、系统查看大师、WinProc等，可用它们来检查系统中的进程，并且结束掉有危险的进程。

• 选定适合的网络接口。例如如果你的mysql服务只针对本机，那么完全可以将接口只绑定到127.0.0.1的3306上，这样就避免了其他人外连的可能。
• 对于公开对外的服务，一定需要及时打上相应的patch，犹如我在模拟攻击最开始中透露的一样——获得root权限那一步很多时候是用现成的漏洞找对应bug版本的服务软件的机器来有针对性攻击来实现的。因此记得开了什么服务，就需要随时关注那个服务器软件的bug信息，争取在第一时间升级到稳定版本。