CnCerT.Net.SKiller工作原理

创建时间：2010-01-02 


局域网内争斗是永不停歇啊.记得最初的网络执法官-P2终结者-还有有着文雅名字的聚生网管-这现在有来了一个CnCerT.Net.Skiller汉语名字也不知道。 前面那些都是利用了ARP欺骗，不管你是欺骗网关也好欺骗PC也好。都是用了ARP协议的弱点。 这个CnCerT.Net.Skiller已经不是了。

其实CnCerT.Net.Skiller 一不攻击网关二步攻击PC。那他攻击的什么的。局域网内还有什么，网线？？厉害，。，。，。，呵呵你应该想到了吧。就是交换机。

交换机-比HUB先进，那到底先进到哪呢，就是交换机的MAC表，那这个表什么用呢，HUB没有这张表所以流量从一个口近来从其他的所有口出去。而正因为这张表。交换机不这么笨了。所以这个表记录的是MAC地址与端口的对应关系

给你看一张表



这也就说交换机有MAC地址的学习能力，从交换机的一个口来的流量，就不泛红出去，而是根据MAC表转发。那也是有规定的，针对这个软件攻击我说这个表就 是攻击，那是怎么规定的呢。再针对这个软件我说下MAC表。你看这个 一个MAC一个端口，其实一个口可以学习多个MAC地址的对么？对阿怎么不对阿，我这个口下面接个交换机-交换机下面再接3台PC那么这个口不就3个 MAC地址了么。这是没有问题的，但是翻过来。一个MAC地址可以被不同端口同时学习到么？那是不行的。还有交换机的学习是基于以太网帧头的源MAC地址 学习的别问为什么，交换机就这么规定的。

那如果2个相同MAC的PC P1 P2 都接在一台交换机上有什么情况发生呢，很简单，表会不稳定。MAC表翻动。那传送给P1 或P2的流量该怎么办呢，就看这个流量到了交换机的时候，谁的MAC-端口 对应关系还在。所以两者都可能出现丢包。

谁有流量谁做主，都有流量那就看谁的流量频率大。我想这个现象大家都能想象的出来。

CnCerT.Net.Skiller正是一个利用这个原理进行攻击的一工具。其实又叫MAC欺骗，受骗对象交换机。

不 用这个工具也能达到这个效果，你把你的MAC地址改成和受害PC的MAC一样造成 统一交换机下2个MAC相同的模型，然后不断地向外发送数据，PING就可以 PING 谁无所谓，（当然别PING写127 什么的。PING写走你默认网关的流量）就是制造MAC地址表翻动。。不过这时候你上网也成问题。因为你们两个都是受害者。是吧。那 CnCerT.Net.Skiller 呢可以让你发送假的MAC同时又发送你真的MAC地址。看看我抓到的包。



你发出的包有两个源MAC地址 1时受害者的MAC 2 是你自己的。

我们来看看这个包里面都有什么。



这个包只包含以太网目标地址和原地址。连一个基本的以太网头都不能算。标准的以太头14字节这个少了2字节的TYPE 字段。很明显这个包目的就是让交换机学习到MAC地址，从而造成MAC地址翻动。

这个软件的攻击强度就是发包速度。

好了介绍了这么多，那怎么防治呢，我都想起两种方法，1把交换机换成HUB呵呵谁会那么去做呢，2就是在交换机上邦定MAC地址，和学习MAC地址的最大数量。至于怎么实现不同设备有不同作法，不同厂商有不同解决方案。