前兩天買的過期雜志上看到的一款軟件， 剛開始還沒注意， 后來就恨自己雜志買晚了。 （今年3月份的《黑客防線》）

那個神奇的軟件， 就像我標題上說的， 叫SSClone， 解釋起來就是：Switch Session Clone， 也就是“交換機會話克隆”（純字面翻譯， 純的～ ）。

這個軟件有什么用？其特點就是可以不通過傳統的ARP欺騙方法， 來實現局域網內的會話監聽、劫持、復制等操作。 （其實這個軟件本身是用來會話復制的， 也就是攔截客戶機發送給網關的數據包， 如果攔截網關發送給客戶機的數據包， 那么就是會話劫持了。 ）

因為采用了非ARP欺騙的技術， 結果不用測試都可想而知， 所有的ARP防火墻都對它不起作用。 （廢話了， ARP防火墻就是攔截ARP的， 沒有ARP數據包有個鳥用啊， 哈哈）

今天自己組建了一個小環境， 做了測試， 具體環境如下：

一臺傻瓜交換機（就是不可管理的）， 一臺筆記本（作為被攻擊者）， 一臺服務器（作為發動攻擊者）， 還有一個網關（局域網通過NAT網關上網）。

筆記本、服務器和網關通過那個傻瓜交換機連接。 科來分析系統部署在服務器上， 只捕獲服務器本機網卡收發的數據包……

服務器的地址：192.168.1.27  （00 D0 68 06 22 74）

筆記本的地址：192.168.1.100  （00 11 5B CD E8 46）

網關的地址：192.168.1.1  （00 0A EB DA 06 E0）

具體的環境介紹完了， 下面我們開始分析攻擊的過程。

1、首先看看抓包后分析的網關MAC下的IP地址， 除了網關自己的內網IP， 還有一個192.168.1.42， 呵呵， 只要對自己網絡心中有數的管理員， 都會覺得不正常吧！

2、我們打開了SSClone， 開始搜索局域網內的所有IP地址。 程序發出大量的ARP數據包查詢局域網中存活的主機。

這時可以看出， 發送這些ARP請求的是操作者的真實主機， 也就是說， 如果要找用此程序搗亂的人， 可以在此下手。

3、我們看到， 筆記本（192.168.1.100）回答了這個請求。

4、在掃描結束后幾秒鐘， 我們開始對筆記本的數據包進行劫持。

5、現在可以看到， 攻擊者的計算機正在冒用網關的MAC地址以及一個假IP， 向外發送數據包。 也就是向交換機宣稱， 攻擊者所在的端口對應的是網關的MAC， 在真正的網關發送一個數據包， 或攻擊者再次發送一個偽造數據包之前， 這個錯誤的映射關系（網關MAC<——>攻擊者端口）將一直存在。

攻擊者以每秒鐘發送10個包的速度繼續發送， 不斷地讓交換機接收這個錯誤的映射關系。

6、交換機果然被欺騙了， 將目標MAC為網關MAC的數據包， 都發送到了攻擊者的計算機上。 我的科來只在服務器本地捕獲， 如果欺騙不成功， 是不可能收到筆記本與網關的通信內容。

7、截獲之后， 必然要把數據包轉發出去， 否則網絡就不通了嘛～可是現在交換機上對應網關MAC的端口是攻擊者自己的端口， 程序就開始用一個假冒的MAC和IP， 通過ARP請求192.168.1.1（網關）的MAC地址， 網關收到之后會產生一個回應。

這樣正確的根據第5條所述的原理， 正確的映射關系就恢復了， 于是攻擊者的計算機可以把這些截獲的數據繼續傳遞給網關。

之后， 通過再進行第5條所述的方法， 設置錯誤的映射關系。

8、第5條說的數據包的具體結構。

最后， 關于這個方法的一些個人理解：

設置錯誤映射關系的數據包， 不一定是IGMP， 其他的數據包也有可能， 只要偽造一下MAC地址即可。

找出攻擊者， 可以參考第2條的內容， 但如果攻擊者變通一下手法， 也不一定管用。

通過原理可以大致推斷出， 這個方法除了搞劫持， 還能搞斷網掉線……只要攻擊者不轉發數據包就可以了。

解決方法， 需要通過交換機的端口綁定來實現， MAC和IP雙綁已經沒有作用了。

因為是基于交換機端口的， 所以那種設置子網來屏蔽ARP泛濫的方法， 也沒用啦！

剛剛接觸這種技術， 有不正確的地方歡迎大家指正�。�！

數據包樣本我就不發了， 里面有我郵箱密碼呀。 。 。 。