危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2308 浏览22661706

教大家来强行占用内部ip地址

在内部网络,我们无法同时使用两个相同的ip地址,因为当我们更改的ip地址已经有人使用时,系统就会弹出一个ip冲突提示,把修改ip的操作给终止了。这个时候如果我们想使用这个ip,只能等到对方关机或断网。出于某种目的,我们希望强行占用这个ip,能不能办到呢?答案是肯定的。

首先正常更改一下ip地址,通过抓包可以发现系统广播了三个arp请求报文和一系列netbios报文后,将ip成功更改。再更改一下ip地址,这个时候更改的ip为一个目前正在使用的一个ip。再次抓包后发现,系统在发送arp请求报文后就收到了来自正在使用此ip的计算机发过来的arp应答报文,它的arp字段的源ip地址与我们本机ip地址一样,这样的arp应答报文称为免费arp报文。系统收到这样的应答报文后便会产生一个ip冲突的提示,然后就把更改ip的操作给终止了,因此无法在内部子网内使用相同的ip地址。

现在知道了系统是通过免费arp报文来禁止使用相同的ip,那么如果我们把免费arp应答报文拦截掉,系统还会禁止我们使用相同的ip吗?要拦截免费arp应答报文,自己写代码有点困难,那就利用现成的工具吧!经过测试我发现antiarp防火墙(试用版有十五天期限,到期后可以选择变为合作版继续使用,代价就是主页被修改成百度)可以拦截掉免费arp应答报文。正常启用arp防火墙功能后,不需要进行任何设置。现在再来把ip更改为已经有人在使用的ip地址。这个时候不会再收到ip冲突提示,几秒钟后更改ip便会成功。不过想安心的使用这个抢来的ip只是绕过本机系统的封锁还不行,我们还得绕过整个内网的封锁。

上一个步骤我们虽然把ip给成功更改了,但ping几次域名后便可以发现,网络时断时续,甚至无法上网。这是由于arp协议的缘故,由于同一个ip已经有两个人使用,假设使用这个ip的a机器正在ping一个域名,那么它首先会广播一个arp请求报文获取网关的mac地址,网关收到请求报文后,会将请求报文内源ip对应的mac地址更新到缓存。这个时候,另一个同时使用此ip的b机器将出现断网,因为b机器的报文再发到网关后,网关并不会将返回报文发送给b了,而是会发送给刚才更新后的a机器对应的mac地址,所以网络时断时续,并且因为机器请求mac地址的报文是广播发送的,其中一台机器接收到这个报文后还会产生ip冲突提示。除非使用arp防火墙屏蔽免费arp报文。因此我们还得再做些手脚,把这些不该出现的问题解决了。解决的方法很简单,只需要将本机的mac地址更改为和被占用机器的mac地址一样,这些烦恼就全部解决了。

要获取指定机器的mac地址,我们可以使用nbtstat —a 对方ip这个命令来获取。但这个方法必须在对方启用netbios协议的前提下才行,如果对方没有启用的话,还有一个方法,那就是通过arp协议来获取。只需要ping一下对方的ip地址,然后使用arp -a就可以看到对方的mac地址了。

即使对方的防火墙屏蔽icmp回送/请求报文,也能正常获取,因为arp协议工作在osi的链路层。当然这个操作得在我们占用对方ip前使用,待占用得手后再更改(更改本机mac操作:本地连接——右键——属性——配置——高级——network addree处填入我们需要更改的mac即可;也可以打开antiarp防火墙——工具——设置——网络——手动设置中修改,到这里占用ip的工作就完成了。那些基于ip与mac的acl从此成为历史。希望大家不要乱设,特别是将本机的ip设置为和网关一样,小心boss找我们的麻烦。

相关推荐