來源：CSNA網(wǎng)絡分析論壇

前兩天買的過期雜志上看到的一款軟件，剛開始還沒注意，后來就恨自己雜志買晚了。（今年3月份的《黑客防線》）
那個神奇的軟件，就像我標題上說的，叫SSClone，解釋起來就是：Switch Session Clone，也就是“交換機會話克隆”（純字面翻譯，純的～ ）。

這個軟件有什么用？其特點就是可以不通過傳統(tǒng)的ARP欺騙方法，來實現(xiàn)局域網(wǎng)內(nèi)的會話監(jiān)聽、劫持、復制等操作。（其實這個軟件本身是用來會話復制的，也就是攔截客戶機發(fā)送給網(wǎng)關的數(shù)據(jù)包，如果攔截網(wǎng)關發(fā)送給客戶機的數(shù)據(jù)包，那么就是會話劫持了。）
因為采用了非ARP欺騙的技術(shù)，結(jié)果不用測試都可想而知，所有的ARP防火墻都對它不起作用。（廢話了，ARP防火墻就是攔截ARP的，沒有ARP數(shù)據(jù)包有個鳥用啊，哈哈）

今天自己組建了一個小環(huán)境，做了測試，具體環(huán)境如下：
一臺傻瓜交換機（就是不可管理的），一臺筆記本（作為被攻擊者），一臺服務器（作為發(fā)動攻擊者），還有一個網(wǎng)關（局域網(wǎng)通過NAT網(wǎng)關上網(wǎng)）。
筆記本、服務器和網(wǎng)關通過那個傻瓜交換機連接。科來分析系統(tǒng)部署在服務器上，只捕獲服務器本機網(wǎng)卡收發(fā)的數(shù)據(jù)包……
服務器的地址：192.168.1.27? （00 D0 68 06 22 74）
筆記本的地址：192.168.1.100? （00 11 5B CD E8 46）
網(wǎng)關的地址：192.168.1.1? （00 0A EB DA 06 E0）

具體的環(huán)境介紹完了，下面我們開始分析攻擊的過程。

1、首先看看抓包后分析的網(wǎng)關MAC下的IP地址，除了網(wǎng)關自己的內(nèi)網(wǎng)IP，還有一個192.168.1.42，呵呵，只要對自己網(wǎng)絡心中有數(shù)的管理員，都會覺得不正常吧！

2、我們打開了SSClone，開始搜索局域網(wǎng)內(nèi)的所有IP地址。程序發(fā)出大量的ARP數(shù)據(jù)包查詢局域網(wǎng)中存活的主機。
這時可以看出，發(fā)送這些ARP請求的是操作者的真實主機，也就是說，如果要找用此程序搗亂的人，可以在此下手。

3、我們看到，筆記本（192.168.1.100）回答了這個請求。

4、在掃描結(jié)束后幾秒鐘，我們開始對筆記本的數(shù)據(jù)包進行劫持。

5、現(xiàn)在可以看到，攻擊者的計算機正在冒用網(wǎng)關的MAC地址以及一個假IP，向外發(fā)送數(shù)據(jù)包。也就是向交換機宣稱，攻擊者所在的端口對應的是網(wǎng)關的MAC，在真正的網(wǎng)關發(fā)送一個數(shù)據(jù)包，或攻擊者再次發(fā)送一個偽造數(shù)據(jù)包之前，這個錯誤的映射關系（網(wǎng)關MAC<——>攻擊者端口）將一直存在。
攻擊者以每秒鐘發(fā)送10個包的速度繼續(xù)發(fā)送，不斷地讓交換機接收這個錯誤的映射關系。

6、交換機果然被欺騙了，將目標MAC為網(wǎng)關MAC的數(shù)據(jù)包，都發(fā)送到了攻擊者的計算機上。我的科來只在服務器本地捕獲，如果欺騙不成功，是不可能收到筆記本與網(wǎng)關的通信內(nèi)容。

7、截獲之后，必然要把數(shù)據(jù)包轉(zhuǎn)發(fā)出去，否則網(wǎng)絡就不通了嘛～可是現(xiàn)在交換機上對應網(wǎng)關MAC的端口是攻擊者自己的端口，程序就開始用一個假冒的MAC和IP，通過ARP請求192.168.1.1（網(wǎng)關）的MAC地址，網(wǎng)關收到之后會產(chǎn)生一個回應。
這樣正確的根據(jù)第5條所述的原理，正確的映射關系就恢復了，于是攻擊者的計算機可以把這些截獲的數(shù)據(jù)繼續(xù)傳遞給網(wǎng)關。
之后，通過再進行第5條所述的方法，設置錯誤的映射關系。

8、第5條說的數(shù)據(jù)包的具體結(jié)構(gòu)。

最后，關于這個方法的一些個人理解：
設置錯誤映射關系的數(shù)據(jù)包，不一定是IGMP，其他的數(shù)據(jù)包也有可能，只要偽造一下MAC地址即可。
找出攻擊者，可以參考第2條的內(nèi)容，但如果攻擊者變通一下手法，也不一定管用。
通過原理可以大致推斷出，這個方法除了搞劫持，還能搞斷網(wǎng)掉線……只要攻擊者不轉(zhuǎn)發(fā)數(shù)據(jù)包就可以了。
解決方法，需要通過交換機的端口綁定來實現(xiàn)，MAC和IP雙綁已經(jīng)沒有作用了。
因為是基于交換機端口的，所以那種設置子網(wǎng)來屏蔽ARP泛濫的方法，也沒用啦！

剛剛接觸這種技術(shù)，有不正確的地方歡迎大家指正！！！
數(shù)據(jù)包樣本我就不發(fā)了，里面有我郵箱密碼呀。。。。