SSClone非ARP會話劫持原理分析

1、首先看看抓包後分析的閘道器mac下的ip位址，除了閘道器自己的內網ip，還有乙個192.168.1.42，呵呵，只要對自己網路心中有數的管理員，都會覺得不正常吧！

2、我們開啟了ssclone，開始搜尋區域網內的所有ip位址。程式發出大量的arp資料報查詢區域網中存活的主機。

這時可以看出，傳送這些arp請求的是操作者的真實主機，也就是說，如果要找用此程式搗亂的人，可以在此下手。

3、我們看到，筆記本（192.168.1.100）回答了這個請求。

4、在掃瞄結束後幾秒鐘，我們開始對筆記本的資料報進行劫持。

5、現在可以看到，攻擊者的計算機正在冒用閘道器的mac位址以及乙個假ip，向外傳送資料報。也就是向交換機宣稱，攻擊者所在的埠對應的是閘道器的mac，在真正的閘道器傳送乙個資料報，或攻擊者再次傳送乙個偽造資料報之前，這個錯誤的對映關係（閘道器mac<——>攻擊者埠）將一直存在。

攻擊者以每秒鐘傳送10個包的速度繼續傳送，不斷地讓交換機接收這個錯誤的對映關係。

6、交換機果然被欺騙了，將目標mac為閘道器mac的資料報，都傳送到了攻擊者的計算機上。我的科來只在伺服器本地捕獲，如果欺騙不成功，是不可能收到筆記本與閘道器的通訊內容。

7、截獲之後，必然要把資料報**出去，否則網路就不通了嘛～可是現在交換機上對應閘道器mac的埠是攻擊者自己的埠，程式就開始用乙個假冒的mac和ip，通過arp請求192.168.1.1（閘道器）的mac位址，閘道器收到之後會產生乙個回應。

這樣正確的根據第5條所述的原理，正確的對映關係就恢復了，於是攻擊者的計算機可以把這些截獲的資料繼續傳遞給閘道器。

之後，通過再進行第5條所述的方法，設定錯誤的對映關係。

8、第5條說的資料報的具體結構。

最後，關於這個方法的一些個人理解：

設定錯誤對映關係的資料報，不一定是igmp，其他的資料報也有可能，只要偽造一下mac位址即可。

找出攻擊者，可以參考第2條的內容，但如果攻擊者變通一下手法，也不一定管用。

通過原理可以大致推斷出，這個方法除了搞劫持，還能搞斷網掉線……只要攻擊者不**資料報就可以了。

解決方法，需要通過交換機的埠繫結來實現，mac和ip雙綁已經沒有作用了。

因為是基於交換機埠的，所以那種設定子網來遮蔽arp氾濫的方法，也沒用啦！