黑暗中的影子－网络篇

编者注：本文摘自于即将出版的黑客新书《暗战：数字世界之战》第一章 黑暗中的影子 网络篇，前京东安全经理朱磊转型之作，从业十余年经历自述。

[[131010]]

黑夜给了我黑色的眼睛，我却用它来翻白眼。如果你用这句话做过论坛签名，你是一位资历还算比较老的黑客，或者称之为信息安全爱好者更为贴切一些。那还是一个在论坛中讨论各类远程溢出、弱口令扫描，论坛中还会有一个板块公布让大家练手的弱口令肉鸡的开放时期，使用着流光和灰鸽子，偶尔自己电脑还中个震荡波病毒手足无措看着电脑陷入一次次重启倒计时的年代。

在信息安全发展的每一个阶段都有很多历害的人出现，工具越写越强大，攻击手法越来越风骚，在信息安全这个行当里浪荡了十多年让我了解到人外有人，山外有山，高人外还有高人，让我养成了低调的性格，我从来不炫耀自己知识渊博，经验丰富，代码风骚，工作效率恐怖，各类开发语言无不精通，熟练掌握各种攻击技巧，日出而息，日落耕作，默默苦练技能20余年，一天只睡3小时，且身体强壮。可连续黑站100小时不休息，同时与不支持我黑站事业的所有人断绝关系，如果你读到这里感觉头晕目眩，有一种想发泄怒火关电脑砸键盘的冲动，那么恭喜你，这是正常的情绪，如果你读完这一小节文字感觉很舒服、犹如打通了任督二脉，那么也恭喜你，你该吃药了。

在甲方公司工作多年经历过很多有意思的攻击事件，也尝试过一些有意思的手法，至少在当时让很多同事哭笑不得关机砸键盘怒骂大dengjiu。

早些年间在企业内做信息安全主要的工作是做渗透测试，挖代码漏洞，做安全培训，制定各类标志性的制度和规范。渗透测试一定是摆在第一位开山斧。至少在内部发现一堆无法衡量损失的看上去很历害的漏洞可以向领导邀功，证明自己是有价值的小阿三。

内部环境的管理混乱导致的安全隐患是通用的表现，到现在为止此类问题还存在与很多公司中。IP管理混乱、弱口令、低版本应用程序、未经安全测试的各类运维支撑系统，依然是常见的内网问题。

喜爱故作神秘的我喜欢在出其不意的时间使用一种风骚的方式进行企业内网的渗透测试，渗透测试开始时我只会邮件通知我的领导，我将要开始做这件事情，同时，会在中午12点准时开始动手，因为这个时候大家都去吃午饭了，很多人是没有锁屏习惯的，挨个给PC机上建一个管理员账号并开启远程终端。同时，为了了解大家使用密码的习惯，萌发了一个更风骚的想法，通过ARP欺骗的方式对大家的密码进行一次统一的收集，一个万劫不复历史罪人的举动。。。。。

在这个不冷静的想法之下我做了一件不冷静的事情，我没有判断当时的网络环境是否支持混杂模式，直接开启了ARPSNIFFER，结果导致办公区集体断网。幸好大家的惯性思维解救了我，在断网的那一刻，只听网管大喊，内网出来ARP病毒了，大家快杀毒。哈哈。我快速停掉ARP攻击，网络恢复正常，大家没有走心事情也就过去了。

看来只能换思路了，ARP SNIFFER有两种使用场景，一是以自己做为主角对网关进行欺骗，二是只监听本机数据包。在尝试欺骗大家让自己成为网关失败后，只能用第二种方式了，要使用本机监听有一个条件，就是要获得主机的权限。考虑到企业内部通常为了账号统一，ERP/OA/MAIL等内部系统都采用统一认证。只要拿下其中一台主机的权限就大功告成了。

在经过一番尝试之后，我将目标选为邮件服务器，企业内部为了最大化的利用资源，通过内部系统会将好几个应用放在一起共用一台服务器，邮件服务器就是此类。使用MS SQL弱口令获得了系统的管理员权限，并成功在服务器上部署了HTTP SNIFFER。监听FTP、HTTP、25。盯了一会屏幕发现这种守株待兔的方式获取密码的效率并不高。想要在短时间内收集最多的密码还需要一个方式。

此时隔壁的小明一句闲聊让我神清气爽起来。今天是发工资的日子，公司有一个惯例，HR的系统会在发工资的日子给大家邮件工资明细。

小明一句失望的“工资还没到账”敲醒了我的脑壳。于是我在公司的内部通讯平台RTX中的公司大群里喊了一句“工资到账了”秒秒钟后SNIFFER的邮件服务器上快速的翻页很短的时间内得到了很多人的密码。在小明莫名奇妙的眼神看向我时，我得意的甩还一个浪荡的眼神。眼角的余光还看见小明小盆友默默的也点了一次收件按钮，在他恶恨恨的一句“骗子”声中我得意的看着自己的收获。

也在这一次的测试过程中我不止收获了大部分人的密码，同时，也收获了公司第一期信息安全公开课的授权以及近百名首批听课的学员。

解说：ARP攻击原理

攻击者向电脑A发送一个伪造的ARP响应，告诉电脑A：电脑B的IP地址192.168.0.2对应的MAC地址是00-aa-00-62-c6-03，电脑A信以为真，将这个对应关系写入自己的ARP缓存表中，以后发送数据时，将本应该发往电脑B的数据发送给了攻击者。同样的，攻击者向电脑B也发送一个伪造的ARP响应，告诉电脑B：电脑A的IP地址192.168.0.1对应的MAC地址是00-aa-00-62-c6-03，电脑B也会将数据发送给攻击者。

至此攻击者就控制了电脑A和电脑B之间的流量，他可以选择被动地监测流量，获取密码和其他涉密信息，也可以伪造数据，改变电脑A和电脑B之间的通信内容。

如果你觉得这种解释太难懂，那么我用一个更简单的例子告诉你ARP攻击 是怎样的。

我是隔壁老王，我欠隔壁小王500块钱，然后我今天发工资了去还钱，当我敲开小王家门的时候发现小王媳妇穿着睡袍那样子特别滴性感，于是我跟小王老婆说，我给你500块钱，你给我看一眼裸体，小王老婆答应了，让我看了她的裸体然后我把500块钱，她十分开心收下钱关上门，成功欺骗并获得信任。

点评

企业内网犹如受围墙保护的居民，大家总认为与外界隔离又受到各种网络限制和防护，使用弱口令、低版本的运维支撑系统不会有任何问题，这个想法是十分糟糕的，既然今天的话题中得到了ARP攻击，那针对ARP的防护办法是内部建立规范的IP管理制度，针对IP地址进行登记管理，同时，在交换机中进行MAC绑定，关闭交换机的混杂模式。

1.内部建立规范的IP管理制度，针对IP地址进行登记管理。

2.在交换机中进行MAC绑定。

3.关闭交换机的混杂模式。