问题描述:
非常有创意的内网IP划分,可以扼制局域网自动传播病毒
哈哈,以前想到的,今天无聊打了出来。
内网客户机的IP区别在第三位,子网掩码按A类网的常规是255.0.0.0,顺序如下:
10.10.0.10
10.10.1.10
10.10.2.10
.....
10.10.253.10
10.10.254.10
10.10.255.10
可能会有些网管软件第一次添加起这些客户机IP来有些麻烦 - 不能批量添加,不过这毕竟只是个小问题。
分析市面上流行的一些内网蠕虫类病毒、ARP欺骗,都是在IP最后一位的变化基础上进行内网目标枚举,例如:10.10.88.10这台电脑要是中毒了,往往去枚举10.10.88.1 - 10.10.88.254这些目标IP地址,那这样其它客户机根本不会受到影响。
判断你的子网掩码进行全网枚举的病毒,我还没见过(全网枚举也不怕,10.x.x.x整个网段有16777216个目标IP呢,一天下来,病毒也运行在枚举判断的第一阶段,让它慢慢玩)
我认为这样的规划不会给网吧正常的网络应用带来异常,比如CS搜索局域网服务器的扫描,它是发<目标IP地址=10.255.255.255 目标端口=UDP27015-27020>这样几个广播包,不存在枚举情况,所以不会出现网段跨度太大扫描不到服务器的情况。如果有朋友认为会有什么问题请回贴指出,我们可以讨论。至于“广播风暴”,呃~~~去撞墙吧,保证不冤枉。
即然没有问题,又这么有个性,又可以用来防范内网蠕虫类病毒、ARP欺骗(服务器还是要绑定客户机MAC地址的)和其它一些基于局域网枚举目标后的攻击手段,为什么不试试呢?
就算病毒会发广播,那有什么意义呀?难道病毒会向10.255.255.255/TCP139发送一个广播包,所有侦听netbios端口的客户机都会响应这个请求,然后中毒的电脑顺利的与所有发出回应的电脑建立起三次握手?
目前我能想得起来的:响应广播报文的应用服务,就SQL的UDP1434、还有要么是一些基于tcp/ip的局域网联网游戏。
呵呵,发个广播就能让人中毒,那地球上的网络真是太危险了,我还是回火星上去吧。。。
至于ARP欺骗,arp-a网关=dynamic状态下,客户机并不会因为收到一个精心设计的广播包,而对原本那个网关的mac失去忠诚度,这个可以试验,或去google一下arp缓存更新的机制。
----除非那台中毒机找你单独谈话。
有句术语叫做所谓广播是发现未知设备的一个重要手段。
如果把发现未知设备的手段变成枚举,那。。。。这种程序设计的太失败了吧
1、我用A类内网已经两年了,用的也是八位掩码,还真没见过从10.0.0.1 - 10.255.255.254这么进行枚举的,都是C类特症的范围枚举。当然,凡事无绝对,这个就看恶意程序的设计者怎么考虑了。
2、我在顶楼也说得很清楚了,10.x.x.x是一个1600多万的寻址空间。恶意程序想要完成一次搜索,恐怕是需要很久很久的时间。
3、如果有些恶意程序不是分两步走,而是搜索跟“进攻”同时进行的。你把自已的网段调至10.250.x.10,那么恶意程序想要找到第一个响应目标,也不是那么容易的。
如果有这么一种病毒:它不是主动出击去枚举,查找目标,而是静静的呆在网吧这种交换机环境的局域网内进行监听。那么一段时间之后,它确实能获得该局域网的一部分电脑的IP、MAC之类的资料,注意只是一部分,或一小部分。
问题解答:
然后,市面上绝大多数蠕虫都不是这么做的:它们就是主动出击型的。我反复强调了:我这个办法只是为了让病毒不是那么软易能获得同局域网内其它电脑的IP、MAC这样的信息。认为IP这么规划对打开网上邻居会有影响?兄弟去研究一下域控游览服务是怎么回事吧。还有,貌似你在给我普及局域网内广播数据包的常识,我有点不明白了:我有什么时候在否认广播吗?我只是想说明:想靠一个广播数据包来获取局域网内其它所有在线客户机的IP/MAC,几乎是不可能的。除非它们全开着SQL、CS服务器、你所举例的DHCP服务,当然还有其它种类“对特定端口的广播会有响应”的服务。你反映了个一个典型问题,好多人都怕子网掩码大,好像用个八位掩码会带来巨大的灾难。真得要吐血了,子网掩码大到底有什么坏处啊?你们到底在怕什么哦!怎么搞现代迷信的人这么多。。。
也许可行,不过意料之外的不稳定因素太多了,可能只能用于小型局域网。而且要是哪个编病毒看到了,也只不过多加几个判断语句罢了。
为什么掩码不用255.255.0.0?
上海旅游网