PPPOE验证缺陷所带来的危害 - 图文
更新时间:2023-10-21 06:20:01 阅读量: 综合文库 文档下载
- pppoe验证失败推荐度:
- 相关推荐
PPPOE验证缺陷所带来的危害(图)
随着网络技术的高速发展,不同接入方式也因此步入我们的生活当时,从中最为普遍的两种接入方式为ADSL接入和FTTx+LAN接入方式,ADSL即非对称数字用户线路,是一种通过普通电话线和ADSL MODEM虚拟拨号到远程ISP的PPPOE服务器,从PPPOE服务器上获取一个动态的IP地址来上网的,而另一种FTTx+LAN接入方式是通过光纤到一个小区的中心交换机,小区里的用户是不需要通过ADSL MODEM,而是直接连接到楼层的交换机上,进行虚拟拨号到远程ISP的PPPOE服务器,进行上网,这也就是人们常说的小区宽带了。在小区宽带里我们可以利用PPPOE验证的缺陷来盗获别人的帐号和密码。
首先,我们先来简单了解一下PPPOE验证的大概过程(详细的大家可以上网搜索)。假如在小区宽带(相当于一个局域网里)某一客户端要与远程的 PPPOE服务进行身份验证,PPPOE会话由发现阶段和PPP阶段这两种阶段组成,当一个客户端想开始一个PPPoE会话时,它必须首先进行发现阶段以识别对端的以太网MAC地址,并建立一个PPPoE会话ID。在发现阶段,是基于网络的拓扑,客户端可以发现多个PPPoE服务器。并且在发现阶段允许客户端找到所有的PPPoE服务器,然后可以从中选择一个,不过通常都是选择反应最快的一个,这与DHCP发现过程是不是很类似?当发现阶段成功完成,客户端和它选择的PPPoE服务器都有了它们在以太网上建立PPP连接的信息。直到PPP会话建立,发现阶段一直保持无状态的状态。一旦PPP会话建立,客户端和PPPoE服务器都必须为PPP虚拟接口分配IP资源。
由于PPPOE验证并不是一定要验证到电信或网通的PPPOE服务器上的,而是通过广播方式寻找最近的PPPOE服务器进行身份验证,这正因为这一点,我们可以在本地架设一个PPPOE服务器,那么我们这个小区里,只要在同一个交换机上的用户,恐怕都要验证到我的电脑上来了,我就不是可以轻松地获取到他们帐号和密码了,哈哈哈。下面我通过 RASPPPOE_099和windows server 2003的路由与远程访问功能可以实现一台真正的PPPOE服务器。
架设PPPOE服务器
首先,我们需要一款叫 RASPPPOE_99的软件,事先要解压缩到桌面,(无论解压缩到那里都没有关系)这是一款能将本机设置成一台PPPOE 服务器的软件,先将软件安装好,打开“本地连接”的属性,点击“安装”,再选择“协议”,然后再点击“添加”,再单击“从磁盘安装”,如图1
选择好 RASPPPOE_99所在目录,点击“确定”,会自动弹出一个选择网络协议的对话框,将里面的 “ppp over Ethernet protocol”选中,如图2
最后点击“确定”,待安装完成后,在“本地连接”的属性里会多出一个 ppp over Ethernet protocol的选项,确定。如图3
然后自己先拨号上网,再选择TCP/IP属性,给本机设置一个IP地址: 192.168.0.4 255.255.255.0,DNS一定要设置,(DNS根据自己当前拨号上网的电信或网通的DNS,可以在CMD中用 IPCONFIG/ALL查询)其他为空!
到这里我们的电脑已经是一台PPPOE的服务器了,但是我们还需要另外一个功能,也就是Windows server 2003路由与远程访问功能的辅助 打开“管理工具”中运行“路由与远程访问”管理单元,然后在窗口中右击XTAFLF-KYJX17IB(本地)图标(注:XTAFLF- KYJX17IB是计算机名)选择“配置并启用路由与远程访问”,在安装向导里点击“下一步”选中“远程访问(拨号或VPN)”,再“下一步”,选中“拨号”如图4,再“下一步”,选中“来自一个指定的地址范围”,
“下一步”,新建一个IP地址的范围:192.168.0.5-192.168.0.253,确定,再“下一步”选中“否,使用路由和远程访问来对连接进行身份验证”,再“下一步”
最后点击“完成”,会弹出一个远程路由访问的对话框,你再点击“确定”,好,这里路由和远程访问就开始启用了。
再右击XTAFLF-KYJX17IB(本地)图标选“属性”,点击“安全”再单击“身份验证方法”在“不加密的密码(PAP)”前打“勾”,将其他的勾全部去掉,确定。如图6
再点击“远程访问策略”,右击右面的“到Microsoft路由选择和远程访问服务器的连接”选“属性”再选中“授予远程访问权限”,然后再点击“编辑配置文件”,切换到“身份验证”,只要在“未加密的身份验证”,前打“勾”,其他全部为空。确定,再切换到加密,在里面选中无加密,如图7,
会弹出一个帮助主题,大家点“否”就可以了,再回到“远程访问策略”,再右击“到其他访问服务器的连接”的属性,设置和刚才“到Microsoft路由选择和远程访问服务器的连接”是一样的。再点击“远程访问记录”右击“本地文件”选属性,将设置里面的三个记录选项全部打上勾,这样系统会自动记录当前在拨号的用户,记录下来的文件会保存在c:\\windows\\system32\\ LogFiles\\以IN时间命名.log的文件中,(注:如果此时没有人在拨号的话,是不会生成IN时间命名.log,文件里记录的内容只有拨号的帐号,要想得以密码要进一步地去监听),看,文件生成了,打开它,如图8,有一个用户已经拨号了,那么赶快开始监听。
经过上面的一系列设置,现在我们可以开始监听人家的宽带帐号和密码,好,跟我来。打开监听软件ethereal(先要安装.双击WinPcap驱动,再安装 ethereal),点击“Capture”选“start”,里面的设置都默认好了,不用去更改它,再点OK。如图9
接下来的工作就交给ethereal,我们就等着鱼儿上钩好了。
不一会,就监听到好多数据包了,点“Stop”,来看看抓到帐号、密码没,如图10
(注:图中的帐号是jxlan222996,中间那个空格不算的)。 一共监听到4个帐号:jxlan224990 202196* jxl.206095112 33209* jxlan229198 202631* jxlan222996 2296
(可能今天大伙都去上班了,没几个人在家里上网吧)
此时人家的电脑拨号是成功不了的,总会提示是691错误,也就是用户名或密码不正常。时间一长,很容易被人发现,如果他们打电话到电信
去,电信里的人来查的话,那么就完蛋了,所以这里我们应该想办法能使他能够拨号成功,以进一步地去入侵、监听他电脑上其他密码等。那么继续往下看吧。
局域网大入侵
首先,右击“我的电脑”选“管理”再到“本地用户”,新建一个用户名为:jxlan 229198,密码:202631的帐号,再设置 jxlan229198用户的属性,在“拨入”选中“通过远程策略控制访问”然后确定。陆续将其它的三个帐号都添加进去,也做相同的设置。那么此时,对方的电脑就能成功拨号了,也是可以上网,只是我和对方在一个局域网里,并且对方的电脑是通过我的电脑做网关在上网的。然后我们再回到路由和远程访问中,点击一下“远程访问客户端”已经有一台名jxlan229198主机了哦,双击这台主机,我们就可以看到DHCP所分给它的IP地址为 192.168.0.7,如图11,再来PING一下,如图12。
嘿嘿,此时再来开个Sniffer来监听对方其他的一些帐号和密码,如图13、14看,192.168.0.7正在进入126.com的邮箱呢。用户名:可惜密码是加密的!192.168.0.8这台正登录QQ呢,不过QQ的传输是加密的,我们监听不到明文。
xtaflf88
不过没关系大家可以继续监听,一定能拿到有用的密码的,至于入侵对方的话,相对来说是已经容易多了,因为已经在一个局域网了(入侵局域网的方法,先用扫描工具扫描一下,以得到的信息做进一步的入侵,也可以参考第10期里的《利用DNS欺骗在局域网中挂马》的文章)。 这个方法的危害性太大,希望大家在测试的时候,小心慎重,切记!
正在阅读:
PPPOE验证缺陷所带来的危害 - 图文10-21
德尔格在线产品手册04-12
八年级数学下册晚修辅导练习1001-04
计算机基础知识试题及答案选择题05-12
江苏省征地补偿和被征地农民社会保障办法 省长令93号01-14
如何增强高职生顶岗实习安全管理07-24
尔雅军事理论参考答案16新版-张国清04-19
2014年上虞区高一竞赛数学试卷A卷05-06
03—04下期三4班学生评语11-16
- 多层物业服务方案
- (审判实务)习惯法与少数民族地区民间纠纷解决问题(孙 潋)
- 人教版新课标六年级下册语文全册教案
- 词语打卡
- photoshop实习报告
- 钢结构设计原理综合测试2
- 2014年期末练习题
- 高中数学中的逆向思维解题方法探讨
- 名师原创 全国通用2014-2015学年高二寒假作业 政治(一)Word版
- 北航《建筑结构检测鉴定与加固》在线作业三
- XX县卫生监督所工程建设项目可行性研究报告
- 小学四年级观察作文经典评语
- 浅谈110KV变电站电气一次设计-程泉焱(1)
- 安全员考试题库
- 国家电网公司变电运维管理规定(试行)
- 义务教育课程标准稿征求意见提纲
- 教学秘书面试技巧
- 钢结构工程施工组织设计
- 水利工程概论论文
- 09届九年级数学第四次模拟试卷
- 缺陷
- 危害
- 验证
- 带来
- 图文
- PPPOE
- 大学生心理健康考试重点
- 腔体滤波器的设计中耦合窗口的计算
- 东华大学入学测试机考《数学》(高起点)模拟题及答案
- 四年级上数学期末试题综合考练(24)人教新课标(附答案)
- 基于MATLAB的多容对象液位控制系统仿真毕业设计(PID 串级控制)
- 小学二年级美术上册全册教案 岭南版 教师收藏
- ESXI5.1配置手册 - 图文
- 深圳市华侨城中学广东省普通高中教学水平评估自评报告
- 读《为历史学辩护》有感
- 电工培训试题
- 220KV变电站运行规程
- 绍兴文理学院--matlab选修课第三次作业
- 路桥方向-二级公路-毕业设计说明书
- 安徽工业大学嵌入式实验报告
- 金煌硅藻泥使用说明
- 金日光版课后习题精选
- 水力学与水泵复习题 dochua
- 质量(2-1 方差分析)
- (7,4)汉明码课程设计要点
- 脂质代谢、营养学特点及结构脂质的应用