來源：CSNA網絡分析論壇

前兩天買的過期雜志上看到的一款軟件，剛開始還沒注意，后來就恨自己雜志買晚了。（今年3月份的《黑客防線》）
那個神奇的軟件，就像我標題上說的，叫SSClone，解釋起來就是：Switch Session Clone，也就是“交換機會話克隆”（純字面翻譯，純的～ ）。

這個軟件有什么用？其特點就是可以不通過傳統的ARP欺騙方法，來實現局域網內的會話監聽、劫持、復制等操作。（其實這個軟件本身是用來會話復制的，也就是攔截客戶機發送給網關的數據包，如果攔截網關發送給客戶機的數據包，那么就是會話劫持了。）
因為采用了非ARP欺騙的技術，結果不用測試都可想而知，所有的ARP防火墻都對它不起作用。（廢話了，ARP防火墻就是攔截ARP的，沒有ARP數據包有個鳥用啊，哈哈）

今天自己組建了一個小環境，做了測試，具體環境如下：
一臺傻瓜交換機（就是不可管理的），一臺筆記本（作為被攻擊者），一臺服務器（作為發動攻擊者），還有一個網關（局域網通過NAT網關上網）。
筆記本、服務器和網關通過那個傻瓜交換機連接。科來分析系統部署在服務器上，只捕獲服務器本機網卡收發的數據包……
服務器的地址：192.168.1.27? （00 D0 68 06 22 74）
筆記本的地址：192.168.1.100? （00 11 5B CD E8 46）
網關的地址：192.168.1.1? （00 0A EB DA 06 E0）

具體的環境介紹完了，下面我們開始分析攻擊的過程。

1、首先看看抓包后分析的網關MAC下的IP地址，除了網關自己的內網IP，還有一個192.168.1.42，呵呵，只要對自己網絡心中有數的管理員，都會覺得不正常吧！

2、我們打開了SSClone，開始搜索局域網內的所有IP地址。程序發出大量的ARP數據包查詢局域網中存活的主機。
這時可以看出，發送這些ARP請求的是操作者的真實主機，也就是說，如果要找用此程序搗亂的人，可以在此下手。

3、我們看到，筆記本（192.168.1.100）回答了這個請求。

4、在掃描結束后幾秒鐘，我們開始對筆記本的數據包進行劫持。

5、現在可以看到，攻擊者的計算機正在冒用網關的MAC地址以及一個假IP，向外發送數據包。也就是向交換機宣稱，攻擊者所在的端口對應的是網關的MAC，在真正的網關發送一個數據包，或攻擊者再次發送一個偽造數據包之前，這個錯誤的映射關系（網關MAC<——>攻擊者端口）將一直存在。
攻擊者以每秒鐘發送10個包的速度繼續發送，不斷地讓交換機接收這個錯誤的映射關系。

6、交換機果然被欺騙了，將目標MAC為網關MAC的數據包，都發送到了攻擊者的計算機上。我的科來只在服務器本地捕獲，如果欺騙不成功，是不可能收到筆記本與網關的通信內容。

7、截獲之后，必然要把數據包轉發出去，否則網絡就不通了嘛～可是現在交換機上對應網關MAC的端口是攻擊者自己的端口，程序就開始用一個假冒的MAC和IP，通過ARP請求192.168.1.1（網關）的MAC地址，網關收到之后會產生一個回應。
這樣正確的根據第5條所述的原理，正確的映射關系就恢復了，于是攻擊者的計算機可以把這些截獲的數據繼續傳遞給網關。
之后，通過再進行第5條所述的方法，設置錯誤的映射關系。

8、第5條說的數據包的具體結構。

最后，關于這個方法的一些個人理解：
設置錯誤映射關系的數據包，不一定是IGMP，其他的數據包也有可能，只要偽造一下MAC地址即可。
找出攻擊者，可以參考第2條的內容，但如果攻擊者變通一下手法，也不一定管用。
通過原理可以大致推斷出，這個方法除了搞劫持，還能搞斷網掉線……只要攻擊者不轉發數據包就可以了。
解決方法，需要通過交換機的端口綁定來實現，MAC和IP雙綁已經沒有作用了。
因為是基于交換機端口的，所以那種設置子網來屏蔽ARP泛濫的方法，也沒用啦！

剛剛接觸這種技術，有不正確的地方歡迎大家指正！！！
數據包樣本我就不發了，里面有我郵箱密碼呀。。。。