ဒီ LAN attacker ကို NOD 32, Kaspersky , McAfee Antivirus နဲ႔ စမ္းသပ္ျပီးပါျပီ 100% Clean ပါ။ LAN attacker ဟာ (independent computerမ်ား installation လုပ္ဖို႔မလိုပါ) program တစ္ခုျဖစ္ျပီး local area network ေပၚမွာ computerမ်ားကို scan ဖတ္ျခင္း၊ တိုက္ခုိက္ျခင္း၊ detect လုပ္ျခင္း နဲ႔ ကာကြယ္ျခင္း တို႔ကိုျပဳလုပ္ႏိုင္ပါတယ္။
၄င္းရဲ႕ featureေတြကေတာ့ ေအာက္ပါအတိုင္းျဖစ္ပါတယ္....
Scan
၄င္းဟာ တိုေတာင္းတဲ႔ အခ်ိန္ ၂ - ၃ စကၠန္႔နီးပါး အခ်ိန္တိုေလးအတြင္းမွာ LAN ေပၚမွာရွိေနတဲ႔ active host ေတြကို scanဖတ္ျခင္း နဲ႔ ျပသျခင္းေတြ ျပဳလုပ္ႏိုင္ပါတယ္။
၄င္းမွာ scan mode ႏွစ္ခုရွိပါတယ္။ တစ္ခုက normal scanning ျဖစ္ျပီး ေနာက္တစ္ခုကေတာ့ antisniff scanning ျဖစ္ျပီး LAN ေပၚမွာ ဘယ္သူေတြ sniffing လုပ္ေနသလဲဆိုတာကို ရွာေဖြႏိုင္ပါတယ္။
computer list file ကို သိမ္းဆည္ႏိုင္တယ္၊ load လုပ္နိုင္ပါတယ္။
new computer list အတြက္ ပံုမွန္ scan ဖတ္ႏိုင္ပါတယ္။ sniffing နည္းပညာအသံုးျပဳေနတဲ႔ passive mode ထဲမွာ computer list ကို update ျပဳလုပ္ႏို္င္ပါတယ္။ ဆိုလိုတာကေတာ့ LAN ထဲမွာ scan ဖတ္ျခင္းမရွိပဲ ARP ေတာင္းဆိုေသာ packet မ်ားရဲ႕႕ ေပးပို႔သူ လိပ္စာမ်ားမွာ computer list ကို update ျပဳလုပ္ႏိုင္ပါတယ္။ သင္က meun မွာရွိတဲ႔ advanced scanning dialg ကိုဖြင့္လိုက္မယ္ဆိုရင္ ၄င္းဟာ advanced scanning ကို ေဆာင္ရြက္ပါလိမ့္မယ္။ ဒါ့အျပင္ advanced scan dialg ထဲမွာ B class ip range ကိုလည္း scan ဖတ္ႏိုင္ပါတယ္။ event listview ထဲမွာ acthost list ကိုလည္း scan ဖတ္ႏိုင္ပါတယ္။
တိုက္ခိုက္ျခင္း
၄င္းက LAN ေပၚမွာရွိတဲ႔ packetမ်ား အားလံုးလိုက္ ဆြဲယူျပီး စုေဆာင္းထားႏိုင္ပါတယ္။ ေအာက္မွာေဖာ္ျပထားတဲ႔ attacking action ( ၆ ) ခုကို ေဆာင္ရြက္ႏိုင္ပါတယ္။
၁။ ARP Flood - ip conflict packetမ်ားကို target computer သို႔ ျမန္ႏိုင္သေလာက္ျမန္ေအာင္ေပးပို႔ျခင္း ျဖစ္ပါတယ္။ တကယ္လို႔ သင္က ေျမာက္မ်ားစြာေပးပို႔မယ္ဆိုရင္ target computerမ်ား down သြားပါလိမ့္မယ္။
၂။ BanGateway - gateway မွာ taget computerမ်ားရဲ႕ မွားေနေသာ mac address တစ္ခုကို ေဖာ္ျပျခင္းျဖစ္ပါတယ္။ ဒီ့အတြက္ေၾကာင့္ target computerေတြဟာ internet ကေနျပီး packet ေတြကို လက္ခံရရွိျခင္း မရွိႏိုင္ေတာ့ပါဘူး။
၃။ IPConflict - ARP Flood နဲ႔ ဆင္တူပါတယ္။ ip conflict packet မ်ားကို target computer မ်ားဆီသို႔ ပံုမွန္ေပးပို႔ေနျခင္းအားျဖင့္ ၄င္း computer မ်ားရဲ႕ userမ်ားဟာ ပံုမွန္ip conflict message မ်ားေၾကာင့္အလုပ္ မလုပ္ႏိုင္ေတာ့ပါဘူး။ ဒါ့အျပင္ target computerမ်ား LAN ကို access မလုပ္ႏိုင္ေတာ့ပါ။
၄။ SniffGateway - target မ်ားနဲ႔ gateway ကို လွည့္ျဖားျခင္းျဖစ္ပါတယ္။ ၄င္းတုိ႔ၾကားမွာရွိေနတဲ႔ packet မ်ားကို စုေဆာင္းဖို႔အတြက္ sniffer ကိုအသံုးျပဳႏိုင္ပါတယ္။
၅။ SniffHosts - ႏွစ္ခု (သို႔) ထိုထက္ပိုေသာ target မ်ားအၾကား လွည့္ျဖားျခင္းပါ။ ဒီအတြက္လည္း ၄င္းတို႔အားလံုးၾကားမွာရွိတဲ႔ packet မ်ားကို စုေဆာင္းဖို႔ sniffer ကိုအသံုးျပဳႏိုင္ပါတယ္။ (အႏၲရာယ္ရွိပါတယ္!)
၆။ SniffLan - SniffGatway နဲ႔ ဆင္တူပါတယ္။ ကြာျခားခ်က္ကေတာ့ SniffLan မွာ broadcast ARP packet မ်ားကို LAN ေပၚမွာရွိေနတဲ႔ computerမ်ားအားလံုးကိုေဖာ္ညႊန္းႏိုင္ဖုိ႔အတြက္ ေပးပို႔ျခင္းပါတယ္။ ဒါေၾကာင့္ gateway နဲ႔အတူ hostမ်ားအားလံုးၾကားမွာရွိတဲ႔ dataမ်ားအားလံုးကို သင္ sniff လုပ္ႏိုင္ပါတယ္။ (အႏၲရာယ္ရွိပါတယ္!)
ARP tableမ်ားကို လွည့္ျဖားေနစဥ္အတြင္းမွာ ၄င္းဟာ အျခား gateway ( [သို႔] ip-fowarder) ကဲ႔ သို႔ LAN ေပၚမွာ အျခား userမ်ားရဲ႕ အသိအမွတ္ျပဳျခင္းမရွိပဲ ျပဳမႈေဆာင္ရြက္ႏိုင္ပါတယ္။
၄င္းဟာ packetမ်ား စုေဆာင္ျခင္းနဲ႔ forward လုပ္ျခင္းကို WinArpAttacker ရဲ႕ ipforward function ကိုျဖတ္၍ေဆာင္ရြက္ပါတယ္။ သင္ system မွ ipforward function ကို disable ျဖစ္ဖို႔ check လုပ္ထားတာ အေကာင္းဆံုးျဖစ္ပါတယ္။ ဘာျဖစ္လို႔လဲဆိုေတာ့ WinArpAttacke က ေကာင္းေကာင္းအလုပ္ေဆာင္ႏိုင္လို႔ျဖစ္ပါတယ္။
WinArpAttacker ipforward function က လွည့္ျဖားျခင္း၊ forward ျပဳလုပ္ျခင္းအားျဖင့္ sniff လုပ္ႏိုင္ေသာ dataေတြအားလံုးကို ေရတြက္ပါလိမ့္မယ္။ ဒါေၾကာင့္ main interface ေပၚမွာ သင္ျမင္ေတြ႔ႏိုင္ပါတယ္။
သင္ ဆႏၵရွိရင္ ARP table မ်ားကို အခ်ိန္အနည္းငယ္အတြင္း ( ၅ စကၠန္႔ခန္႔) မွာ အလုိအေလွ်ာက္ recover လုပ္ႏိုင္သလို ၊ recover မလုပ္ဖို႔လည္း ေရြးခ်ယ္ႏိုင္ပါတယ္။
Detect
အေရးအၾကီးဆံုး function ျဖစ္ျပီး အထက္မွာေဖာ္ျပထားတဲ႔ attacking actionမ်ားအားလံုးကို host status ကဲ႔ သို႔ detect လုပ္ႏိုင္ပါတယ္။ WinArpAttacker က ေအာက္မွာေဖာ္ျပထားတာေတြကို detect လုပ္ႏိုင္ပါတယ္ :
SrcMac_Mismath - Host ကေန ARP packet တစ္ခုေပးပို႔လိုက္ျပီး ၄င္းရဲ႕ src_mac ဟာ တစ္ထပ္တည္း မက်ေတာ့တဲ႔အတြက္ packet က ignore ျဖစ္သြားပါလိမ့္မယ္။
DstMac_Mismath - Host က ARP packet တစ္ခုကို လက္ခံရရွိတဲ႔အခါ ၄င္းရဲ႕ dst_mac ဟာ တစ္ထပ္တည္း မက်ေတာ့တဲ႔အတြက္ packet က ignore ျဖစ္သြားပါလိမ့္မယ္။
Arp_Scan - Host က arp request အားျဖင့္ hosts list တစ္ခုအတြက္ LAN ကို scan ဖတ္ေနပါတယ္။
Arp_Antisniff_Scan - Host က sniffing host အတြက္ LAN ကို scan ဖတ္ေနပါတယ္။ ဒါေၾကာင့္ ဘယ္သူေတြ sniffing လုပ္ေနတယ္ဆိုတာကို scanner ကသိႏိုင္ပါတယ္။
Host_Online - Host ယခု online ျဖစ္ပါတယ္။
Host_Modify_IP - Host က ၄င္းရဲ႕ IP ကို ျပဳျပင္ျခင္း (ိသို႔) IP အသစ္တစ္ခုေပါင္းထည့္ျခင္း ျဖစ္ပါတယ္။
Host_Modify_MAC - Host က ၄င္းရဲ႕ mac address ကိုျပဳျပင္မြမ္းမံျခင္းျဖစ္ပါတယ္။
New_Host - gost အသစ္ ေတြ႔ရွိျခင္းပါ။
Host_Add_IP - Host က ip address တစ္ခု ေပါင္းထည့္ျခင္းပါ။
Multi_IP_Host - Host မွာ multi-ip address မ်ား ရွိပါတယ္။
Multi_Mac_Host - Host မွာ multi-mac address မ်ားရွိပါတယ္။
Attack_Flood - Host ကေန အျခား host တစ္ခုဆီသို႔ ARP packet အမ်ားၾကီးကို ေပးပို႔ပါတယ္။ ဒါေၾကာင့္ target computer ေႏွးေကြးသြားႏိုင္ပါတယ္။
Attack_Spoof - Host ကေန target ႏွစ္ခုမွ data ကို sniff လုပ္ဖို႔အတြက္ special ARP packet မ်ားကို ေပးပို႔ပါတယ္။ ဒါေၾကာင့္ target ရဲ႕ data မ်ား ေပၚထြက္လာပါတယ္။
Attack_Spoof_Lan - Host ကေန LAN ေပၚမွာရွိတဲ႔ host မ်ားအားလံုးကို ၄င္းဟာ gateway တစ္ခုျဖစ္ေၾကာင္းယံုၾကည္ေစပါတယ္။ ဒါေၾကာင့္ က်ဴးေက်ာ္၀င္ေရာက္လာသူဟာ host ေတြရဲ႕ data ကို sniff လုပ္ႏိုင္ပါတယ္။
Attack_Spoof_Ban_Access - Host ကေန အျခား host ကို ၄င္းဟာ inexist mac တစ္ခုရွိတယ္လို႔ ေဖာ္ျပပါတယ္။ ဒါေၾကာင့္ target မ်ား ဟာ တစ္ခုနဲ႔ တစ္ခု ဆက္သြားႏိုင္ျခင္း မရွိေတာ့ပါ။
Attack_Spoof_Ban_Access_GW - Host ကေန hostကို gateway မွာ inexist mac တစ္ခုရွိတယ္ လို႔ေဖာ္ျပပါတယ္။ ဒါေၾကာင့္ target ဟာ gateway ကိုျဖတ္ေက်ာ္ျပီး internet ကို access မလုပ္ႏိုင္ပါေတာ့ပါဘူး။
Attack_Spoof_Ban_Access_Lan - Host ကေန hostရဲ႕ mac ကို inexist mac ကဲ႔ သို႔ထုတ္လႊတ္ျခင္းျဖစ္ပါတယ္။ ဒါေၾကာင့္ target ဟာ LAN ေပၚမွာရွိတဲ႔ host မ်ားအားလံုးနဲ႔ အဆက္အသြယ္မလုပ္နိုင္ေတာ့ပါဘူး
Attack_IP_Conflict - Host က ၄င္းနဲ႔ ip တူညီတဲ႔ အျခား host တစ္ခုကို ရွာေဖြေတြ႔ရွိပါတယ္။ ဒါေၾကာင့္ target ကို ip comflict message မ်ားအားျဖင့္ အေႏွာင့္အယွက္ေပးပါတယ္။
Local_Arp_Entry_Change - အခု WinArpAttacker က local arp entry ကိုၾကည့္ရႈႏိုင္ပါျပီ။ local arp table ထဲမွာ host တစ္ခုရဲ႕ mac address ကို ေျပာင္းလဲျပီးသြားတဲ႔အခါ WinArpAttacker က report လုပ္ႏိုင္ပါတယ္။
Local_Arp_Entry_Add - host တစ္ခုရဲ႕ mac address တစ္ခုကို local arp table ထဲသို႔ ေပါင္းထည့္ျပီးတဲ႔အခါမွာ WinArpAttacker က report လုပ္နိုင္ပါတယ္။
၄င္းဟာ WinArpAttaker က detect လုပ္ခဲ႔ျပီးတဲ႔ ျဖစ္ရပ္မ်ားအားလံုးကို ရွင္းျပႏိုင္ျပီး ျဖစ္ရပ္မ်ားအားလံုးကို file ထဲမွာ သိမ္းဆည္းေပးႏိုင္ပါတယ္။
ကာကြယ္ျခင္း
arp table protect ကို support လုပ္ႏိုင္ပါတယ္။ WinArpAttacker က local ကို detect လုပ္ျခင္း (သို႔) remote host ေတြကို arp လွည့္စားမႈျဖစ္ေစျခင္း မ်ားျပဳလုပ္တဲ႔အခါ အကယ္၍သင္ ဆႏၵရွိခဲ႔ရင္ local (သို႔) remote host ရဲ႕ arp table မ်ားကို recover လုပ္ပါလိမ့္မယ္။
Proxy Arp
သင့္ရဲ႕ LAN ေပၚမွာရွိတဲ႔ host မ်ားက အျခား host ေတြရဲ႕ mac address ကို ေတာင္းဆိုတဲ႔အခါ WinArpAttacker က သင္ေရြးခ်ယ္ေပးတဲ႔ ပါ၀င္တဲ႔ mac address တစ္ခုကို ၄င္း host မ်ားဆီသို႔ ေပးပါလိမ့္မယ္။
၄င္းက LAN အသစ္တခုေပၚမွာ သင့္ရဲ႕ IP ကိုေျပာင္းလဲျခင္းမရွိပဲ internet ကို ၀င္ေရာက္ေနျခင္း ျပီးေျမာက္ဖို႔ရည္ရြယ္ပါ။ သို႔ေသာ္လည္း အကယ္၍ သင္က မွားယြင္းတဲ႔ mac address တစ္ခုကို ထားရွိမယ္ဆိုရင္ သင္ရဲ႕ LAN ကို big mass တစ္ခုထဲမွာလည္းပဲ ျပဳလုပ္ႏိုင္ပါတယ္။
ARP packet မ်ားကို သိမ္းဆည္းျခင္း
၄င္းက sniff လုပ္ခဲ႔တဲ႔ arp packet မ်ားအားလံုးကို file ထဲမွာ သိမ္းဆည္းေပးႏိုင္ပါတယ္။
အျခား features မ်ား
multi-network adapter, multi-ip-address နဲ႔ multi-gateway ေတြကို support လုပ္ႏိုင္ပါတယ္။ တျခား LAN တစ္ခုကို scan ဖတ္ႏိုင္ဖို႔အတြက္ အျခားေသာ adapter နဲ႔ ip ကို သင္ေရြးခ်ယ္ေပးနိုင္ပါတယ္။
DHCP ကို support လုပ္ႏိုင္ျပီး ip address ကို သတ္မွတ္ေပးပါတယ္။
arp packet မ်ား ေပးပို႔ျခင္း နဲ႔ လက္ခံျခင္းမ်ား ပါ၀င္ေနတဲ႔ host တိုင္းအတြက္ arp packet မ်ားအားလံုးကို ေရတြက္ႏိုင္ပါတယ္။
Arp R/S Q/P - Action( Recive/Send) Arp packets type (ReQuest/Reply)
ArpRQ ရဲ႕ အဓိပၸာယ္ : လက္ခံရရွိတဲ႔ arp request packets အေရအတြက္
ArpRP ရဲ႕ အဓိပၸာယ္ : လက္ခံရရွိတဲ႔ arp reply packets အေရအတြက္
ArpSQ ရဲ႕ အဓိပၸာယ္ : ေပးပို႔လိုက္တဲ႔ arp request packets အေရအတြက္
ArpSP ရဲ႕ အဓိပၸာယ္ : ေပးပို႔လိုက္တဲ႔ arp reply packets အေရအတြက္
install ျပဳလုပ္ျခင္း နဲ႔ အသံုးျပဳပံု
ပထမဆံုးအေနနဲ႔ ေနာက္ဆံုးထြက္ရွိတဲ႔ WinPcap driver ကို install လုပ္ပါ။ ( Rar fileထဲမွာ ပါရွိပါတယ္။)
ဒုတိယအေနနဲ႔ LAN Attacker ကို run ပါ။ (independent computerမ်ား installation လုပ္ဖို႔မလိုပါ)
scan ခလုတ္ နဲ႔ start ခလုတ္ကို click ပါ။
"arp -a" နဲ႔ remote computer ေပၚမွာ arp information ကို ၾကည့္ရႈပါ။
တိုက္ခိုက္ျခင္းကို ရပ္တန္႔ဖို႔ stop ခလုတ္ကို clikc ပါ။
adapter (သို႔) ip address ကို ေရြးခ်ယ္ဖို႔အတြက္ options ကို click ပါ။
attacking setup ကို ျပဳျပင္မြမ္းမံနိုင္ဖို႔ options ကို click ပါ။
အကယ္၍ active host ေတြအမ်ားၾကီး( ၅၀ ထက္ပိုျပီး) ရွိေနရင္ LAN ေပၚမွ တကယ့္ gateway ဟာ down သြားႏိုင္ပါတယ္။
(download ျပဳလုပ္ျပီးသြားရင္ extract လုပ္ဖို႔အတြက္ rar file ကို double click ျပီး password ကိုၾကည့္ပါ။)
(Educational Purposes Only)
copy from@ http://www.notebookofstarryprince.co.cc/2010/01/lan-attacker-2009-v35_27.html
0 comments:
Post a Comment