我們學(xué)習(xí)了不少關(guān)于PPPOE的基礎(chǔ)內(nèi)容，對于PPPOE協(xié)議的應(yīng)用，或者是PPPOE服務(wù)器的應(yīng)用，很多朋友都還覺得比較飄渺。那么這里我們就來分享一下一個網(wǎng)友的實際經(jīng)驗。小區(qū)內(nèi)，物業(yè)搞了根100M光纖，然后使用ROS做了個PPPOE服務(wù)器。網(wǎng)絡(luò)具體的拓?fù)浼癛OS誰做的我不清楚。只知道，每戶網(wǎng)線接在樓道交換機(jī)上，看了交換機(jī)，普通的交換機(jī)，想想廣播域還是很大的，而且每戶都是使用撥號上網(wǎng)。

朋 友申請了一個帳號，拿來用用，發(fā)現(xiàn)ROS（至于怎么樣知道用的是ROS，是因為我在網(wǎng)絡(luò)中抓了幾個包，其中就有CDP的包）做得挺好，修改了下來數(shù)據(jù)的 TTL值（這點很容易發(fā)現(xiàn)，隨便ping一個外網(wǎng)地址，返回的TTL為0），沒辦法做簡單基于地址轉(zhuǎn)換的代理；ROS內(nèi)網(wǎng)接口屏蔽了ARP，連他內(nèi)網(wǎng)地址 也沒法訪問。我要上網(wǎng)而沒帳號怎么辦呢。

想辦法取別人的帳號，要不就是用一虛擬機(jī)器，裝上ROS把TTL改回來，這樣太麻煩。還是取兩個帳號用用算了。

怎 么樣才能取到別人上網(wǎng)的帳號和密碼呢？如果大家對PPPOE熟悉的話都知道，PPP協(xié)議有個認(rèn)證過程。認(rèn)證方式有多種，其中最常見的就是PAP和 CHAP。PAP簡單密碼認(rèn)證，發(fā)送的是明文的用戶名和密碼，CHAP稱為挑戰(zhàn)握手認(rèn)證，密碼不直接在數(shù)據(jù)包中，而是以密碼算散列值。說到這里，如果我要 取別人的帳號密碼，就必須讓用戶把認(rèn)證的數(shù)據(jù)發(fā)送到我這里來，而且使用PAP認(rèn)證，我通過抓包可以看到用戶名和密碼。我的做法是自己在虛擬機(jī)里建一ROS 的PPPOE服務(wù)器，認(rèn)證方式僅僅為PAP，現(xiàn)在想辦法把數(shù)據(jù)引到我這里來。思路是首先把用戶搞掉線，很容易，以原PPPOE服務(wù)器MAC地址為源MAC 地址猛發(fā)送數(shù)據(jù)（任何數(shù)據(jù)，最好是免費ARP包1ms一次），這樣一來，在所有交換機(jī)的MAC地址表中的原服務(wù)器MAC對應(yīng)的port為離你最近的端口 （也就是說，所有發(fā)往原服務(wù)器的數(shù)據(jù)包都會發(fā)到你這里來），導(dǎo)致跟原服務(wù)器建立的PPPOE會話將會中斷而用戶掉線。掉線后，用戶會重新?lián)芴枺瑩芴柕臄?shù)據(jù) 將會和你所建的PPPOE服務(wù)器建立會話，從而可以獲取用戶名和密碼。

抓包工具和發(fā)包工具都可以使用sniffer軟件。

幾點建議：

1、兄弟們在做類似我現(xiàn)在的小區(qū)的ROS時注意一下，首先關(guān)閉所有不用的服務(wù)，這也是任何設(shè)備廠商數(shù)據(jù)設(shè)定規(guī)范里都會提到的。比如我例子中的CDP（MNDP），在CDP中可以發(fā)現(xiàn)其接口地址，主機(jī)名等信息。
2、修改TTL值時，不要包括ICMP協(xié)議的，一來不容被發(fā)現(xiàn)是修改了TTL值的，另一個路由跟蹤不了是很老火的事情。 

3、網(wǎng)內(nèi)盡量減小廣播域的范圍，避免這種攻擊造成的面積。

4、用戶在設(shè)置PPPOE撥號客戶端不要選擇PAP，只選擇CHAP，其他的象MSCHAP，如果數(shù)據(jù)不需要加密一般不用。這樣即使象上述的攻擊也僅僅導(dǎo)致用 戶掉線，當(dāng)與我PPPOE服務(wù)器使用LCP協(xié)商認(rèn)證方式時不會協(xié)商成功，從而不會讓我截取用戶名和密碼。

5、建立PPPOE撥號客戶端時指定服務(wù)名（ISP名稱），以便不選擇其他的PPPOE服務(wù)器。