最全的ARP欺骗攻击原理深入分析文档格式.docx
《最全的ARP欺骗攻击原理深入分析文档格式.docx》由会员分享,可在线阅读,更多相关《最全的ARP欺骗攻击原理深入分析文档格式.docx(12页珍藏版)》请在冰豆网上搜索。
硬件类型字段指明了发送方想知道的硬件接口类型,以太网的值为1。
协议类型字段指明了发送方提供的高层协议类型,IP为0806(16进制)。
硬件地址长度和协议长度指明了硬件地址和高层协议地址的长度,这样ARP报文就可以在任意硬件和任意协议的网络中使用。
操作字段用来表示这个报文的目的,ARP请求为1,ARP响应为2,RARP请求为3,RARP响应为4。
当发出ARP请求时,发送方填好发送方首部和发送方IP地址,还要填写目标IP地址。
当目标机器收到这个ARP广播包时,就会在响应报文中填上自己的48位主机地址。
2、ARP使用举例
我们先看一下linux下的arp命令(如果开始arp表中的内容为空的话,需要先对某台主机进行一个连接,例如ping一下目标主机来产生一个arp项):
d2server:
/home/kerberos#arp
AddressHWtypeHWaddressFlagsMaskIface
211.161.17.254ether00:
04:
9A:
AD:
1C:
0ACeth0
Address:
主机的IP地址
Hwtype:
主机的硬件类型
Hwaddress:
主机的硬件地址
FlagsMask:
记录标志,"
C"
表示arp高速缓存中的条目,"
M"
表示静态的arp条目。
用"
arp--a"
命令可以显示主机地址与IP地址的对应表,也就是机器中所保存的arp缓存信息。
这个高速缓存存放了最近Internet地址到硬件地址之间的映射记录。
高速缓存中每一项的生存时间一般为20分钟,起始时间从被创建时开始算起。
/home/kerberos#arp-a
(211.161.17.254)at00:
0A[ether]oneth0
可以看到在缓存中有一条211.161.17.254相对应的arp缓存条目。
/home/kerberos#telnet211.161.17.21
Trying211.161.17.21...
Connectedto211.161.17.21.
Escapecharacteris'
^]'
.
^].
telnet>
quit
connetionclosed.
在执行上面一条telnet命令的同时,用tcpdump进行监听:
/home/kerberos#tcpdump-edsthost211.161.17.21
tcpdump:
listeningoneth0
我们将会听到很多包,我们取与我们arp协议相关的2个包:
10.000:
D0:
F8:
0A:
FB:
83FF:
FF:
FFarp60
whohas211.161.17.21telld2server
20.002344(0.0021)00:
E0:
3C:
43:
0D:
2400:
83arp60
arpreply211.161.17.21isat00:
24
在第1行中,源端主机(d2server)的硬件地址是00:
83。
目的端主机的硬件地址是FF:
FF,这是一个以太网广播地址。
电缆上的每个以太网接口都要接收这个数据帧并对它进行处理。
第1行中紧接着的一个输出字段是arp,表明帧类型字段的值是0x0806,说明此数据帧是一个ARP请求或回答。
在每行中,单词后面的值60指的是以太网数据帧的长度。
由于ARP请求或回答的数据帧长都是42字节(28字节的ARP数据,14字节的以太网帧头),因此,每一帧都必须加入填充字符以达到以太网的最小长度要求:
60字节。
第1行中的下一个输出字段arpwho-has表示作为ARP请求的这个数据帧中,目的IP地址是211.161.17.21的地址,发送端的IP地址是d2server的地址。
tcpdump打印出主机名对应的默认IP地址。
从第2行中可以看到,尽管ARP请求是广播的,但是ARP应答的目的地址却是211.161.17.21(00:
24)。
ARP应答是直接送到请求端主机的,而是广播的。
tcpdump打印出arpreply的字样,同时打印出响应者的主机ip和硬件地址。
在每一行中,行号后面的数字表示tcpdump收到分组的时间(以秒为单位)。
除第1行外,每行在括号中还包含了与上一行的时间差异(以秒为单位)。
这个时候我们再看看机器中的arp缓存:
/home/ke
rberos#arp-a(211.161.17.254)at00:
0A
[ether]oneth0(211.161.17.21)at00:
24[ether]oneth0
arp高速缓存中已经增加了一条有关211.161.17.21的映射。
再看看其他的arp相关的命令:
/home/kerberos#arp-s211.161.17.2100:
00:
00
211.161.17.21ether00:
00CMeth0
(211.161.17.21)at00:
00[ether]PERMoneth0
可以看到我们用arp-s选项设置了211.161.17.21对应的硬件地址为00:
00,而且这条映射的标志字段为CM,也就是说我们手工设置的arp选项为静态arp选项,它保持不变没有超时,不像高速缓存中的条目要在一定的时间间隔后更新。
如果想让手工设置的arp选项有超时时间的话,可以加上temp选项
00temp
00[ether]oneth0
00Ceth0
可以看到标志字段的静态arp标志"
已经去掉了,我们手工加上的是一条动态条目。
请大家注意arp静态条目与动态条目的区别。
在不同的系统中,手工设置的arp静态条目是有区别的。
在linux和win2000中,静态条目不会因为伪造的arp响应包而改变,而动态条目会改变。
而在win98中,手工设置的静态条目会因为收到伪造的arp响应包而改变。
如果您想删除某个arp条目(包括静态条目),可以用下面的命令:
/home/kerberos#arp-d211.161.17.21
(211.161.17.21)atoneth0
可以看到211.161.17.21的arp条目已经是不完整的了。
还有一些其他的命令,可以参考linux下的man文档:
/home/kerberos#manarp
3、ARP欺骗
我们先复习一下上面所讲的ARP协议的原理。
在实现TCP/IP协议的网络环境下,一个ip包走到哪里,要怎么走是靠路由表定义,但是,当ip包到达该网络后,哪台机器响应这个ip包却是靠该ip包中所包含的硬件mac地址来识别。
也就是说,只有机器的硬件mac地址和该ip包中的硬件mac地址相同的机器才会应答这个ip包,因为在网络中,每一台主机都会有发送ip包的时候,所以,在每台主机的内存中,都有一个arp-->
硬件mac的转换表。
通常是动态的转换表(该arp表可以手工添加静态条目)。
也就是说,该对应表会被主机在一定的时间间隔后刷新。
这个时间间隔就是ARP高速缓存的超时时间。
通常主机在发送一个ip包之前,它要到该转换表中寻找和ip包对应的硬件mac地址,如果没有找到,该主机就发送一个ARP广播包,于是,主机刷新自己的ARP缓存。
然后发出该ip包。
了解这些常识后,现在就可以谈在以太网络中如何实现ARP欺骗了,可以看看这样一个例子。
3.1同一网段的ARP欺骗
图2同一网段的arp欺骗
如图2所示,三台主机
A:
ip地址192.168.0.1硬件地址AA:
AA:
AA
B:
ip地址192.168.0.2硬件地址BB:
BB:
BB
C:
ip地址192.168.0.3硬件地址CC:
CC:
CC
一个位于主机B的入侵者想非法进入主机A,可是这台主机上安装有防火墙。
通过收集资料他知道这台主机A的防火墙只对主机C有信任关系(开放23端口(telnet))。
而他必须要使用telnet来进入主机A,这个时候他应该如何处理呢?
我们这样考虑,入侵者必须让主机A相信主机B就是主机C,如果主机A和主机C之间的信任关系是建立在ip地址之上的。
如果单单把主机B的ip地址改的和主机C的一样,那是不能工作的,至少不能可靠地工作。
如果你告诉以太网卡设备驱动程序,自己IP是192.168.0.3,那么这只是一种纯粹的竞争关系,并不能达到目标。
我们可以先研究C这台机器如果我们能让这台机器暂时当掉,竞争关系就