基于ARP欺騙的網(wǎng)絡(luò)監(jiān)聽技術(shù)研究
引言
本文引用地址:http://cafeforensic.com/article/188409.htm當(dāng)前局域網(wǎng)大部分屬于以太網(wǎng),其主要連接方式主要是通過交換機(jī)進(jìn)行連接。交換機(jī)在外型上類似于集線器,但在內(nèi)部采用了電路交換的原理,將一個(gè)端口的輸入交換到另一指定的端口。交換式以太網(wǎng)彌補(bǔ)了共享式以太網(wǎng)(用集線器連接的網(wǎng)絡(luò))的缺陷,但也從一定程度上增加了網(wǎng)絡(luò)監(jiān)聽的難度。交換機(jī)在工作時(shí)維護(hù)著一張ARP的數(shù)據(jù)庫表,在這個(gè)庫中記錄著交換機(jī)每個(gè)端口綁定的MAC地址,當(dāng)有數(shù)據(jù)包發(fā)送到交換機(jī)上時(shí),交換機(jī)會(huì)將數(shù)據(jù)包的目的MAC地址與自己維護(hù)的數(shù)據(jù)庫內(nèi)的端口對照,然后將數(shù)據(jù)包發(fā)送到相應(yīng)的端口上。交換機(jī)與集線器最大的不同是通信數(shù)據(jù)包不再復(fù)制到其他所有端口,而是精確地發(fā)往目標(biāo)機(jī)器所在的那個(gè)端口,所以,其它機(jī)器就無法監(jiān)聽這種目的性較強(qiáng)的通信,當(dāng)然也就無法實(shí)現(xiàn)數(shù)據(jù)包的抓取了。因此我們需要在交換式以太網(wǎng)中尋求一種簡單方便的監(jiān)控部署軟件,以實(shí)現(xiàn)對現(xiàn)在廣泛存在的交換式以太網(wǎng)進(jìn)行有效的監(jiān)聽。
1 ARP協(xié)議及欺騙技術(shù)
1.1 ARP協(xié)議
IP數(shù)據(jù)包常通過以太網(wǎng)發(fā)送,以太網(wǎng)設(shè)備并不識(shí)別32位IP地址,它們是以48位以太網(wǎng)地址傳輸以太網(wǎng)數(shù)據(jù)包的。因此,IP 驅(qū)動(dòng)器必須把IP目的地址轉(zhuǎn)換成以太網(wǎng)目的地址。在這兩種地址之間存在著某種靜態(tài)的或算法的映射,常常需要查看一張表。ARP地址解析協(xié)議 (Address Resolution Protocol)就是負(fù)責(zé)把網(wǎng)絡(luò)層的IP地址轉(zhuǎn)變成數(shù)據(jù)鏈路層的MAC地址,建立IP地址和MAC地址之間的一一映射。ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址,查詢目標(biāo)設(shè)備的MAC地址,以保證通信的順利進(jìn)行。
1.2 ARP欺騙技術(shù)
ARP 協(xié)議雖然是一個(gè)高效的數(shù)據(jù)鏈路層協(xié)議,但是作為一個(gè)局域網(wǎng)協(xié)議,它是建立在各主機(jī)之間相互信任的基礎(chǔ)上的,因此也存在一些安全問題。根據(jù)ARP 協(xié)議存在的這些安全問題,可以使用以下幾種手段來進(jìn)行ARP欺騙:
(1) 攻擊者也就可以在接收到該ARP請求包之后進(jìn)行應(yīng)答,進(jìn)行假冒。
(2) 由于被假冒的機(jī)器所發(fā)送的ARP應(yīng)答包有可能比攻擊者的應(yīng)答包晚到達(dá),為了確保被攻擊者機(jī)器上的緩存中絕大部分時(shí)間存放的是攻擊者的MAC地址,可以在收到ARP請求廣播后稍微延遲一段時(shí)間再發(fā)送一遍ARP應(yīng)答。
(3) 由于各種操作系統(tǒng)對于ARP緩存處理實(shí)現(xiàn)的不同,一些操作系統(tǒng)(例如Linux)會(huì)用向緩存地址發(fā)非廣播的ARP請求來要求更新緩存。在交換網(wǎng)絡(luò)環(huán)境下,別的機(jī)器是不能捕獲到這種緩存更新的,這就需要盡量阻止主機(jī)發(fā)送更新緩存消息。
ARP欺騙技術(shù)可以實(shí)現(xiàn)全交換環(huán)境下的數(shù)據(jù)監(jiān)聽。因此,我們可以利用該技術(shù)對交換式以太網(wǎng)進(jìn)行監(jiān)控。
2 采用ARP欺騙技術(shù)捕獲交換式以太網(wǎng)數(shù)據(jù)
通過前面的敘述,我們知道,交換式以太網(wǎng)可以利用ARP欺騙技術(shù)進(jìn)行監(jiān)控。下面說明如何采用ARP欺騙技術(shù)捕獲交換式以太網(wǎng)數(shù)據(jù)。
2.1 ARP協(xié)議實(shí)現(xiàn)
在以太網(wǎng)上解析IP地址時(shí),ARP請求和應(yīng)答分組的格式如圖2所示
以太網(wǎng)目的地址 | 以太網(wǎng)源地址 | 幀類型 | 數(shù)據(jù)類型 | 協(xié)議類型 | 硬件地址長度 | 協(xié)議地址長度 | 操作類型 | 發(fā)送端以太網(wǎng)地址 | 發(fā)送端IP地址 | 接收端以太網(wǎng)地址 | 接收端IP地址 |
6 6 2 2 2 1 1 2 6 4 6 4
以太網(wǎng)報(bào)頭中的前兩個(gè)字段是以太網(wǎng)的目的地址和源地址。目的地址為全1的特殊地址是廣播地址。同一局域網(wǎng)上的所有以太網(wǎng)接口都要接收廣播數(shù)據(jù)幀。接著是以太網(wǎng)幀類型,2字節(jié)長,表示后面數(shù)據(jù)的類型。對于ARP請求或應(yīng)答來說,該字段的值為0x0806。硬件類型字段表示硬件地址的類型。值為1即表示以太網(wǎng)地址。協(xié)議類型字段表示要映射的協(xié)議地址類型。值為0x0800即表示IP地址。硬件地址長度和協(xié)議地址長度分別指出硬件地址和協(xié)議地址的長度,以字節(jié)為單位。對于以太網(wǎng)上IP地址的ARP請求或應(yīng)答來說,它們的值分別為6和4。操作字段指出操作類型,可以為ARP請求(值為1)、ARP應(yīng)答(值為2)。其余的四個(gè)字段是發(fā)送端的硬件地址(以太網(wǎng)地址)、發(fā)送端的協(xié)議地址(IP地址)、目的端的硬件地址和目的端的協(xié)議地址。
對于ARP請求來說,除目的端硬件地址外的所有其它的字段都有填充值。當(dāng)系統(tǒng)收到一份目的端為本機(jī)的ARP請求報(bào)文后,它就把硬件地址填進(jìn)去,然后用兩個(gè)目的端地址分別替換兩個(gè)發(fā)送端地址,并把操作字段置為2,最后把它發(fā)送回去。
評論