黑客技术-ARP欺骗
来源:asp之家 发布时间:2010-02-21 08:41:00
本来不打算写这接下的一系列讨论欺骗的文章(计划中有arp欺骗、icmp欺骗、路由rip欺骗、ip地址欺骗等),这主要是自己有些担心有些人会给网管增加日常工作量,但是想想还是写的好,因为通常在你猛打完补丁后,你可能觉得你的系统安全了,但是,实际上,打补丁只是安全措施里的一个很基本的步骤而已,通常一个hacker要进入你的系统,他所要做的并不是你打补丁就可以避免的,象这些欺骗都要求你必须掌握相当的网络底层知识和合理安排物理布线才可阻止得了的。特别是多种手法混用的时候,特别要说明的是:有些人往往以为会使用某些工具入侵就觉得自己是个hacker,呵呵。。其实,我认为这只是入门而已(有些是连门都找不到),通过本文,我想让人们知道,一个hacker在真正入侵系统时,他并不是依靠别人写的什么软件的。更多是靠对系统和网络的深入了解来达到这个目的。
我想我会尽可能将我知道的写出来,同时也将尽可能把防止欺骗的解决办法写出来,当然,这只是我知道的而已,如果有失误的地方,欢迎指正。呵呵。。
首先还是得说一下什么是ARP,如果你在UNIXShell下输入arp-a(9x下也是),你的输出看起来应该是这样的:
Interface:xxx.xxx.xxx.xxx
InternetAddressPhysicalAddressType
xxx.xxx.xxx.xxx00-00-93-64-48-d2dynamic
xxx.xxx.xxx.xxx00-00-b4-52-43-10dynamic
。..。..。..。..。..。..。
这里第一列显示的是ip地址,第二列显示的是和ip地址对应的网络接口卡的硬件地址(MAC),第三列是该ip和mac的对应关系类型。
可见,arp是一种将ip转化成以ip对应的网卡的物理地址的一种协议,或者说ARP协议是一种将ip地址转化成MAC地址的一种协议,它靠维持在内存中保存的一张表来使ip得以在网络上被目标机器应答。
为什么要将ip转化成mac呢?呵呵。。解释下去太多了,简单的说,这是因为在tcp网络环境下,一个ip包走到哪里,要怎么走是靠路由表定义,但是,当ip 包到达该网络后,哪台机器响应这个ip包却是靠该ip包中所包含的mac地址来识别,也就是说,只有mac地址和该ip包中的mac地址相同的机器才会应答这个ip包(好象很多余,呵呵。。),因为在网络中,每一台主机都会有发送ip包的时候,所以,在每台主机的内存中,都有一个arp--》mac的转换表。通常是动态的转换表(注意在路由中,该arp表可以被设置成静态)。也就是说,该对应表会被主机在需要的时候刷新。这 捎谝姨谧油闵系拇涫强?8位的mac地址而决定的。
通常主机在发送一个ip包之前,它要到该转换表中寻找和ip包对应的mac地址,如果没有找到,该主机就发送一个ARP广播包,看起来象这样子:
“我是主机xxx.xxx.xxx.xxx,mac是xxxxxxxxxxx,ip为xxx.xxx.xxx.xx1的主机请报上你的mac来”
ip为xxx.xxx.xxx.xx1的主机响应这个广播,应答ARP广播为:
“我是xxx.xxx.xxx.xx1,我的mac为xxxxxxxxxx2”
于是,主机刷新自己的ARP缓存。然后发出该ip包。
了解这些常识后,现在就可以谈在网络中如何实现ARP欺骗了,可以看看这样
一个例子:
一个入侵者想非法进入某台主机,他知道这台主机的火墙只对192.0.0.3(假设)这个ip开放23口(telnet),而他必须要使用telnet来进入这台主机,所以他要这么做:
1、他先研究192.0.0.3这台主机,发现这台95的机器使用一个oob就可以让他死掉。
2、于是,他送一个洪水包给192.0.0.3的139口,于是,该机器应包而死。
3、这时,主机发到192.0.0.3的ip包将无法被机器应答,系统开始更新自己的arp对应表。将192.0.0.3的项目搽去。
4、这段时间里,入侵者把自己的ip改成192.0.0.3
5、他发一个ping(icmp0)给主机,要求主机更新主机的arp转换表。
6、主机找到该ip,然后在arp表中加如新的ip--$#@62;mac对应关系。
7、火墙失效了,入侵的ip变成合法的mac地址,可以telnet了。
(好象很罗嗦,呵呵。。不过这是很典型的例子)
现在,假如该主机不只提供telnet,它还提供r命令(rsh,rcopy,rlogin等)那么,所有的安全约定将无效,入侵者可以放心的使用这台主机的资源而不用担心被记录什么。
有人也许会说,这其实就是冒用ip嘛。。呵呵。。不错,是冒用了ip,但决不是ip欺骗,ip欺骗的原理比这要复杂的多,实现的机理也完全不一样。
上面就是一个ARP的欺骗过程,这是在同网段发生的情况,但是,提醒注意的是,利用交换集线器或网桥是无法阻止ARP欺骗的,只有路由分段是有效的阻止手段。(也就是ip包必须经过路由转发。在有路由转发的情况下,ARP欺骗如配合ICMP欺骗将对网络造成极大的危害,从某种角度将,入侵者可以跨过路由监听网络中任何两点的通讯,如果有装火墙,请注意火墙有没有提示过类似:某某IP是局域IP但从某某路由来等这样的信息。详细实施以后会讨论到。)
在有路由转发的情况下,发送到达路由的ip的主机其arp对应表中,ip的对应值是路由的mac。
比如:
我pingwww.nease.net后,那么在我主机中,www.nease.net的IP对应项不是nease的mac而是我路由的mac。其ip也是我路由的IP.(有些网络软件通过交换路由ARP可以得到远程IP的MAC)
有兴趣做深入一步的朋友可以考虑这样一种情况:
假设这个入侵者很不幸的从化学食堂出来后摔了一跤,突然想到:我要经过一个路由才可以走到那台有火墙的主机!!!^^^^
于是这个不幸的入侵者开始坐下来痛苦的思考:
1、我的机器可以进入那个网段,但是,不是用192.0.0.3的IP
2、如果我用那个IP,就算那台正版192.0.0.3的机器死了,那个网络里的机器也不会把ip包丢到路由传给我。
3、所以,我要骗主机把ip包丢到路由。
通过多种欺骗手法可以达到这个目的。所以他开始这样做:
1、为了使自己发出的非法ip包能在网络上活久一点,他开始修改ttl为下面的过程中可能带来的问题做准备。他把ttl改成255.(ttl定义一个ip包如果在网络上到不了主机后,在网络上能存活的时间,改长一点在本例中有利于做充足的广播)
2、他从贴身口袋中掏出一张软盘,这张有体温的软盘中有他以前用sniffer时保存的各种ip包类型。3、他用一个合法的ip进入网络,然后和上面一样,发个洪水包让正版的 192.0.0.3死掉,然后他用192.0.0.3进入网络。
4、在该网络的主机找不到原来的192.0.0.3的mac后,将更新自己的ARP对应表。于是他赶紧修改软盘中的有关ARP广播包的数据,然后对网络广播说“能响应 ip为192.0.0.3的mac是我”。
5、好了,现在每台主机都知道了,一个新的MAC地址对应ip192.0.0.3,一个ARP欺骗完成了,但是,每台主机都只会在局域网中找这个地址而根本就不会把发送给192.0.0.3的ip包丢给路由。于是他还得构造一个ICMP的重定向广播。
6、他开始再修改软盘中的有关ICMP广播包的数据,然后发送这个包,告诉网络中的主机:“到192.0.0.3的路由最短路径不是局域网,而是路由,请主机重定向你们的路由路径,把所有到192.0.0.3的ip包丢给路由哦。”
7、主机接受这个合理的ICMP重定向,于是修改自己的路由路径,把对192.0.0.3的ip通讯都丢给路由器。
8、不幸的入侵者终于可以在路由外收到来自路由内的主机的ip包了,他可以开始telnet到主机的23口,用ip192.0.0.3.9、这个入侵者一把冲出芙蓉一(229),对着楼下来往的女生喊到:“一二一。。
呵呵。。他完成了。
注意,这只是一个典型的例子,在实际操作中要考虑的问题还不只这些。
猜你喜欢
- 从第一个商业浏览器 Netscape 算起,到2009年10月13日,浏览器已经度过了15年历史。我们在上一篇有关浏览器的历史的文章(浏览器
- 一直以来,都不是很愿意在Blog上谈及自己的工作,因为不愿意太过于评论一些事情,毕竟做事情做好才是第一位的,简单的说三道四是没有用处。但是现
- 有Godaddy不知道该如何计算Godaddy空间的流量使用?那我们首先介绍下什么是流量?流量是允许在某个用户的网站与其余因特网之间通过的数
- 在使用dedecms5.6时发现如果在内容页面调用相关文章,简单的使用dedecms arclist不能够实现,但是arclist有一个字段
- 2月25号,百度算法更新之前,百度几乎收录了80后门户所有文章,80后门户主要是用伪原创来做网站推广的,百度更新算法前,权重不错,很多词都排
- 让我们跳过理论来看看实际对Google有效的方法。我知道下面的这个系统对Google来说,每一次都有效,而且对所有的关键词都有效。这个系统是
- 备份管理员通常采用传统的物理备份解决方案,可能会误认为VCB是对虚拟数据中心的完整解答,因此还需要为VCB做好充足的准备和调研。选购VMwa
- 当前,国内社交网站(SNS)的发展呈现多元化趋势,搜狐、新浪、盛大、腾讯等都在进入社交领域。现对大部分用户来说,到各种网站上建立自己的好友关
- 一、状态页所谓的404页就是服务器404重定向状态返回页面。数字404指的是404号状态码。一般常用到的有200号状态码和404号状态码。2
- 据国外媒体报道,微软董事会主席比尔·盖茨(Bill Gates)周二表示,互联网技术将在今后十年发生巨大变革。盖茨是在受韩国总统李明博接见时
- 在WIN下安装APACHE配置虚拟目录和UNIN下基本是一样的就是修改httpd.conf1:单个IP对应单个玉米例如:www.phpuni
- 各位新老站长朋友们大家好,我是芭芭啦音乐论坛的站长,这个论坛是我最近和一个朋友一起做的,因为我们都比较爱好音乐,所以做了这样一个对自己兴趣的
- 当网站发展到一定的规模,站长就应该开始考虑要为网站托管服务器。通常情况下服务器会被放到电信或网通的机房,网站管理员通过远程来管理服务器。在网
- 大概一年之前也出了一个sandbox效应作用,但那时的sandbox效应跟现在是完全相反. 之前的sandbox效应,笔者也建立验证了其真实
- 搜索引擎营销的发展历程搜索引擎营销的发展历程是随着搜索引擎的发展而发展的,在搜索引擎营销发展历史中值得关注的一些重要事件:1、1994年,Y
- 大家好,我是秦剑,先介绍下我的新站QQ2009 (www.qq2009live.cn),一个关于QQ2009的小站,大家可以用whois查看
- 内部因素(15条)1、URL中出现关键词2、网页Title中出现关键词3、常规内容中出现关键词4、在页面的第一段中出现关键词5、在页面的最后
- 为了解决日益严重的手机安全问题,全球领先的手机安全服务公司网秦发布了手机卫士服务。手机卫士是一组永久免费的手机安全和管理工具族,流氓克星是手
- 随着google product search产品(http://www.google.com/prdhp?tab=wf)的低调上线,马总关
- 当您试图利用FTP连接到一台远程计算机时,远程系统会向您要求一个用户名及口令,而在浩如烟海的Internet中要求每个用户向每个服务器系统申