通常主机在发送一个ip包之前,它要到该转换表中寻找和ip包对应的硬件mac地址,假如没有找到,该主机就发送一个ARP广播包,于是,主机刷新自己的ARP缓存 。然后发出该ip包 。
了解这些常识后,现在就可以谈在以太网络中如何实现ARP欺骗了,可以看看这样一个例子 。
3.1 同一网段的ARP欺骗
图2 同一网段的arp欺骗
如图2所示,三台主机
A: ip地址 192.168.0.1 硬件地址 AA:AA:AA:AA:AA:AA
B: ip地址 192.168.0.2 硬件地址 BB:BB:BB:BB:BB:BB
C: ip地址 192.168.0.3 硬件地址 CC:CC:CC:CC:CC:CC
一个位于主机B的入侵者想非法进入主机A,可是这台主机上安装有防火墙 。通过收集资料他知道这台主机A的防火墙只对主机C有信任关系(开放23端口(telnet)) 。而他必须要使用telnet来进入主机A,这个时候他应该如何处理呢?
我们这样考虑,入侵者必须让主机A相信主机B就是主机C,假如主机A和主机C之间的信任关系是建立在ip地址之上的 。假如单单把主机B的ip地址改的和主机C的一样,那是不能工作的,至少不能可靠地工作 。假如你告诉以太网卡设备驱动程序,自己IP是192.168.0.3,那么这只是一种纯粹的竞争关系,并不能达到目标 。我们可以先研究C这台机器假如我们能让这台机器暂时当掉,竞争关系就可以解除,这个还是有可能实现的 。在机器C当掉的同时,将机器B的ip地址改为192.168.0.3,这样就可以成功的通过23端口telnet到机器A上面,而成功的绕过防火墙的限制 。
上面的这种想法在下面的情况下是没有作用的,假如主机A和主机C之间的信任关系是建立在硬件地址的基础上 。这个时候还需要用ARP欺骗的手段让主机A把自己的ARP缓存中的关于192.168.0.3映射的硬件地址改为主机B的硬件地址 。
我们可以人为的制造一个arp_reply的响应包,发送给想要欺骗的主机,这是可以实现的,因为协议并没有规定必须在接收到arp_echo后才可以发送响应包.这样的工具很多,我们也可以直接用snifferpro抓一个arp响应包,然后进行修改 。
你可以人为地制造这个包 。可以指定ARP包中的源IP、目标IP、源MAC地址、目标MAC地址 。
这样你就可以通过虚假的ARP响应包来修改主机A上的动态ARP缓存达到欺骗的目的 。
下面是具体的步骤:
他先研究192.0.0.3这台主机,发现这台主机的漏洞 。
根据发现的漏洞使主机C当掉,暂时停止工作 。
这段时间里,入侵者把自己的ip改成192.0.0.3
他用工具发一个源ip地址为192.168.0.3源MAC地址为BB:BB:BB:BB:BB:BB的包给主机A,要求主机A更新自己的arp转换表 。
主机更新了arp表中关于主机C的ip-->mac对应关系 。
防火墙失效了,入侵的ip变成合法的mac地址,可以telnet 了 。
上面就是一个ARP的欺骗过程,这是在同网段发生的情况,但是,提醒注重的是,在B和C处于不同网段的时候,上面的方法是不起作用的 。
3.2 不同网段的ARP欺骗
图3 不同网段之间的ARP欺骗
如图3所示A、C位于同一网段而主机B位于另一网段,三台机器的ip地址和硬件地址如下:
A: ip地址 192.168.0.1 硬件地址 AA:AA:AA:AA:AA:AA
B: ip地址 192.168.1.2 硬件地址 BB:BB:BB:BB:BB:BB
C: ip地址 192.168.0.3 硬件地址 CC:CC:CC:CC:CC:CC
在现在的情况下,位于192.168.1网段的主机B如何冒充主机C欺骗主机A呢?显然用上面的办法的话,即使欺骗成功,那么由主机B和主机A之间也无法建立telnet会话,因为路由器不会把主机A发给主机B的包向外转发,路由器会发现地址在192.168.0.这个网段之内 。
现在就涉及到另外一种欺骗方式―ICMP重定向 。把ARP欺骗和ICMP重定向结合在一起就可以基本实现跨网段欺骗的目的 。
推荐阅读
- 新的宽带认证方式——IEEE 802.1x协议
- IEEE 802.11协议家族a/b/g--无线网背景知识
- EIGRP路由协议综述
- 配置局域网中的通讯协议
- 网络协议基础知识 SMTP协议和UDP协议
- 正确配置路由协议 合理使用资源
- EOS的封装协议
- 对BitTorrent通信协议的分析与检测
- 路由协议-OSPF路由协议
- 完美测试TCP/IP协议简介