構造自己的ARP掃描和欺騙工具

前段時間是各種各樣的ARP攻擊和帶ARP攻擊的木馬在局域網作怪的巔峰時期。比如網頁、電影、外掛、私服、插件,等等,它們都可能帶有A R P攻擊。同時我相信很多人也已經經歷過,并且有一套自己的解決辦法。而下面我要介紹的則是如何利用Winpcap構造自己自ARP掃描和欺騙工具,并且在最后給出了一些防御ARP掃描和欺騙的方法。

在構造自己的ARP掃描和欺騙工具之前,我們首先要明白ARP掃描和欺騙是利用了什么漏洞以及它的實現原理。

ARP掃描和欺騙利用的漏洞

我們知道,在局域網中實際傳輸的是數據幀.并且數據幀里有目標主機的MAC地址。在以太網中,一個主機要和另一個主機進行直接通信,必須要知道目標主機的MAC地址.但主機是如何獲得這個目標的MAC地址呢?它就是通過地址解析協議(A RP)獲得的。所謂“地址解析“。就是主機在發送數據幀前將目標lP地址轉換成目標MAC地址的過程。ARP協議的基本功能就是通過目標設備的lP地址,查詢目標設備的MAC地址,以保證通信的順利進行。

因此每臺安裝有TCP/iP的電腦里都有一個A R P緩存表.表里的l P地址與MAC地址是一一對應的,如圖1所示。同時,我們還應明白的是這個ARP緩存表是動態變化的,它根據接收到的數據幀動態改變各個iP地址對應的MAC地址,還有就是它并不檢查lP地址與MAC地址的一一對應是否真正的正確。因此我們才可以利用它的這個”不檢查正確性對應”的漏洞來實現我們自己的ARP掃描和欺騙。

ARP掃描和欺騙的原理

首先我們應該明白的是我們可以根據自己的需要構造ARP包,并且用Winpcap中的相應函數將我們構造的ARP包發送到目的地址,從而達到我們的目的。

1.ArP掃描的原理

ARP掃描的原理就是構造ARP請求包.并將我們構造的ARP請求包以廣播的形式向局域網內廣播。這樣與我們所構造的AFIP包中相同的主機就會給我們發送一個響應包,通過這個響應包.我們就可以獲得該lP對應的MAC地址。這就是ARP掃描的原理。

2.ARP欺騙的原理

現在的監聽技術有很多,但是我們常用的sn iffer工具只能在基于Hub的網絡中起作用,而不能在哪怕是只有交換機的網絡中起作用,這時就只有想別的辦法了。而本文要介紹的ARP欺騙技術就能實現常用sniffer工具不能實現的監聽。基于ARP欺騙的實質就是構造一個ARP應答包.從而修改被欺騙主機的ARP緩存表,這樣使得原本發送到正確目的地的數據包先到達我們的主機,然后再由我們的主機轉發到它真正想去的目的地。下面通過一個實際例子來說明這個過程。

首先假設有3主機A和B.還有我們自己的主機C,并且位于同一個交換式局域網中,接下來分析一下ARP欺騙的原理。

A與B正在通信,如果我們想要刺探A→B通信的內容,那么就可以給A發送一個偽造的ArP回應包。并且告訴A.B的lP所對應地MAC地址為主機C的MAC地址。這樣A也就會相應地刷新自己的ARP緩存+將發送給B的數據源源不斷地發送到我們的主機c上.這樣我們就可以對接收到的數據包進行分析,從中獲得我們想要的東西了。當然,因為ARP緩存是動態的,有超時時間限制,所以我們必須每隔一段時間就給A發送一個ARP回應包。雖然這樣我們就達到了欺騙監聽的目的,但是A到B的通信卻被停止了,為了不讓B發現,我們還要對每次接收到的數據包進行轉發,即將本該發給B的數據全部經過c轉發給B。同樣的道理,我們還可以監聽B-A的數據包,這樣我們就可以監聽到A.B之間的通信的所有內容.從而實現對A、B通信的雙向監聽了,如圖2所示。

通過上面的介紹,大家應該弄明白了什么是ARP掃描和欺騙。接下來講解如何用現在十分流行的抓包開發包Winpcap構造我們自己的ARP掃描和欺騙工具。

ARP掃描和欺騙的實現

1.AlH掃描的實現

這里我們利用M/crosof tPlatformSDK中提供的用來獲得目標主機MAe地址的函數來實現.其描述為:

2.Altl欺騙的實現

由于我編寫的ARP掃描和欺騙的代碼太多,所以這里我只給出核心代碼的講解,至于完整的代碼。需要的朋友可以給我E - mail。

防御ARP掃描和欺騙的方法

通過對我所搜集的資料的整理,我歸納了下面的一些防御ARP掃描和欺騙的方法,希望能對大家有所幫助。

1.不要把你的網絡安全信任關系建立在lP或MAC基礎上,理想的關系應該建立在IP+MAC基礎上。

2.設置靜態的MAC →lP對應表,不要讓主機刷新你設定好的轉換表。

3.除非很有必要.否則停止使用ARP.將ARP作為永久條目保存在對應表中。

4.使用ARP服務器。通過該服務器查找自己的ARP轉換表來響應其他機器的ArP廣播,確保這臺ARP服務器不被Hack。

5.使用Proxy代理lP傳輸。

6.使用硬件屏蔽主機。設置好你的路由.確保I P地址能到達合法的路徑。注意使用交換集線器和網橋是無法阻止ARP欺騙的。

7.定期甩響應的lP包中獲得的一個rarp請求來檢查ARP響應的真實性。

8.定期檢查主機上的ARP緩存。

9.使用防火墻連續監控網絡。注意在使用SNMP的情況下,ARP的欺騙有可能導致陷阱包丟失

請先 登錄 后評論
  • 0 關注
  • 0 收藏,1079 瀏覽
  • 提出于 2019-06-30 22:22

相似問題

全民欢乐捕鱼2期 极速时时彩参考公式 天津时时几点 黑龙江省快乐十分开奖视频 足球甩jb进球 五大联赛哪个水平最高 欢乐十三水 香港49码走势图 广东时时历史开奖记录查询结果 德甲直播 内蒙古时时历史 500大透预测 北单比分奖金计算器澳客 快乐炸金花官网 青海快3今天22期预测号 喜乐彩票代投注 云南时时娱乐平台