基于ETHERNET的網絡監聽以及ARP欺騙

１引言網絡監聽，亦稱為網絡嗅探，是利用計算機的網絡接口監視并查看網絡中傳輸的數據包的一種技術。它工作在網絡的底層，能夠把網絡中傳輸的全部數據記錄下來。監聽器(sniffer)不僅可以幫助網絡管理員查找網絡漏洞和檢測網絡性能，還可以分析網絡的流量，以便找出網絡中存在的潛在問題。不同傳輸介質的網絡，其可監聽性是不同的。但一般說來，以太網、FDDIToken、微波和無線網絡都有很高的可能性被監聽。實際應用中的sniffer分軟、硬兩種。軟件監聽器便宜，易于使用，缺點是往往無法抓取網絡上所有的傳輸數據(比如碎片)，也就可能無法全面了解網絡的故障和運行情況;硬件監聽器通常稱為協議分析儀，它的優點恰恰是軟件監聽器所欠缺的，但是價格昂貴。目前主要使用的是軟件監聽器代寫論文。2網絡監聽的原理在以太網中，所有的通訊都是“廣播”式的，也就是說通常同一個網段的所有網絡接口都可以訪問在信道上傳輸的所有數據。在一個實際系統中，數據的收發是由網卡來完成，每個網卡都有一個唯一的MAC地址。網卡接收到傳輸來的數據以后，網卡內的單片程序檢查數據幀的目的MAC地址，根據計算機上的網卡驅動程序設置的接收模式來判斷該不該接收該幀。若認為應該接收，則接收后產生中斷信號通知CPU，若認為不該接收則丟棄不管。正常情況下，網卡應該只是接收發往自身的數據包，或者廣播和組播報文，對不屬于自己的報文則不予響應?？扇绻W卡處于混雜模式，那么它就能接收一切流經它的數據，而不管該數據幀的目的地址是否是該網卡。因此，只要將網卡設置成混雜模式(promiscuous)，那么它就可以捕獲網絡上所有的報文和幀，這樣也就達到了網絡監聽的目的。由此可見，網絡監聽必須要滿足兩個條件:①網絡上的通訊是廣播型的。②網卡應設置為混雜模式。這在傳統的以太網中是滿足的。因為傳統的以太網是共享型的，所有的主機都連接到HUB，而HUB對數據包的傳輸形式是廣播。這意味著發給某個主機的數據包也會被其它所有主機的網卡所收到。因此在這樣的環境中，任何設置成混雜模式的主機，都可以捕獲發送給其它主機的數據包，從而竊聽網絡上的所有通信?？扇缃瘢S著交換機的廣泛使用，更多的以太網是屬于交換型的。所有的主機都連接到SWITCH，對于發給某個特定主機的數據包會被SWITCH從特定的端口送出，而不是像HUB那樣，廣播給網絡上所有的機器。這種傳輸形式使得交換型以太網的性能大大提高，但同時也破壞了網絡監聽的第一個前提條件，使得上文中所述的傳統網絡監聽器無法工作。因此，在交換網絡中進行網絡監聽面臨的一個主要問題就是:如何使本不應到達的數據包到達本網段。通常的解決方法主要有兩種，一種是ARP欺騙(ARPSpoof)，另一種就是MAC水包(MACFlooding)。其中MACFlooding就是指向交換機發送大量含有虛假MAC地址和IP地址的IP包，從而使得交換機內部的地址表“溢出”，進入所謂的“打開失效”模式，迫使SWITCH以類似于HUB的廣播方式工作，向網絡上所有的機器廣播數據包。本文將要詳細分析ARP欺騙模式。3ARP欺騙3.1ARP(AddressResolutionProtocol)的工作機制在以太網中傳輸的數據包是以太包，而以太包是依據其首部的MAC地址來進行尋址的。發送方必須知道目的主機的MAC地址才能向其發送數據。ARP協議的作用就在于把邏輯地址轉換成物理地址，也即是把32bit的IP地址變換成48bit的以太網地址。為避免頻繁發送ARP包進行尋址，每臺主機都有一個ARP高速緩存，其中記錄了最近一段時間內其它IP地址與其MAC地址的對應關系。如果本機想與某臺主機通信，則首先在ARP緩存中查找這臺主機的IP和MAC信息，若存在，則直接利用此MAC地址構造以太包;若不存在，則向網絡上廣播一個ARP請求包。目的主機收到此請求包后，發送一個ARP應答包。本機收到此應答包后，把相關信息記錄在ARP高速緩存中，然后再進行發送。由此可見，ARP協議是有缺陷的。一臺惡意的主機可以構造一個ARP欺騙包，而源主機卻無法分辨真假。3.2相關協議的幀格式為了論述的簡潔性，文中我們對以太網中ARP幀格式做如3.3ARPSpoof原理實驗環境如下圖所示:在這個交換網絡中有四臺PC，其中HostD試圖進行ARP欺騙來監聽HostA的數據流。假設主機A要與主機B通信，但A在其ARP緩存中沒有找到有關主機B的MAC信息。于是，主機A發出ARP請求包:正常情況下，主機B回應一個ARP應答包:但同時，主機D也監聽到了ARP請求包，隨后它也發出了一個偽造的ARP應答包:這樣，主機A就收到了兩個ARP應答包，一個來自主機B，一個來自主機D。當A收到主機B的ARP應答包后的一段時間，其ARP表確實會正確記錄著B的IP-to-MACmapping表項。但隨后，它收到了D的ARP包，并且它也仍然認為這是正確的。于是，它修改自己緩存中的ARP表。此后，若A向B發送數據，則數據實際上是流向D。同理，主機D也可以對主機B進行欺騙，使流向A的數據流向D，并且啟用自己的數據轉發功能，充當man-in-middle，這樣，主機D就達到了監聽主機A通訊的目的。3.4程序處理流程下面給出了程序的處理流程。(1)獲取目的主機A的IP，并將它和本機IP、本機MAC地址分別保存到dst_ip，own_ip，own_mac中。(2)向主機A發出正常的ARP請求包，以得到dst_mac。(3)初始化數據鏈路，將NIC置為promiscuous模式。(4)進入主循環，開始監聽數據包，置flag=0。(5)取出一個包，檢查是否是Ethernet類型的ARP包，若不是，轉步驟(10)。再比較發送端IP地址或接收端IP地址是否等于own_ip，若是，轉步驟(10)。否則繼續。(6)檢查發送端IP地址，若等于dst_ip，則置flag=1，記錄下接收端IP地址sec_ip，然后向此接收端(主機B)發出正常的ARP請求包，以得到sec_mac。(7)若flag=0，檢查接收端IP地址，若等于dst_ip，則置flag=-1，記錄下發送端IP地址sec_ip，以及發送端MAC地址sec_mac。(8)若flag=1，則用dst_ip，dst_mac，sec_ip，own_mac偽造針對主機A的ARP應答包，生成一個Ethernet報頭，將其發送出去。接著，用sec_ip，sec_mac，dst_ip，own_mac偽造針對主機B的ARP包，并將此ARP包中可選域置為空，生成一個Ethernet報頭，將其發送出去。(9)若flag=-1，則用sec_ip，sec_mac，dst_ip，own_mac偽造針對主機B的ARP應答包，生成一個Ethernet報頭，將其發送出去。接著，用dst_ip，dst_mac，sec_ip，own_mac偽造針對主機A的ARP包，并將此ARP包中可選域置為空，生成一個Eth-ernet報頭，將其發送出去。(10)轉入步驟(4)，繼續監聽數據包。對此流程，有以下幾點需要補充說明:·為了能讓主機A和B正常通信，應在運行此程序之前打開主機D上的數據轉發功能?！ひ驗槭窃诮粨Q網絡中，所以只能監聽到ARP請求包，而3.5程序結果分析本程序在交換網絡中能夠很好的完成欺騙的任務，讓本不應到達的數據包到達本網段，從而使得在交換網絡中進行網絡監聽成為可能。從中我們也可以看出，許多傳統的網絡協議的實現都是建立一種非常友好的，通信雙方充分信任的基礎之上。這樣，就給了很多別有用心的網絡使用者一些可乘之機。為此，在這里也想根據我們的實踐經驗對如何防范交換網絡中的監聽提出一些參考意見。第一，使用靜態ARP表。從我們的實驗可以看出，如果目的主機A采用的是靜態ARP表，則我們所做的欺騙就會失效。因此，在網絡結構比較固定，網絡規模比較小的情況下，我們可以在重要的主機或工作站上通過設置靜態ARP表的方法來防止網絡監聽。第二，會話加密。我們不應把網絡安全信任關系建立在IP地址或硬件MAC地址的基礎上。而是應該對所傳輸的重要數據事先進行加密，再開始傳輸。這樣，即使我們傳輸的數據被惡意主機監聽到，它也無法獲取切實有用的信息。第三，主動地檢測網絡嗅探器。上面的兩種方法都是比較被動的方法，我們也可以主動出擊，來檢查網絡中是否存在網絡嗅探器?！RP包進行檢查，看是否經常出現類似的ARP請求。這可以借鑒網絡的異常檢測方法。通過建立異常檢測模型，來對網絡上的ARP請求包進行實時的監測分析。·通過測量網絡和主機的響應時間，網絡通訊的丟包率，以及網絡帶寬來看是否出現了反常。4結論本文介紹了網絡監聽的基本原理，并特別針對如何在交換網絡的環境中的監聽進行了詳細討論。由此，可以發現ARP協議的一些漏洞，并針對這些漏洞進行了ARP欺騙的實驗。實驗結果表明，將傳統的集線器升級為交換機，雖然能夠增加網絡監聽的難度，但仍然無法