当前位置:首页 > ARP病毒的攻击与防范论文
ARP病毒的攻击与防范
printf (\ PacketFreePacket(lpPacket); PacketCloseAdapter(lpAdapter);
3.4IP数据包的转发
IP转发功能,A发送过来的数据包,转发给C,好比一个路由器一样。不过,假如B发送ICMP重定向的话就中断了整个计划。直接进行整个包的修改转发,捕获到A发送给的数据包,全部进行修改后再转发给C,而C接收到的数据包完全认为是从A发送来的。不过,C发送的数据包又直接传递给A,倘若再次进行对C的ARP欺骗。现在B就完全成为A与C的中间桥梁了。
(1)将B发向A的数据包转发到A
lpPacket = PacketReceivePacket(lpAdapter, lpPacket2, TRUE); if(PacketSendPacket(lpAdapter, lpPacket1, TRUE)==FALSE) { printf(\ printf (\ (2)将A发向B的数据包转发到B
lpPacket = PacketReceivePacket(lpAdapter, lpPacket1, TRUE); if(PacketSendPacket(lpAdapter, lpPacket2, TRUE)==FALSE) { printf(\ printf (\ PacketFreePacket(lpPacket); PacketCloseAdapter(lpAdapter);
3.5侦听
攻击源C既然可以收取与转发数据,当然也就可以侦听A与B之间的通信数据了。例如局域网环境为192.168.0.xxx,子网掩码为255.255.255.0,网关为192.168.0.1。我们的IP为192.168.0.3,想要Sniffer 192.168.0.2的数据包。由于网关为192.168.0.1,所以我们就只要欺骗192.168.0.1和192.168.0.2就可以了。也就是说告诉192.168.0.1,192.168.0.2的MAC地址是自己(192.168.0.3);然后再告诉192.168.0.2, 192.168.0.1的MAC地址是自己(192.168.0.3)。这样以来所有的数据包都会发到192.168.0.3,并且由192.168.0.3实现转发同样在192.168.0.2上面也会发现192.168.0.1和192.168.0.3的MAC地址是一样的。这样我们就在192.168.0.1和192.168.0.2之间实现了ARP欺骗。
4
ARP病毒的攻击与防范
3.6用ARP攻击WINDOWS系统
(1)攻破屏幕保护:利用IP冲突的级别比屏保高,当有冲突时,就会跳出屏保。需要保持较大的ARP包数量才能起效。数据包发送原理与3.2中程序所述相同,根据实验一般需要达到每秒1000次以上频率。
(2)导致IP冲突死机:用ARP欺骗导致IP冲突,WINDOWS在处理IP冲突时,处理不过来,导致死机。
3.7对交换机攻击
(1)对交换机的MAC欺骗:交换机上同样维护着一个动态的MAC缓存。交换机的一般工作原理是:首先,交换机内部有一个对应的列表,交换机的端口对应MAC地址表Port to Mac记录着每一个端口下面存在那些MAC地址,这个表开始是空的,交换机从来往数据帧中学习。例如,当Port 1口所接的计算机发出了一个数据帧,这帧数据从Port 1进入交换机,交换机就取这个数据帧的原MAC地址AAAAAAAAAA,然后在地址表中记录:Port 1对应AAAAAAAAAAAA。当对应表项建立后,所有发向MAC地址为AAAAAAAAAAAA的数据帧,就全从Port 1口输出,而不会从其它的口输出。与对计算机的ARP欺骗相类似,如果把交换机上的MAC-PORT表修改了,那么对应的MAC to PORT就一样跟着改变,本来不应该发送到探测器的数据结果发送过来了,这样也达到了探测的目的。例如,修B发送的数据包MAC地址为原来A的MAC地址,当经过交换机的时候,交换机发现端口B对应的地址是机器A的MAC地址,于是就将会把A的MAC地址同端口B相对应,从而把发送给A的数据从端口B传输了,本来这些应该是传送到端口A的。因此,从机器B就能够获得发送给A的数据。
(2)对交换机的溢出攻击:就象交换机的MAC和Port对应关系形成的原理,因为Port to Mac缓存表是动态更新的,那么让整个交换机的端口表都改变,对交换机进行MAC地址欺骗的洪水攻击,不断发送大量假MAC地址的数据包,交换机就会去更新Port to Mac缓存,如果能通过这样的办法把以前正常的Port to MAC对应的关系破坏了,那么交换机就会进行泛洪发送给每一个端口,让交换机基本变成一个HUB,向所有的端口发送数据包。交换机对这种极限情况的处理,因为属于不正常情况,可能会引起包丢失情况,最终导致交换机系统的崩溃。
4
ARP病毒的攻击与防范
3.8挂载病毒
当实现“Man-In-The-Middle”重定向后,就可以通过在ARP包转发过程中进行病毒挂载。可以不用获得目标主机的权限就直接在他提供的网页上加载病毒。这种手段非常隐蔽,不改动任何目标主机的页面或者是配置,在网络传输的过程中间直接插入病毒的语句,或是调用其他网站上事先准备好的病毒。
如上文所述,“Man-In-The-Middle”重定向,实际上相当于将攻击服务器作为路由转发设备。以表2-3中环境为例,正常情况下 A访问B ,A是访问的正常客户,B服务器,C是攻击主机。当ARP攻击成功实现“Man-In-The-Middle”重定向后,C成为A与B之间的IP包转发器。这时,A向B发出HTTP请求,C判断下是哪个客户端发过来的包,转发给B,然后B返回HTTP响应的时候,在HTTP响应包中,插入一段病毒的代码,再将修改过的包返回的正常的客户A,此时完成一次病毒挂载。
本文中第一章的实例就是ARP挂病毒攻击。WEB服务器网关的MAC地址被ARP攻击篡改为攻击源地址,欺骗了数据报走向,然后攻击源修改一些定义的关键字加入
