大家看到這個題目可能感覺有點奇怪，網(wǎng)絡(luò)安全圈里好像沒有人定義過這種名詞，起初我也不清楚該定義一個什么樣的名詞，我只是根據(jù)攻擊的原里定義這樣的名詞，如果那位有更好的建議為他來填上一個更響亮的名字，例如“熊貓燒香”等，天下皆知。

這種攻擊方式不知有人研究過沒，我在網(wǎng)上沒有看到過，最近一段時間花費了點心思，把這種攻擊技術(shù)稍微鉆研了下，希望能對安全技術(shù)愛好者又提供一個奠基石，但不希望大家用他來做網(wǎng)絡(luò)破壞，因為后果很嚴(yán)重，網(wǎng)管很生氣，因為他找不到攻擊源，對于防護(hù)這種攻擊目前沒有很好的解決辦法，所以大家三思而后行。

廢話說了不少，進(jìn)入正題。起初對于這種攻擊的發(fā)現(xiàn)是來源早期對ARP協(xié)議的學(xué)習(xí)與研究，在當(dāng)時發(fā)現(xiàn)發(fā)送特定格式的ARP數(shù)據(jù)包會對網(wǎng)絡(luò)造成一定影響，假如我是B機(jī)器，捕獲到C機(jī)器發(fā)向A的ARP返回包。

在B機(jī)器上使用SNIFFER PRO 捕獲后，進(jìn)行數(shù)據(jù)包重放，就是說B機(jī)器上發(fā)出了源MAC 為C機(jī)器的這樣的數(shù)據(jù)包，交換機(jī)時收到這樣連續(xù)不段的數(shù)據(jù)包時（發(fā)送的數(shù)量與攻擊的效果有很大關(guān)系）C機(jī)器突然就與網(wǎng)絡(luò)中的其他機(jī)器失去聯(lián)系，網(wǎng)絡(luò)中的其他機(jī)器也訪問不到C機(jī)器，根據(jù)抓包發(fā)現(xiàn)C機(jī)器的數(shù)據(jù)包是能夠發(fā)送出去的，只是沒有收到回應(yīng)包，問題出在那里？。

有想法的人肯定會想到數(shù)據(jù)包被交換機(jī)轉(zhuǎn)發(fā)到B機(jī)器上來了，為了證實我們的想法，在B機(jī)器上抓包發(fā)現(xiàn)，有很多數(shù)據(jù)包是其他IP對C機(jī)器的回應(yīng)包。很多人會不明白為什么會這樣那。大家知道交換機(jī)和HUB的區(qū)別，交換機(jī)不對數(shù)據(jù)包進(jìn)行廣播。

他工作的模式是：A機(jī)器--->B機(jī)器的數(shù)據(jù)包 C機(jī)器是接收不到的，應(yīng)為交換機(jī)內(nèi)部有轉(zhuǎn)發(fā)列表（ACM）, AMC表的作用是建立MAC地址與端口的對應(yīng)關(guān)系，一個端口可以和很多MAC地址建立對應(yīng)關(guān)系。

（在802.1x下好像只能建立一個），這看上去沒什么問題，問題是出在ACM是實時動態(tài)更新的， 說到這里在看上面的問題就清楚了，原本C機(jī)器發(fā)送數(shù)據(jù)包到A沒有問題，C機(jī)器的MAC在3口建立了臨時的對應(yīng)關(guān)系，A機(jī)器收到后如果再與C機(jī)器進(jìn)行通訊，交換機(jī)會把數(shù)據(jù)包直接轉(zhuǎn)向了3口，他們之間的數(shù)據(jù)連接就會成功。

在B機(jī)器捕獲到這個數(shù)據(jù)包時進(jìn)行連續(xù)重放，剛才也說了是從B機(jī)器上發(fā)送源地址為C機(jī)器MAC的數(shù)據(jù)包，數(shù)據(jù)包通過交換機(jī)時會改變C機(jī)器MAC與3口的對應(yīng)關(guān)系，交換機(jī)發(fā)現(xiàn)這個數(shù)據(jù)包的源MAC地址是從交換機(jī)的2口發(fā)送。

所以會建立C機(jī)器的MAC 與2號端口建立ACM表的對應(yīng)關(guān)系，A機(jī)器再發(fā)向C機(jī)器的數(shù)據(jù)包，全被交換機(jī)轉(zhuǎn)到2號端口B機(jī)器上面，所有就形成了C機(jī)器的斷網(wǎng)現(xiàn)象，大家現(xiàn)在應(yīng)該明白了吧，上面是我自己的理解，可能有些地方解釋的有問題，希望大家提出。

下面有人會說C機(jī)器也在不斷的發(fā)包，也會改變ACM表上C機(jī)器MAC與2號端口的對應(yīng)關(guān)系，上面我也說過，這就要看B機(jī)器的重放數(shù)據(jù)包的數(shù)量了，經(jīng)過我測試發(fā)現(xiàn)在B機(jī)器重放每秒500-1000個數(shù)據(jù)包的同時。

C機(jī)器應(yīng)經(jīng)與機(jī)器不能通訊或通訊非常非常的慢，有意思的是在C機(jī)器上能PING 的通其他機(jī)器，這讓C機(jī)器挺郁悶吧，而且C機(jī)器收不到任何攻擊數(shù)據(jù)包，應(yīng)為是C對應(yīng)A機(jī)器的數(shù)據(jù)包，沒有進(jìn)行廣播，如數(shù)據(jù)包的數(shù)量在1萬左右，C機(jī)器收不到任何信息。

你又會說為什么不進(jìn)行數(shù)據(jù)包廣播那，應(yīng)為數(shù)據(jù)包進(jìn)行廣播的話，對交換機(jī)影響很大，會對其他機(jī)器造成影響，而且容易讓別人發(fā)現(xiàn)這種數(shù)據(jù)包，（雖然他不查看交換機(jī)MAC表是找不到你，但是就怕他看），如果你網(wǎng)絡(luò)很大，廣播對你自己利用說也會造成影響。

所以我們要把數(shù)據(jù)包做成定向發(fā)送，找個傀儡機(jī)嘍，在上面A就是我們的傀儡機(jī)了，假如還有D機(jī)器的話，在D機(jī)器上抓包是發(fā)現(xiàn)不了這種攻擊的，是不是很可怕，下面還有更可怕的那。

大家又要開動腦筋了，既然可以對單臺機(jī)器發(fā)動攻擊，也可以對網(wǎng)關(guān)發(fā)動攻擊，對網(wǎng)關(guān)發(fā)送攻擊會出現(xiàn)什么后果那，就是大家都不能和網(wǎng)關(guān)進(jìn)行通訊，網(wǎng)絡(luò)全部斷掉（包括你自己），前提只需在B機(jī)器上發(fā)送源地址為網(wǎng)關(guān)的數(shù)據(jù)包。

我們已經(jīng)說了廣播包是最不可取的，那我們就要找個傀儡機(jī)器，還找機(jī)器A嗎，不行啦，因為是定向包B機(jī)器和A機(jī)器在同一交換機(jī)上面，所能更改的也只是這臺交換機(jī)的ACM表，也只是對這個交換機(jī)的下面的機(jī)器有影響，我們怎么突破范圍那，上面說了廣播可以，但是又是最不可行的方法，怎么辦？

放心，聰明人總會有辦法的，在這個時候傀儡機(jī)器的作用顯現(xiàn)出來了，用專業(yè)術(shù)語說下，從B機(jī)器發(fā)送源地址為網(wǎng)關(guān)MAC的數(shù)據(jù)包，它所經(jīng)過的交換機(jī)都會被更改與網(wǎng)關(guān)ACM的對應(yīng)關(guān)系。

也就是說傀儡機(jī)有多遠(yuǎn)我們攻擊的交換機(jī)就有多遠(yuǎn)，所以說選擇傀儡機(jī)所在網(wǎng)絡(luò)拓?fù)涞奈恢煤苤匾?，他決定了我們攻擊交換機(jī)的范圍。如果我想讓全網(wǎng)掉線的話，我會選擇主干交換下面的機(jī)器做傀儡機(jī)器，是不是我很壞。

大家都看懂了吧，也可能會說這種攻擊很完美了，我反對，因為大家想，這種攻擊如只局限于ARP協(xié)議是很容易被封殺的，因為測試過程中這種攻擊很多ARP防火墻是不允許的，然后我只好在想辦法啦，大家又要動腦筋了。

我們在回到原理上，是數(shù)據(jù)包的那個部分對交換機(jī)ACM造成影響，是DLC鏈路層，在數(shù)據(jù)包中的頭十四個字節(jié)，這十四個字節(jié)包含了數(shù)據(jù)的源MAC地址6個字節(jié)，目的MAC地址6個字節(jié) 協(xié)議類型2個字節(jié)。

我們想一想還有什么數(shù)據(jù)包包含這十四個字節(jié)那，很多啦例如有TCP /UDP /ICMP等，我們馬上操刀開練，在B機(jī)器上發(fā)送源地址為C機(jī)器MAC的UDP數(shù)據(jù)包，發(fā)送到A機(jī)器，哈哈，TCP/ICMP等效果一樣，后來發(fā)現(xiàn)高興的太早了，彩影和巡路做的ARP防火墻還是會針對IP欺騙做過濾。

好像我可以睡覺了，又有人說了你搞了這么多原理就把我們搞迷糊了，你還讓我們做測試的時候先學(xué)下SNIFFER PRO怎么用，然后在填充幾十到上百字節(jié)的數(shù)據(jù)包嗎，到時候黃花菜都涼了。

【編輯推薦】

1. 對于核心交換機(jī)分類進(jìn)行匯總
2. 了解局域網(wǎng)交換機(jī)如何解決網(wǎng)絡(luò)安全問題
3. 對目標(biāo)交換機(jī)進(jìn)行學(xué)習(xí)研究
4. PythonAndroid什么是有線交換機(jī)和路由器之間最大的差異
5. 闡述管理型交換機(jī)和非管理型交換機(jī)之間的關(guān)系