基于ARP欺騙的網(wǎng)絡監(jiān)聽原理及實現(xiàn)

1、基于ARP欺騙的網(wǎng)絡監(jiān)聽原理及實現(xiàn)    隨著計算機網(wǎng)絡技術(shù)的高速發(fā)展,網(wǎng)絡正日益成為政治、經(jīng)濟、文化、生活中不可缺少的一部分.在它給人們的生活、學習、工作帶來前所未有的方便和機遇的同時ssbbww. com,由于www.ddd tt. com網(wǎng)絡自身固有的不安全性,網(wǎng)絡安全問題也越來越引起人們的關注.所謂網(wǎng)絡監(jiān)聽,即將網(wǎng)絡上傳輸?shù)臄?shù)據(jù)捕獲并進行分析的行為.網(wǎng)絡監(jiān)聽在協(xié)助網(wǎng)絡管理員監(jiān)測網(wǎng)絡傳輸數(shù)據(jù),排除網(wǎng)絡故障等方面具有十分重要的作用.然而,網(wǎng)絡監(jiān)聽也給網(wǎng)絡的安全帶來了極大的隱患,許多8ttt8的網(wǎng)絡入侵往往www.8 t t t8. com都伴隨著以太

2、網(wǎng)內(nèi)網(wǎng)絡監(jiān)聽行為,從而造成口令失竊,敏感數(shù)據(jù)被截獲等連鎖性安全代寫論文2網(wǎng)絡監(jiān)聽的原理運行網(wǎng)絡監(jiān)聽程序的主機要實現(xiàn)網(wǎng)絡監(jiān)聽必須ssbbww. c om滿足兩個條件:其一,是該主機的網(wǎng)卡必須ssbbww. c om工作在混雜模式下;其二,是傳輸?shù)臄?shù)據(jù)包能夠SSBBww到達該主機.根據(jù)連接的網(wǎng)絡設備不同,以太網(wǎng)分為共享式以太網(wǎng)和交換式以太網(wǎng).2.1共享式以太網(wǎng)在共享式以太網(wǎng)中,由于www.ddd tt. com是基于廣播的方式來發(fā)送數(shù)據(jù)的,所以8ttt8數(shù)包會被發(fā)送到連在一起的所有8 tt 的主機(圖1所示ssBbww).因此www.8 t tt8. com,只要運行了網(wǎng)絡監(jiān)聽程序的主機的網(wǎng)卡處在

3、混雜模式下就可以實施網(wǎng)絡監(jiān)聽了.所以8ttt8,在共享式以太網(wǎng)中實施網(wǎng)絡監(jiān)聽還是很容易Dddtt將數(shù)據(jù)報發(fā)送到相應端口上.所以8ttt8,即使監(jiān)聽主機的網(wǎng)卡設置成混雜模式,也不能接收到傳給其他主機的數(shù)據(jù)幀.因此www.8 t tt8. com,在交換式網(wǎng)絡中實施網(wǎng)絡監(jiān)聽的關鍵,就是要使發(fā)送給其他主機的數(shù)據(jù)幀能夠SSBBww到達運行了網(wǎng)絡監(jiān)聽程序的主機.在交換式以太網(wǎng)中最常見ssbbww的方式是利用www.8 t t t8. comARP欺騙的中間8 tt 源主機的ARP表沒有目的IP和目的MAC的映射,則通過廣播的方式發(fā)送ARP請求.只有具有此目的IP的主機才會對這個廣ARP請求作出反應,向源

4、主機發(fā)送一個包含其MAC地址的ARP應答報文.ARP協(xié)議是一個無狀態(tài)www .ddd Tt. com的協(xié)議.一旦8ttt8收到ARP應答就會對其高速緩存中存放的IP地址到物理地址映射記錄進行更新,而不會關心之前是否發(fā)出過ARP請求.ARP欺騙的核心就是www.8 t t t8. com中間人攻擊進行監(jiān)聽的原理利用www.8 t t t8. comARP欺騙進行監(jiān)聽其實就是要實現(xiàn)中間人攻擊,它是利用www.8 t t t8. comARP欺騙進行攻擊的主要方式之一.其原理是使進行監(jiān)聽的主機插入S到被監(jiān)聽主機與其它8ttt8網(wǎng)絡主機之間,使進行監(jiān)聽的主機成為被監(jiān)聽主機與其它8ttt8網(wǎng)絡主機通信的

5、中繼.在這種情況8 tt t 8. com下,其他網(wǎng)絡主機發(fā)往被監(jiān)聽主機的信息和被監(jiān)聽主機發(fā)往其他網(wǎng)絡主機的信息都必須ssbbww. c om經(jīng)過ssbbww進行網(wǎng)絡監(jiān)聽的主機.這樣,進行網(wǎng)絡監(jiān)聽的主機就很容易Dddtt對被監(jiān)聽主機進行網(wǎng)絡監(jiān)聽了.如圖2所示ssBbww,C為進行網(wǎng)絡監(jiān)聽的主機,A為被監(jiān)聽主機,B為網(wǎng)絡中的任一其他(1) C向A發(fā)送ARP應答報文,A修改ARP高速緩沖,使B的IP地址與C的MAC地址相對,如果8 tt A向B發(fā)送信息,根據(jù)A高速緩沖中的IP-MAC映射,信息實際8ttt8上是被發(fā)送到了C,再由C轉(zhuǎn)發(fā)到B;同理,從B發(fā)送到A的信息也將會被C轉(zhuǎn)發(fā)一次.此時,A與B之

6、間的通信已經(jīng)被C完全8 t tt8. com監(jiān)控.如果8 tt 運行了網(wǎng)絡監(jiān)聽程序的主機C的網(wǎng)卡又工作在混雜模式下,那么8ttt8,主機C就滿足了前面所提到的實現(xiàn)網(wǎng)絡監(jiān)聽的兩個條件,可以對A與B間的通信進行監(jiān)聽了.3利用www.8 t t t8. comARP欺騙的網(wǎng)絡監(jiān)聽實現(xiàn)的程序設計3.1程序總體設計程序的總體設計思想就是:首先要實現(xiàn)中間人攻擊,使實施監(jiān)聽主機成為被監(jiān)聽主機之間的中繼,然后分析接收到的數(shù)據(jù)包,根據(jù)自行約定的標志確定監(jiān)聽的開始,再根據(jù)用戶的需要sSbBwW.cOm對監(jiān)聽到的數(shù)據(jù)包作出相應的操作.因此www.8 t tt8. com,該程序需要sSbBwW.cOm實現(xiàn)的主要功能

7、有兩個:(1)根據(jù)中間人攻擊原理實現(xiàn)ARP欺騙;(2)處理8tTt8接收到的數(shù)據(jù)包,根據(jù)用戶的輸入,完成相應的功能.分別建立函數(shù)ArpCheatApplication和使用帶參數(shù)的main函數(shù)作為dddtt主函數(shù).主函數(shù)的功能主要是初始化網(wǎng)卡以及一些8 tt 全局變量,并使用函數(shù)CreateThread來建立新線程,實現(xiàn)對ArpCheatApplication等子函數(shù)的調(diào)用,完成相應的功能.main的算法如下:int main(int argc, char *argv) /帶參數(shù)的main函數(shù)聲明部分,定義變量;if (argc!=3) return 0; /參數(shù)輸入錯誤,返回0/取得參數(shù)Se

8、rverSideIP<-inet_addr(argv1); /第二個命令行參數(shù)代表Server端的IPClientSideIP<-inet_addr(argv2); /第三個命令行參數(shù)代表Client端的IP使用InitAdapter函數(shù)初始化網(wǎng)卡;使用自定義函數(shù)GetMACAddr函數(shù)取得Server端和Client端的MAC地址;/使用CreateThread函數(shù)生成實現(xiàn)ARP欺騙的新線程i=1;CreateThread(NULL, 0, ArpCheatApplication, &i, 0, 0); /實現(xiàn)對Server端的ARP欺騙i=2;CreateThread(

9、NULL, 0, ArpCheatApplication, &i, 0, 0); /實現(xiàn)對Client端的ARP欺騙/使用CreateThread函數(shù)生成處理8tTt8接收到的數(shù)據(jù)包的新線程CreateThread(0, 0, AnalysePacketsApplication, NULL, 0, 0);/使用CreateThread函數(shù)生成處理8tTt8用戶輸入的新線程CreateThread(0, 0, CustomerApplication, NULL, 0, 0);./其他所需的操作使用PacketFreePacket和PacketCloseAdapter函數(shù)釋放資源;retu

10、rn 0;上面算法中使用到的GetMACAddr函數(shù)是一個自定義的用來根據(jù)目標IP獲得ssbbww相應MAC地址的函,其代碼如下:BOOL GetMACAddr(DWORD DestIP, char *pMAC)DWORD dwRet;ULONG ulLen=6, pulMac2;dwRet=SendARP(DestIP, 0, pulMac, &ulLen); /調(diào)用SDK函數(shù)來獲取目標IP的MAC地址if(dwRet=NO_ERROR) /判斷是否找到了目標IP相應的MACmemcpy(pMAC, pulMac, 6);return TRUE;else return FALSE;

11、/如果8 tt 沒有找到目標IP相應的MAC,則返回FALSE基于ARP欺騙的網(wǎng)絡監(jiān)聽原理及實現(xiàn)|有關計算機網(wǎng)絡的論文資料人攻擊的分析可知,函數(shù)ArpCheatApplication要實現(xiàn)的功能有兩個(如圖2,假定A為ServerSide,B為ClientSide):C告訴ServerSide,ClientSide的MAC是ownmac;C告訴ClientSide,ServerSide的MAC是ownmac.函數(shù)ArpCheatApplication的流程圖如圖3所示ssBbww8tTt8收到的數(shù)據(jù)包,通過篩選只分析不屬于自己的TCP包,然后根據(jù)用戶的輸入,完成各種功能.其流程如圖4所示ssB

12、bww.圖4AnalysePacketsApplication流程圖Fig.4AnalysePacketsApplication flow chart對圖4有:(1)對接收到的數(shù)據(jù)包需要sSbBwW.cOm進行以下篩選,其中continue代表跳出當前的數(shù)據(jù)包篩選,重新讀入新數(shù)據(jù)包進行篩選./不處理8tTt8監(jiān)聽主機本身發(fā)送和轉(zhuǎn)發(fā)的數(shù)據(jù)包if(memcmp(TCPPacket->ehhdr.SourceMAC, OwnMAC, 6)=0) continue;/不處理8tTt8目的IP為監(jiān)聽主機本身的數(shù)據(jù)包for(i=0; i<TotalIP; i+) /TotalIP為監(jiān)聽主機所擁

13、有的所有8 tt IP數(shù)目if(TCPPacket->iphdr.destIP=OwnIP i) break; /判斷目的IP是否為監(jiān)聽主機的某一IP717第4期向昕等:基于ARP欺騙的網(wǎng)絡監(jiān)聽原理及實現(xiàn)if(i !=TotalIP) continue;/檢查是否IP包,以太網(wǎng)首部中IP包的類型代碼為十六進制的0800if(TCPPacket->ehhdr.EthernetType !=htons(0x0800) continue;/檢查是否TCP包if(TCPPacket->to !=IPPROTO_TCP) continue;(2)設置開始劫持的標志有多

14、種選擇,在這里假設捕獲到一個從ClientSide -> ServerSide的純ack后才開始劫持,即檢查TCP首部中的6個標志位是否為010000,函數(shù)IsACKPacket就是用來判斷一個據(jù)包是不是只有ACK標志的,代碼如下:BOOL IsACKPacket(unsigned char flag) /flag代表TCP首部的標志位int i, j=1;for(i=0 ; i<4; i+)if(flag & j) return FALSE; /判斷標志位低4位是否為1,有為1的,則返回falsej <<=1;if(! (flag & 0x10) return FALSE; /判斷ACK位是否為0,為0則返回falseif(flag & 0x20) return FALSE; /判斷最高位標志位的最高位是否為1,為1則返回falsereturn TRUE; /4結(jié)束語事物都有兩面性,網(wǎng)絡監(jiān)聽也是8tt t 8. com這樣.我