标签:des blog http io ar os sp for on
曾经有段时间, 六七年前了吧. 本科的时候, 流行了一阵子ARP病毒攻击, 导致整个局域网都不能上网了. 当时只听说这个东西防不住, 只要有一个人中毒, 就导致所有人上不了网. 现在也终于知道这是怎么回事了, 也能手工让某个同学上不了网了, 咳咳.
大家应该也都知道ARP是干嘛的, 我再啰嗦一下.. 比如我访问了百度, 百度回了包给我, 百度只知道我的IP是什么,不知道我的MAC地址. 这个包到网关的时候, IP这一层再把数据交给下一层的链路层, 链路层不知道IP是什么东西的, 它只认MAC地址. 所以就需要把IP转成MAC地址, ARP请求就是做这个的.
就是说, 我可以通过这个协议广播问一下所有机器 , 谁的IP是XXX.XXX.XXX.XXX, 请把你的MAC地址告诉我. 这个IP是XXX.XXX.XXX.XXX的机器收到请求之后, 就会告诉我, XXX.XXX.XXX.XXX的MAC地址是啥啥啥.
不幸这个是基于互相信任的, 理论上大家都会相信别人说的是正确的. 但是, 我可以撒谎说, XXX.XXX.XXX.XXX是我, 我的MAC是啥啥啥. 然后本来应该到 XXX.XXX.XXX.XXX那里的数据包就到我这里来了. XXX.XXX.XXX.XXX不仅仅是断网了, 我还能窃听他的数据.
要想伪造, 啊,不, 发送一个ARP请求或者应答, 一定要了解协议格式. 从RFC文件抄了一份.
To communicate mappings from <protocol, address> pairs to 48.bit
Ethernet addresses, a packet format that embodies the Address
Resolution protocol is needed. The format of the packet follows.
Ethernet transmission layer (not necessarily accessible to
the user):
48.bit: Ethernet address of destination
48.bit: Ethernet address of sender
16.bit: Protocol type = ether_type$ADDRESS_RESOLUTION
Ethernet packet data:
16.bit: (ar$hrd) Hardware address space (e.g., Ethernet,
Packet Radio Net.)
16.bit: (ar$pro) Protocol address space. For Ethernet
hardware, this is from the set of type
fields ether_typ$<protocol>.
8.bit: (ar$hln) byte length of each hardware address
8.bit: (ar$pln) byte length of each protocol address
16.bit: (ar$op) opcode (ares_op$REQUEST | ares_op$REPLY)
nbytes: (ar$sha) Hardware address of sender of this
packet, n from the ar$hln field.
mbytes: (ar$spa) Protocol address of sender of this
packet, m from the ar$pln field.
nbytes: (ar$tha) Hardware address of target of this
packet (if known).
mbytes: (ar$tpa) Protocol address of target.
这个还是TCP/IP协议详解书里面的图好看一些, 且等我截个图来, 呃,截歪了.
arp协议,截取自是TCP/IP协议详解
其实里面有些值, 像”硬件地址长度”什么的, 是个变量, 后面的”发送端以太网地址”就是根据这个而变化 .就我们目前的应用和环境来说, 拿这个图就可以啦.
这里的长度单位是字节, 不是上一篇IP协议里面的bit了.
详细解释我也copy一下吧. 也是出自TCP/IP协议详解一书.
以太网报头中的前两个字段是以太网的源地址和目的地址。目的地址为全 1的特殊地址是 广播地址。电缆上的所有以太网接口都要接收广播的数据帧。
两个字节长的以太网帧类型表示后面数据的类型。对于 ARP请求或应答来说,该字段的 值为0x0806。
形容词hardware(硬件)和protocol(协议)用来描述 ARP分组中的各个字段。例如,一个 ARP 请求分组询问协议地址(这里是 IP地址)对应的硬件地址(这里是以太网地址)。
硬件类型字段表示硬件地址的类型。它的值为 1即表示以太网地址。协议类型字段表示要 映射的协议地址类型。它的值为 0x0800即表示 IP地址。它的值与包含 IP数据报的以太网数据 帧中的类型字段的值相同,这是有意设计的(参见图 2–1)。
接下来的两个 1字节的字段,硬件地址长度和协议地址长度分别指出硬件地址和协议地址 的长度,以字节为单位。对于以太网上 IP地址的 ARP请求或应答来说,它们的值分别为 6和4。 操作字段指出四种操作类型,它们是 ARP请求(值
(值为3)和RARP应答(值为4)(我们在第5章讨论RARP)。这个字段必需的,因为 ARP请求 和ARP应答的帧类型字段值是相同的。
接下来的四个字段是发送端的硬件地址(在本例中是以太网地址)、发送端的协议地址 (IP地址)、目的端的硬件地址和目的端的协议地址。注意,这里有一些重复信息:在以太网的数据帧报头中和 ARP请求数据帧中都有发送端的硬件地址。
对于一个 ARP请求来说,除目的端硬件地址外的所有其他的字段都有填充值。当系统收到一份目的端为本机的 ARP请求报文后,它就把硬件地址填进去,然后用两个目的端地址分 别替换两个发送端地址,并把操作字段置为 2,最后把它发送回去。
其它也没啥好说的了, 先来段程序吧.
广播一个ARP请求, 问一下网关的MAC地址是多少. 运行环境是ubuntu12.04. osx上面是不行的. 据说windows也不行. 搜索了好久, 也不知道mac上面怎么搞.
#!/usr/bin/env python
# -*- coding: utf-8 -*-
‘‘‘
广播一个ARP请求, 问一下网关的MAC地址是多少.
运行环境是ubuntu12.04.
osx上面是不行的. 据说windows也不行. 搜索了好久, 也不知道mac上面怎么搞.
‘‘‘
import socket
import struct
def main():
st = struct.Struct(‘!6s 6s h h h b b h 6s 4s 6s 4s‘)
GATEWAY = ‘192.168.1.1‘
MYIP = ‘192.168.1.8‘
MYMAC = ‘20:c9:d0:88:96:3f‘
dst_ethernet_addr = ‘‘.join(
[chr
(int(e, 16))
for e in ‘FF:FF:FF:FF:FF:FF‘.split(‘:‘)])
protocol_type = 0x0806
hw_addr_space = 1
protocol_addr_space = 0x800
hw_addr_length = 6
protocol_addr_length = 4
op = 1
my_mac = ‘‘.join([chr(int(e, 16)) for e in MYMAC.split(‘:‘)])
my_ip = socket.inet_aton(MYIP)
target_hw_addr = ‘‘.join(
[chr
(int(e, 16))
for e in ‘00:00:00:00:00:00‘.split(‘:‘)])
des_ip = socket.inet_aton(GATEWAY)
data = (
dst_ethernet_addr,
my_mac,
protocol_type,
hw_addr_space,
protocol_addr_space,
hw_addr_length,
protocol_addr_length,
op,
my_mac,
my_ip,
target_hw_addr,
des_ip,
)
packed_data = st.pack(*data)
s = socket.socket(socket.PF_PACKET, socket.SOCK_RAW, socket.SOCK_RAW)
s.bind((‘eth0‘, socket.SOCK_RAW))
# 下面这样也行, 不知道区别.
#http://sock-raw.org/papers/sock_raw 这个应该可以参考
#s = socket.socket(socket.PF_PACKET, socket.SOCK_RAW)
#s.bind((‘eth0‘,0))
r = s.send(packed_data)
print r
return
if __name__ == ‘__main__‘:
main()
抓包结果, 这里已经忽略了以太网首部的14个字节. 是从上图中的“硬件类型”开始的.
% sudo tcpdump -nn -vvv -x -c1 arp
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
19:28:43.209235 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.1.1 tell 192.168.1.8, length 28
0x0000: 0001 0800 0604 0001 20c9 d088 963f c0a8
0x0010: 0108 0000 0000 0000 c0a8 0101
1 packet captured
1 packet received by filter
0 packets dropped by kernel
上面的代码简单改一下就可以做ARP攻击了.
对网关做一个ARP应答.
op改为2, 代表ARP应答. 然后把 “以太网源地址”和“发送端以太网地址”都写自己的. IP地址写要攻击的人.
OVER
标签:des blog http io ar os sp for on
原文地址:http://www.cnblogs.com/morningchilde/p/4149864.html
