TCP/IP协议详解卷1学习笔记系列3-IP路由 (2…

　　arp协议规定，如果收到其他主机发出的arp数据报，就要以数据报中的IP与MAC对应信息更新arp缓存中已经保存的信息，以后发到这个IP的信息发到新的MAC上。这样就可以通过构造ICMP数据报，伪造一个arp信息，实施arp欺骗。

　　现在流行的arp欺骗步骤是这样的：假设A与B、C同是一个局域网，各自有IP地址。A对B是完全信任的，而对C则有限制，例如过滤所有来自C的数据，或者限制一些端口等，反正就是C不如B有地位。而C觉得不平，想得到B同等待遇（具体的原因多种多样，反正结果是一样）。这样C就开始做手脚了，直接向管理员要求肯定不行，只好暗地里取代B的位置。

　　1.首先把B搞死机。如果B还在网上，对C后面的arp欺骗有妨碍。

　　2.把C自己改成B的IP，这样就可以骗过A，让A以为真的是B。

　　3.发放伪造的arp包，把B的IP与C的MAC联系起来。

　　4.所有主机收到arp包，并根据内容更新arp缓存，于是所有发往B的数据现在改发到C，所有收到C发出数据的主机都以为是B发过来的。而B这时正死机呢，一点都不知道。

　　这种欺骗实施起来有难度。只能在局域网内使用。首先要搞定B，如果B拿不下，后面就很难。而且针对IP开放服务的越来越来越少，一般都附加有其他的限制，顶替掉B也难有作为。
对这种欺骗我知道的有两个案例：一个是在一个论坛上，有网友说他用这种方法做网络管理软件，用它来屏蔽一些网站，所有发到被屏蔽网站IP的请求转到别的网站，不使用代理服务器。这个思路不错。另一个是前两天（9月15日下午），某安全会议召开期间，站点“被黑”，网页不能正常打开。据网站成员说，是托管服务商的另外一台主机被黑，用arp欺骗把访问正常网页的请求转移到被黑的主机上。于是现场实施一场“攻防对抗”，一个不断地发欺骗报文，把访问转移；另一个不断发正常报文，把访问夺回来。于是在这段时间访问网页时，就出现了一下子出现正常网页，刷新时变成变黑的页面，再刷新又正常的奇观。可惜当时我正在上班，没有亲眼看到。

　　路由信息同样有伪造的可能。路由通知信息可以更新其他路由器的路由表。如果发出一个伪造的路由通知信息，那就破坏了路由器的正常路由表。这个实现起来比较难，而ICMP重定向的实现起来的难度就要小许多。

　　arp欺骗只能在局域网内实现。如果要在广域网上达到相同的目的，就必须结合ICMP欺骗了。

　　用arp欺骗可以把流量转移，但是转移时有个限制，不能转移到路由器上，也就是arp信息是不能跨路由的（不同于代理ARP）。这样即使把其他主机的arp信息刷新成路由器的MAC，发送数据时还是只在局域网内寻址，就是不往路由器那里发。这时必须再发一个ICMP欺骗，说发到路由器的MAC才是正确的。主机收到这个消息后，才能达到目的，C完全取代B。之后的事情，就象入侵者的心情了。

　　从这个意义上，可以实现任何机器的Sniffer（跟踪所有通讯数据）。

　　上面说的这些，我现在还只是在概念、原理层面上的了解，以及对这些方面了解的总结。要动手实现水平还不够，还得学习。网络抓包现在是会了，但是要谈协议分析还早。连构造 RAW Socket都不太会，要玩其他就更是扯远了。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有