交换网络中的嗅探与arp欺骗.docVIP

　以太网内的嗅探（sniff）对于网络安全来说并不是什么好事，虽然对于网络管理员能够跟踪数据包并且发现网络问题，但是如果被破坏者利用的话，就对整个网络构成严重的安全威胁。至于嗅探的好处和坏处就不罗嗦了。 　　arp缓存表 　　假设这样一个网络： 　　—————————— 　　　 hub 　 　　—————————— 　　　 　 　 　　　 　 　 　　　 　 　 　　hosta hostb hostc 　　其中 　　a的地址为：ip： mac: aa-aa-aa-aa-aa-aa 　　b的地址为：ip： mac: bb-bb-bb-bb-bb-bb 　　c的地址为：ip： mac: cc-cc-cc-cc-cc-cc 　　假设b是属于一个嗅探爱好者的，比如a机器的arp缓存： 　　c:\arp -a 　　interface: on interface 0x1000003 　　internet address physical address type 　　 cc-cc-cc-cc-cc-cc dynamic 　　这是机器上的arp缓存表，假设，a进行一次ping 操作，ping主机c，会查询本地的arp缓存表，找到c的ip地址的mac地址，那么就会进行数据传输，目的地就是c 的mac地址。如果a中没有c的arp记录，那么a首先要广播一次arp请求，当c接收到a 的请求后就发送一个应答，应答中包含有c的mac地址，然后a接收到c的应答，就会更新本地的arp缓存。接着使用这个mac地址发送数据（由网卡附加mac地址）。 　　因此，本地高速缓存的这个arp表是本地网络流通的基础，而且这个缓存是动态的。 　　集线器网络(hub-based) 　　很多网络都是用hub进行连接的。数据包经过hub传输到其他计算机的时候，hub只是简单地把这个数据包广播到hub的所有端口上。 　　这就是上面举例中的一种网络结构。 　　现在a需要发送tcp数据包给c。首先，a需要检查本地的arp 缓存表，查看是否有ip为即c的arp记录，如果没有那么a将要广播一个arp请求，当c接收到这个请求后，就作出应答，然后a更新自己的arp缓存表。并且获得与c的ip相对应的mac地址。这时就传输这个tcp数据包，ethernet帧中就包含了c的mac地址。当数据包传输到hub的时候，hub直接把整个数据包广播到所有的端口，然后c就能够接收到a发送的数据包。 　　正因为hub把数据广播到所有的端口，所以计算机b也能够收到a发送给c的数据包。这正是达到了b嗅探的目的。 　　因此，hub-based的网络基本没有安全可言，嗅探在这样的网络中非常容易。 　　交换网络（switched lan） 　　交换机用来代替hub，正是为了能够解决hub的几个安全问题，其中就是能够来解决嗅探问题。switch不是把数据包进行端口广播，它将通过自己的arp缓存来决定数据包传输到那个端口上。因此，在交换网络上，如果把上面例子中的hub换为switch，b就不会接收到a发送给c的数据包，即便设置网卡为混杂模式，也不能进行嗅探。 　　arp欺骗（ arp spoofing） 　　arp协议并不只在发送了arp请求才接收arp应答。当计算机接收到arp应答数据包的时候，就会对本地的arp缓存进行更新，将应答中的ip和mac地址存储在arp缓存中。因此，在上面的假设网络中，b向a发送一个自己伪造的arp应答，而这个应答中的数据为发送方ip地址是（c的ip地址），mac地址是dd-dd-dd-dd-dd-dd（c的mac地址本来应该是cc-cc-cc-cc-cc-cc，这里被伪造了）。当a接收到b伪造的arp应答，就会更新本地的arp缓存（a可不知道被伪造了）。 　　现在a机器的arp缓存更新了： BR p　　c:\arp -a 　　interface: on interface 0x1000003 　　internet address physical address type 　　 dd-dd-dd-dd-dd-dd dynamic 　　这可不是小事。局域网的网络流通可不是根据ip地址进行，而是按照mac地址进行传输。现在的 　　mac地址在a上被改变成一个本不存在的mac地址。现在a开始ping ，网卡递交的mac地址是dd-dd-dd-dd-dd-dd，结果是什么呢？网络不通，a根本不能ping通c！！这就是一个简单的arp欺骗。 　　我们来实现这样的arp欺骗。这里需要使用一个winpcap提供的api和驱动。（http://winpcap.polito.